Уязвимости в Firefox и MacOS Mojave, троян Adwind обходит защиту антивирусов, майнеры в Google Play

Уязвимость в Mozilla Firefox приводит к сбою или зависанию браузера

Создана новая атака, которая при посещении веб-страницы, содержащей скрипт JavaScript, может привести к сбою работы браузера или к его зависанию. Атака была создана исследователем безопасности компании Wire - Сабри Хаддушем. Данная атака осуществляется методом "отказ в обслуживании", который предусматривает вызов краха или зависаний популярных браузеров. Выполняется атака путем наводнения канала IPC между основным процессом браузера Firefox и дочерним процессом:

Скрипт генерирует файл (blob), который содержит чрезвычайно длинное имя файла, и запрашивает у пользователя его загрузку каждую миллисекунду, таким образом скрипт наводняет канал IPC между дочерним и основным процессом.

Во время того, как атака продолжает "заливать" канал IPC, происходит значительное увеличение потребления оперативной памяти и процессора, что в конечном итоге может привести к зависанию операционной системы (подвержены операционные системы Windows, macOS и Linux). Атака была протестирована с использованием последних версий Firefox Quantum, Firefox Beta и Firefox Nightly, и все они в настоящее время подвержены этой атаке. Исследователь сообщает:

"Лучшей практикой было бы запретить веб-сайтам загружать сразу несколько файлов (например, как это делает браузер Google Chrome), Firefox закрыл обнаруженную мною ошибку как Разрешенную, поскольку они уже работают над ней."

В последних сборках Firefox не было замечено решение данной ошибки.

(and yes, it includes a crash / freeze for Firefox and its source code as promised) pic.twitter.com/Q6UlBWIXe6

— Sabri (@pwnsdx) 23 сентября 2018 г.

В Google Play Market возвращаются вредоносные приложения для добычи криптовалюты

Исследователи из SophosLabs обнаружили 25 приложений в официальном Google Play Market, маскирующихся под игры, утилиты и учебные приложения, в коде которых содержится код по запуску майнинга криптовалюты в фоновом режиме. Данные приложения были загружены и установлены более 120 000 раз. Большинство приложений имеют встроенный код от Coinhive, JavaScript-реализацию майнинга криптовалюты Monero. Coinhive использует мощности процессора (не графического), что делает его идеальным кандидатом для скрытого майнинга на мобильных устройствах. Код майнера, который составляет всего несколько строк, можно легко добавить в любое приложение, использующее встроенный браузер WebView.

Именно криптовалюта Monero была выбрана для майнинга, поскольку обеспечивает достаточную конфиденциальность для сохранения источника, места назначения и количества добытой криптовалюты. Описываемые вредоносные приложения используют регулирование процессора для ограничения использования центрального процессора, таким образом злоумышленники стараются избежать обычных ошибок: перегрев устройства, высокая разрядка аккумулятора и общая медлительность устройства - ошибка, допущенная в многофункциональном мобильном трояне Loapi в прошлом году. SophosLabs еще в августе уведомил Google о наличии перечисленных приложений в Google Play Market. Несмотря на то что некоторые из этих приложений были удалены, многие из них продолжают оставаться доступными.

Троян Adwind обходит антивирусное программное обеспечение

Adwind - троян удаленного доступа (RAT), ранее связанный с атаками на промышленные предприятия по всему миру, вернулся с новым набором инструментов, предназначенных для обхода защиты антивирусов, позволяя вредоносным программам эксплуатировать системы. В понедельник исследователи кибербезопасности Cisco Talos вместе с исследователями из ReversingLabs опубликовали результаты расследования последней модификации трояна Adwind. Троян Adwind способен собирать информацию о ПК, нажатия клавиш, а также похищать учетные данные и данные, представленные через веб-формы, также может записывать видео, звук и делать скриншоты.

Новая версия трояна Adwind 3.0 теперь может похищать криптографические ключи, необходимые для доступа к кошелькам с криптовалютами. Вредоносная программа распространяется с помощью фишинговых писем, содержащих вложения с расширением .CSV или .XLT, оба из которых открываются в Excel по умолчанию. Кампания распространения нацелена на компьютеры операционных систем Windows, Linux и Mac с особым упором на пользователей Турции и Германии. Вредоносные файлы содержат один из двух дропперов, оба из которых используют инъекцию DDE. Дроппер может также использовать различные расширения, в том числе .htm, .xlt .xlc, и .db. Исследователи Cisco Talos сообщают, что новый метод был реализован для использования обфускации.

Начало файла не содержит заголовка для проверки, что в свою очередь, может запутать антивирусное программное обеспечение, которое ожидает, что символы ASCII будут присутствовать в формате CSV. Вместо того, чтобы обнаруживать файл как вредоносную программу дроппер, антивирусное программное обеспечение может просто посчитать файл поврежденным. Microsoft Excel при открытии файла сообщит, что расширение файла не соответствует обозначенному расширения, однако пользователь по-прежнему может открыть «поврежденный» файл, если захочет. Затем с помощью системной утилиты bitasdmin будет выполнен скрипт Visual Basic для загрузки библиотек вредоносной программы. "Несмотря на то, что троян Adwind использует методы обхода сигнатурного обнаружения, его поведение остается классическим, а это означает, что антивирусные решения, использующие анализ поведения и песочницы, должны будут обнаружить и остановить вредоносную программу" -резюмировал исследователь из Cisco Talos.

Уязвимость нулевого дня в MacOS Mojave позволяет копировать личные данные

Операционная система MacOS Mojave от Apple, релиз которой состоялся в понедельник, содержит уязвимость в реализации новой функции безопасности, призванной улучшить безопасность и конфиденциальность пользовательских данных. Исследователь Патрик Уордл из Digita Security обнаружил уязвимость, с помощью которой он смог получить доступ к конфиденциальным контактам пользователей через непривилегированное приложение, т.е обойдя права администратора. Уязвимость нулевого дня связана с реализацией мер защиты для различных данных, связанных с конфиденциальностью. «Я нашел тривиальный, хотя и 100% надежный недостаток в их реализации», - сообщает исследователь, добавив, что уязвимость позволяет злоумышленному или ненадежному приложению обойти новый механизм безопасности и получить доступ к конфиденциальным данным без системного разрешения. Уязвимость эксплуатируется в программных функциях, а аппаратные компоненты, такие как веб-камера не подвержены данной уязвимости.

В демонстрационном видео, исследователь пытается скопировать содержимое адресной книги и отклоняет операцию, когда операционная система запрашивает разрешение. Затем он запускает непривилегированное приложение, которое позволяет ему копировать данные адресной книги на рабочий стол и обеспечивает доступ к нескольким записям, которые он добавил для демонстрационных целей.

В рамках новой защиты пользовательских данных в macOS Mojave пользователи должны явно предоставить свое согласие на доступ к службам местоположения, контактам, календарям, напоминаниям, фотографиям и другой личной информации, и файлам. Приложения больше не могут делать это автоматически, используя предписанные API. Любой такой доступ теперь заблокирован в macOS Mojave, и для непосредственного взаимодействия с пользователем запускается запрос авторизации.