Microsoft недавно опубликовали свое исследование в 2-х частях. Уже достаточно известный вредонос продолжает активно совершенствоваться и использовать в качестве таргетов Windows и Linux-системы.

На сегодняшний день является активно разрабатываемым и регулярно обновляемым вредоносом. LemonDuck прежде всего известен своими майнинговыми целями. Спустя некоторые время он эволюционировал в своих действиях: кража паролей, использование множества известных уязвимостей, отключение средств защиты и другие возможности. В конечном итоге, способен использоваться как бэкдор и доставлять дополнительные инструменты, управляемые человеком.

Одной из главных особенностей LemonDuck является зачистка посторонней малвари/майнеров со скомпрометированного устройства, дабы избавиться от своих конкурентов. Также исправляет уязвимости, которые уже использовались для получения доступа к системе.

Вредонос XCSSET известен тем, что его целью является пользователи macOS. Согласно исследованию TrendMicro, впервые он был обнаружен в августе 2020 года. В тот момент было установлено, что он нацелен на разработчиков Mac и использует необычные средства распространения, в том числе и внедрение полезной нагрузки в проекты Xcode IDE, которая исполняется во время создания файлов проектов в Xcode.

В своем недавнем обновлении была расширена функциональность зловреда, позволяющая ему собирать и извлекать конфиденциальные данные из таких приложений как Google Chrome и Telegram. Также среди его новых возможностей - внедрение вредоносного кода на JavaScript для различных сайтов, извлечение информации и из других приложений: Notes, Contacts, WeChat, Skype, с дальнейшим шифрованием пользовательских файлов на системе.

На этой неделе были выпущены патчи для Linux-дистрибутивов. Обе уязвимости обнаружены командой исследователей из Qualys и затрагивают файловую систему.

Во вторник Oracle выпустила регулярное обновление за июль этого года с 342 исправлениями для нескольких продуктов (Java SE, MySQL, VirtualBox, Solaris и сервер приложений Weblogic).

Главное в обновлении — повторное исправление CVE-2019-2729, это была критическая уязвимость десериализации через XMLDecoder в веб-службах Oracle WebLogic Server, которую можно использовать удаленно без аутентификации. Стоит отметить, что изначально уязвимость была устранена в рамках обновления безопасности в июне 2019 года.

Oracle WebLogic Server - это сервер приложений, который функционирует как платформа для разработки, развертывания и запуска приложений на основе Java.

На прошлой неделе появились новости про новую хайповую уязвимость в Windows 10 и 11 - CVE-2021-36934 под названием SeriousSAM или HiveNightmare. И вчера Бенжамен Дельпи (Benjamin Delpy) автоматизировал ее эксплуатацию.

В Windows имеются важные файлы с хэшированными паролями все учетных записей ОС, данные о ключах шифрования и прочие важные сведения. Все это хранится в SAM, SECURITY и SYSTEM:

Исследователи из Bitdefender недавно обнаружили новое семейство малвари, которое распространяется по всему миру. По словам экспертов, у ВПО отсутствуют конкретные таргеты и распространяется оно через платную рекламу в интернете, нацеленную на пользователей, ищущих пиратское ПО и игры.

Классический сценарий: маскировка под установщик искомой программы, затем подгружается список URLs и с них начинаются поставляться необходимые данные. Судя по исследованию, главным его отличием является нестандартная техника обфускации для сокрытия следов присутствия, обхода антивирусных решений и усложнения расследования, в результате которой, получается мозаичная структура - отсюда и название. Дальше происходит все как у всех: маскировка под легитимные процессы, установка в качестве сервиса, разные методы антифорензики и т.д.