Firefox Zero-Day используется для установки Mac Malware

Firefox Zero-Day используется для установки Mac Malware

Ранее на этой неделе Mozilla выпустила экстренный патч Firefox, сославшись на опасный эксплойт нулевого дня. Поскольку он полагал, что хакеры эксплуатируют изъян в дикой природе, Mozilla отказалась предоставить подробную информацию о природе проблемы. Теперь есть некоторые дополнительные подробности, и они предполагают, что акцент атаки сделан на сотрудников биржи криптовалют.

Уязвимость возникла из-за недостатков JavaScript, которые злоумышленники могли использовать, чтобы вызвать аварийное завершение работы браузера. Это открыло дверь для запуска удаленного кода в системе. Как вторая связанная уязвимость позволила злоумышленникам вырваться из изолированной программной среды безопасности Firefox и попасть в операционную систему. Mozilla выпустила исправление JavaScript во вторник и исправление песочницы в четверг.

До того, как выпало какое-либо из этих исправлений, Mozilla узнала об атаке, использующей обе уязвимости. В то время мы знали, что атаки имеют какое-то отношение к Coinbase, поскольку первоначальный отчет об ошибках был получен от исследователя, работающего как в Google Project Project Zero, так и в группе безопасности Coinbase. Теперь глава службы безопасности Coinbase Филипп Мартин говорит, что атака была направлена ​​на сотрудников Coinbase, а не на пользователей. Мартин также отмечает, что другие атаки были целью нападений, хотя ни один не вышел вперед.

Тем временем эксперт по безопасности Apple Патрик Уордл опубликовал анализ вредоносных программ, которые, по-видимому, установились на полностью обновленном Mac. Хеш, предоставленный Уордлом, совпадает с хешем Мартина, и жертва атаки до недавнего времени была связана с обменом криптовалюты. К сожалению, вредоносное ПО является новым и обходится без защитных механизмов Apple, но Уордл считает, что у Apple будет патч для изменения способа, которым macOS сканирует файлы, загружаемые приложениями, а не пользователем.

2 / Мы отошли назад всю атаку, восстановили и сообщили о 0-дневном обращении к firefox, разобрали вредоносное ПО и инфраструктуру, использованные в атаке, и работаем с различными организациями, чтобы продолжать уничтожать инфраструктуру злоумышленника и копаться в нем.

- Филипп Мартин (@SecurityGuyPhil) 19 июня 2019 г.

У Уордла также есть копия фишингового письма, отправленного жертве, которая говорит, что атака состояла из так называемой «загрузки с диска» в Firefox. С тех пор сайт исчез. Цель состояла, вероятно, в том, чтобы получить доступ к криптовалютам, используемым биржами для перемещения средств.

Образцы вредоносного ПО, полученные в результате этой атаки, совместимы только с macOS, но известно, что один из командных и управляющих серверов также контролирует вредоносное ПО Windows. Возможно, версия атаки для Windows существует в дикой природе, но до сих пор уклонялась от обнаружения.

Читать далее

Денежная ценность Android-эксплойтов Zero-Day превосходит iOS
Денежная ценность Android-эксплойтов Zero-Day превосходит iOS

Zerodium, крупнейший покупатель уязвимостей в области безопасности, обновил выплаты по вознаграждениям за ошибки. Максимальный размер эксплойтов для Android составляет 2,5 миллиона долларов, а для iOS - 2 миллиона.