Сегодня в ТОП-5 — уязвимость в macOS Ventura, новая версия вредоносного ПО XLoader, набор инструментов группировки злоумышленников CosmicBeetle, вредоносная программа Whiffy Recon и ПО XWorm, представляющее угрозу для ОС Windows. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Данил Глазырин.
Новая уязвимость в macOS Ventura
Инженер-программист, тестирующий macOS на уязвимости, выявил возможный вектор атаки на macOS Ventura. Уязвимость позволяет злоумышленнику изменять файлы внутри нотариально заверенных приложений при помощи Terminal и TextEdit, обходя App Management защиту от несанкционированного изменения. Такая атака может привести к возможности внедрения и распространения вредоносного программного обеспечения на устройстве пользователя. В своих статьях специалист подробно и наглядно показывает реализацию атаки с технической стороны. Рекомендуется тщательно следить за обновлениями безопасности и избегать установки приложений из ненадежных источников.
Опасная маскировка: вредоносное ПО XLoader скрывается в приложении OfficeNote для macOS
Специалисты SentinelOne обнаружили новую версию вредоносного ПО XLoader, представляющего угрозу для пользователей macOS, которое маскируется под офисное приложение OfficeNote. XLoader распространяется в составе стандартного образа диска Apple с именем OfficeNote.dmg. При запуске приложения OfficeNote выдает сообщение об ошибке, чтобы скрыть свою вредоносную деятельность. На данный момент инструмент блокировки вредоносных программ Apple XProtect не имеет сигнатуры для предотвращения запуска этого вредоносного ПО. ИТ-отделам и группам безопасности рекомендуется развернуть надежное средство антивирусной защиты для предотвращения и обнаружения вредоносных программ, таких как XLoader.
Spacecolon и CosmicBeetle: открытые уязвимости и меры предосторожности для обеспечения безопасности
Исследователи ESET обнаружили набор инструментов Spacecolon, используемый группой злоумышленников CosmicBeetle. Spacecolon включает в себя три компонента Delphi — ScHackTool, ScInstaller и ScService. Группировка CosmicBeetle использует набор вредоносного программного обеспечения для компрометации уязвимых веб-серверов или перебора учетных данных по RDP с целью получить удаленный доступ к целевым системам. С помощью ScHackTool злоумышленники могут использовать сторонние инструменты для отключения продуктов безопасности, получения конфиденциальной информации и дальнейшего доступа. ScInstaller используется для установки ScService, который действует как бэкдор, обеспечивая удаленный доступ и возможность выполнения команд. В случае успешной атаки злоумышленники могут получить полный контроль над скомпрометированной системой. Это может привести к утечке конфиденциальной информации, нарушению безопасности данных и развитию атаки на организацию. Кроме того, CosmicBeetle может развертывать программу-вымогатель Scarab, которая шифрует файлы на жестких дисках и требует выкуп за их расшифровку. Для защиты от подобных угроз важно убедиться, что у веб-серверов и систем RDP установлены последние обновления безопасности, а также использовать сложные пароли и 2FA.
Специалисты Secureworks установили, что вредоносная программа Whiffy Recon использует уязвимости в системе Windows для сканирования и сбора информации о беспроводных сетях. Данная уязвимость создает ярлык wlan.lnk в папке «Автозагрузка» пользователя и проверяет наличие службы WLANSVC, указывающей на наличие беспроводной связи. Если имени службы не существует, сканер завершает работу. Whiffy Recon работает в двух циклах. Первый цикл проверяет наличие файла str-12.bin и, если файл существует, происходит переход ко второму циклу — сканированию Wi-Fi. Если файл отсутствует, программа регистрирует скомпрометированную систему на сервере C2, отправляя полезную нагрузку JSON в запросе HTTPS POST. Эта уязвимость может привести к компрометации системы, так как злоумышленники смогут получить информацию о беспроводных сетях, включая данные о точках доступа, их шифровании и местоположении. Злоумышленники могут использовать эту информацию для проведения атак на беспроводные сети или для отслеживания пользователей. Рекомендуется следить за новыми обновлениями и патчами ОС Windows. При отсутствии обновлений их следует установить, а также соблюдать осторожность при открытии вложений в электронных письмах.
XWorm: угроза для операционных систем Windows
Исследователи кибербезопасности обнаружили вредоносное программное обеспечение под названием XWorm, которое представляет угрозу для операционных систем Windows. XWorm позволяет удаленно управлять рабочим столом, красть информацию и проводить атаки программами-вымогателями. Анализ показал, что вредоносное ПО изначально пытается проверить, работает ли оно на физической машине пользователя или нет. После проверки XWorm создает ярлык для автоматического запуска, использует механизм планирования задач, извлекает конфигурационные данные, а также совершает попытки подключения к удаленному серверу. Рекомендуется проявлять осторожность при открытии вложений в электронных письмах, а также при посещении подозрительных веб-сайтов.
