Firefox Zero-Day використовується для встановлення Mac Malware

Firefox Zero-Day використовується для встановлення Mac Malware

На цьому тижні Mozilla випустила надзвичайний патч Firefox, пославшись на небезпечний експлуатат нульового дня. Через те, що вважали, що хакери експлуатували недолік у дикій природі, Mozilla відмовилася надати інформацію про характер проблеми. Є деякі додаткові деталі зараз, і вони припускають, що фокус атаки на співробітників обміну криптовалютами.

Уразливість прийшла внаслідок недоліків JavaScript, які зловмисні учасники могли б використовувати для створення аварійного браузера. Це відкрило двері для запуску віддаленого коду в системі. В якості другої пов'язаної з цим уразливості дозволяється зловмисникам вирватися з пісочниці безпеки Firefox і в операційну систему. Mozilla випустила патч JavaScript у вівторок і виправити пісочницю в четвер.

Перед тим, як один з цих патчів розгорнувся, Mozilla стало відомо про атаку, що використовує обидві вразливості. У той час ми тільки знали, що атаки мають щось відношення до Coinbase, оскільки початковий звіт про помилку надходив від дослідника, який працює як в проекті Google Zero, так і в Coinbase security group. Тепер керівник служби безпеки Coinbase Філіп Мартін каже, що напад був спрямований на співробітників Coinbase, а не користувачів. Мартін також зазначає, що інші обміни були націлені на атаки, хоча жоден з них не виходив.

Тим часом експерт з безпеки Apple Патрік Уордл опублікував аналіз шкідливих програм, які, здається, встановили себе на повністю оновленому Mac. Хеш, наданий Уордлом, відповідає одному з Мартіна, і жертва нападу була пов'язана з обміном криптовалютою до останнього часу. На жаль, шкідливе програмне забезпечення є новим і уникає механізмів захисту Apple, але Wardle вважає, що Apple матиме патч для зміни способу сканування файлів, завантажених програмами, а не користувачем.

Ми відійшли назад до всієї атаки, відновилися і повідомили, що 0-день пішов на firefox, розірвавши шкідливе програмне забезпечення та інфра, які використовуються під час атаки, і працюємо з різними організаціями, щоб продовжити спалювати інфраструктуру зловмисника і копатися в атакуючих.

- Філіп Мартін (@SecurityGuyPhil) 19 червня 2019 року

У Wardle також є копія фішингового листа, надісланого потерпілому, який каже, що атака складалася з так званого «завантаження на диск» у Firefox. З того часу веб-сайт зник. Мета полягала в тому, щоб отримати доступ до криптографічних гаманців, які використовуються біржами для переміщення коштів.

Зразки шкідливого програмного забезпечення, зібрані з цієї атаки, сумісні лише з MacOS, але один з серверів команд і керування також знав, що керує шкідливим програмним забезпеченням Windows. Можливо, версія атак для Windows існує в дикій природі, але поки що не виявлена.

Читати далі

Грошова цінність експлуатації Android Zero-Day перевищує iOS
Грошова цінність експлуатації Android Zero-Day перевищує iOS

Zerodium, найбільший покупець недоліків у безпеці, оновив свої виплати за помилки. Зараз для Android експлуатується максимум 2,5 мільйони доларів, а iOS - 2 мільйони доларів.