Сегодня в ТОП-5 — новая тактика фишинговых атак, обзор нового ВПО от «Лаборатории Касперского», Linux-версия программы-вымогателя Abyss Locker, уязвимость в службе Azure Active Directory, устранение уязвимости в браузерах Firefox. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Александр Перевалов.
Новая тактика фишинговых атак с использованием Google AMP
Злоумышленники активно эксплуатируют новую тактику фишинга с использованием Google Accelerated Mobile Pages (AMP). Вредоносная ссылка внедряется в запрос к Google, что позволяет обойти защитные механизмы электронной почты. После перехода по такой ссылке происходит перенаправление на вредоносный ресурс, имитирующий различные сервисы, например, GMail. Фишинговые кампании, использующие сервисы Google AMP, активизировались в мае и с тех пор не исчезают из списка угроз. Организациям рекомендуется заблокировать URL-адреса https://www.google.com/amp/s/ и https://www.google.co.uk/amp/s/, если в их использовании нет необходимости.
Обзор нового ВПО от «Лаборатории Касперского»
Специалисты «Лаборатории Касперского» обнаружили активность новых образцов стилеров Emotet и LokiBot, а также нового загрузчика DarkGate. Стоит отметить, что все упомянутые вирусы распространяются через фишинговые письма с различными вложениями. Так, например, загрузчик DarkGate представлен в виде обфусцированного VBS-скрипта, который скачивает легитимное ПО AutoIt3 и скомпилированный вредоносный скрипт AU3, что затрудняет автоматический антивирусный анализ. Сотрудники «Лаборатории Касперского» предоставили индикаторы компрометации всех трех вирусов. Организациям рекомендуется уделять больше внимания повышению осведомленности сотрудников для противодействия фишинговым атакам.
Linux-версия программы-вымогателя Abyss Locker нацелена на серверы VMware ESXi
Новая группировка вымогателей Abyss Locker распространяет одноименный шифровальщик на серверы под управлением VMware ESXi. Исследователи безопасности MalwareHunterTeam провели анализ вредоносного ПО и обнаружили, что, помимо виртуальных дисков и снимков, вымогатель также шифрует и все остальные файлы на устройстве. В результате шифрования в каждой папке устройства появляется файл «.README_TO_RESTORE» с требованием выкупа. Для публикации украденных файлов группировка создала сайт в Tor-сетях, где в настоящее время размещены данные уже 14 компаний-жертв.
Уязвимость в службе Azure Active Directory
Специалисты компании Vectra обнаружили уязвимость в новой функции Microsoft Azure Active Directory под названием Cross-Tenant Synchronization. Функция CTS дает злоумышленникам возможность горизонтального перемещения через поиск клиентов с включенной «Исходящей синхронизацией», которая позволяет выполнять синхронизацию с другими клиентами. Компания Vectra рекомендует избегать реализации стандартной или чрезмерно инклюзивной конфигурации входящего межклиентского доступа.
Mozilla устранила уязвимости в браузерах Firefox
В браузерах Firefox 116, Firefox ESR 102.14 и Firefox ES 115.1 устранены 14 уязвимостей, среди которых девять — высокого уровня опасности. Уязвимости высокого уровня опасности связаны с ошибкой выполнения многопоточных задач, выходом за пределы «песочницы», обходом ограничений безопасности, переполнением буфера, повреждением памяти. Их эксплуатация позволяет злоумышленнику выполнять произвольный код и вызывать сбои в работе программы. Всем пользователям настоятельно рекомендуется обновить браузер Firefox до последней версии.
