На этой неделе в тройку главных ИБ-новостей, по нашему мнению, попали новый веб-скиммер, подделывающий страницу PayPal на зараженных сайтах, атаки ботнета DarkIRC на серверы Oracle WebLogic и новый модуль ботнета TrickBot. Подробности расскажем под катом.
В Сети обнаружен новый веб-скиммер, который не только похищает вводимые покупателем данные, но и использует их для заполнения поддельной платежной формы PayPal, чтобы сделать ее более убедительной. Вредоносный скрипт размещается внутри изображения, которое хранится на сервере скомпрометированного магазина, с использованием стеганографии. Для сбора платежных реквизитов скиммер подменяет страницу PayPal, загружая через iFrame фальшивку, предварительно заполненную данными из формы заказа. Хищение платежных данных происходит в момент внесения жертвой всех реквизитов в поддельную форму и нажатия кнопки подтверждения оплаты.
Исследователи Juniper Threat Labs сообщили об атаках ботнета DarkIRC на серверы Oracle WebLogic через уязвимость удаленного выполнения кода (CVE-2020-14882). Доставка вредоносного ПО происходит с помощью скриптов PowerShell через HTTP GET-запросы. Полезная нагрузка представлена в виде двоичного кода с функциями обхода средств анализа и песочниц. DarkIRC имеет в своём арсенале большой список функций: кейлоггинг, загрузка файлов и выполнение команд, хищение учетных данных, распространение через MSSQL и RDP (брутфорс), SMB или USB, а также запуск нескольких типов DDoS-атак.
Специалисты из Advanced Intelligence (AdvIntel) и Eclypsium опубликовали отчет о новом модуле ботнета TrickBot, который выискивает уязвимости в UEFI-прошивке зараженного устройства. Наличие доступа к прошивке UEFI дает злоумышленнику возможность добиться персистентности ВПО на скомпрометированном устройстве в случаях переустановки операционной системы или замены накопителей. Модуль проверяет активность защиты от записи UEFI/BIOS с помощью драйвера RwDrv.sys.
Новый веб-скиммер искусно подделывает страницу PayPal
В Сети обнаружен новый веб-скиммер, который не только похищает вводимые покупателем данные, но и использует их для заполнения поддельной платежной формы PayPal, чтобы сделать ее более убедительной. Вредоносный скрипт размещается внутри изображения, которое хранится на сервере скомпрометированного магазина, с использованием стеганографии. Для сбора платежных реквизитов скиммер подменяет страницу PayPal, загружая через iFrame фальшивку, предварительно заполненную данными из формы заказа. Хищение платежных данных происходит в момент внесения жертвой всех реквизитов в поддельную форму и нажатия кнопки подтверждения оплаты.
Серверы Oracle WebLogic атакованы ботнетом DarkIRC
Исследователи Juniper Threat Labs сообщили об атаках ботнета DarkIRC на серверы Oracle WebLogic через уязвимость удаленного выполнения кода (CVE-2020-14882). Доставка вредоносного ПО происходит с помощью скриптов PowerShell через HTTP GET-запросы. Полезная нагрузка представлена в виде двоичного кода с функциями обхода средств анализа и песочниц. DarkIRC имеет в своём арсенале большой список функций: кейлоггинг, загрузка файлов и выполнение команд, хищение учетных данных, распространение через MSSQL и RDP (брутфорс), SMB или USB, а также запуск нескольких типов DDoS-атак.
Новый модуль TrickBot ищет уязвимости в UEFI
Специалисты из Advanced Intelligence (AdvIntel) и Eclypsium опубликовали отчет о новом модуле ботнета TrickBot, который выискивает уязвимости в UEFI-прошивке зараженного устройства. Наличие доступа к прошивке UEFI дает злоумышленнику возможность добиться персистентности ВПО на скомпрометированном устройстве в случаях переустановки операционной системы или замены накопителей. Модуль проверяет активность защиты от записи UEFI/BIOS с помощью драйвера RwDrv.sys.
