Firefox Zero-Day використовується для встановлення Mac Malware

Firefox Zero-Day використовується для встановлення Mac Malware

На цьому тижні Mozilla випустила надзвичайний патч Firefox, пославшись на небезпечний експлуатат нульового дня. Через те, що вважали, що хакери експлуатували недолік у дикій природі, Mozilla відмовилася надати інформацію про характер проблеми. Є деякі додаткові деталі зараз, і вони припускають, що фокус атаки на співробітників обміну криптовалютами.

Уразливість прийшла внаслідок недоліків JavaScript, які зловмисні учасники могли б використовувати для створення аварійного браузера. Це відкрило двері для запуску віддаленого коду в системі. В якості другої пов'язаної з цим уразливості дозволяється зловмисникам вирватися з пісочниці безпеки Firefox і в операційну систему. Mozilla випустила патч JavaScript у вівторок і виправити пісочницю в четвер.

Перед тим, як один з цих патчів розгорнувся, Mozilla стало відомо про атаку, що використовує обидві вразливості. У той час ми тільки знали, що атаки мають щось відношення до Coinbase, оскільки початковий звіт про помилку надходив від дослідника, який працює як в проекті Google Zero, так і в Coinbase security group. Тепер керівник служби безпеки Coinbase Філіп Мартін каже, що напад був спрямований на співробітників Coinbase, а не користувачів. Мартін також зазначає, що інші обміни були націлені на атаки, хоча жоден з них не виходив.

Тим часом експерт з безпеки Apple Патрік Уордл опублікував аналіз шкідливих програм, які, здається, встановили себе на повністю оновленому Mac. Хеш, наданий Уордлом, відповідає одному з Мартіна, і жертва нападу була пов'язана з обміном криптовалютою до останнього часу. На жаль, шкідливе програмне забезпечення є новим і уникає механізмів захисту Apple, але Wardle вважає, що Apple матиме патч для зміни способу сканування файлів, завантажених програмами, а не користувачем.

Ми відійшли назад до всієї атаки, відновилися і повідомили, що 0-день пішов на firefox, розірвавши шкідливе програмне забезпечення та інфра, які використовуються під час атаки, і працюємо з різними організаціями, щоб продовжити спалювати інфраструктуру зловмисника і копатися в атакуючих.

- Філіп Мартін (@SecurityGuyPhil) 19 червня 2019 року

У Wardle також є копія фішингового листа, надісланого потерпілому, який каже, що атака складалася з так званого «завантаження на диск» у Firefox. З того часу веб-сайт зник. Мета полягала в тому, щоб отримати доступ до криптографічних гаманців, які використовуються біржами для переміщення коштів.

Зразки шкідливого програмного забезпечення, зібрані з цієї атаки, сумісні лише з MacOS, але один з серверів команд і керування також знав, що керує шкідливим програмним забезпеченням Windows. Можливо, версія атак для Windows існує в дикій природі, але поки що не виявлена.

Читати далі

Новий Mac Malware використовує стеганографію, щоб проникнути в комп'ютери
Новий Mac Malware використовує стеганографію, щоб проникнути в комп'ютери

Так зване корисне навантаження VeryMal пробивається на комп'ютери за допомогою файлів рекламних зображень, просочених стеганографічною навантаженням.

Malware плямистої на субсидовані телефоні Android
Malware плямистої на субсидовані телефоні Android

Смартфон під питанням є Unimax (UMX) U686CL, які ви ніколи швидше за все не траплялися. Вона працює Android 8.1 Go Edition, з 1 Гб оперативної пам'яті, 8 Гб пам'яті, а також знімним акумулятором 2,000mAh. О, і у нього є шкідливі програми.