Троянская атака помогла закрыть уязвимость в Яндекс Браузере
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Троянская атака помогла закрыть уязвимость в Яндекс Браузере

Татьяна Никитина 04 Сентября 2024 - 18:58
...
Троянская атака помогла закрыть уязвимость в Яндекс Браузере

При разборе атаки на представителя сферы грузоперевозок по ж/д эксперты «Доктор Веб» обнаружили возможность подмены DLL, используемой Яндекс Браузером. Получив уведомление, разработчики быстро устранили уязвимость (патч включен в сборку 24.7.1.380).

Анализ присланного в компанию поддельного письма соискателя вакансии показал, что прикрепленный архив с двойным расширением .pdf.lnk, якобы резюме, запускает PowerShell для загрузки со стороннего сайта двух скриптов с разным пейлоадом.

В обоих случаях на Windows-машине жертвы открывается маскировочный документ PDF, но один скрипт также параллельно запускает YandexUpdater.exe — фейковый сервис обновления Яндекс Браузера, а на самом деле дроппер Trojan.Packed2.46324.

Вредонос проверяет систему на наличие враждебной среды (эмуляторы, отладчики) и при отсутствии угрозы распаковывает трояна, детектируемого как Trojan.Siggen28.53599.

Этот зловред обеспечивает хозяевам удаленное управление, собирает информацию о зараженной системе и загружает дополнительные компоненты. Чтобы избежать обнаружения, он тоже проводит проверки на наличие антивирусов, ВМ, режима отладки); при положительном результате троян перезаписывает свой файл нулями и удаляет его вместе с папкой.

Второй вредоносный сценарий используется для подмены DLL через эксплойт. Вредоносный вариант системной Wldp.dll (Trojan.Siggen27.11306) помещается в скрытую папку %LOCALAPPDATA%\Yandex\YandexBrowser\Application (легитимная Wldp.dll хранится в %WINDIR%\System32).

При запуске браузера этот троян расшифровывает вшитую полезную нагрузку — шелл-код, позволяющий запустить в системе некое приложение .NET. Его назначение было определено как загрузчик-стейджер, однако конечную цель выявить не удалось: внешний файл оказался недоступен.

 

Информацию об эксплойте передали в «Яндекс», и там быстро залатали дыру, зарегистрированную как CVE-2024-6473 (ненадежный путь поиска DLL, 8,4 балла CVSS).

Напомним, в этом году состоялся запуск версии Яндекс Браузера с встроенными нейросетями. ИИ-функции доступны на десктопах Windows, macOS, Linux, а также на мобильных устройствах и уже исправно, а главное, оперативно ограждают пользователей от потенциально опасных фейков в интернете.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Yoast SEO Premium для WordPress нашли XSS-уязвимость
Екатерина Быстрова 03 Октября 2025 - 11:04
Уязвимости сайтов Домашние пользователи
В Yoast SEO Premium для WordPress нашли XSS-уязвимость

В популярном плагине Yoast SEO Premium для WordPress обнаружена новая уязвимость — CVE-2025-11241. Проблема затрагивает версии 25.7-25.9 и получила 6,4 балла по шкале CVSS (средняя степень риска).

Баг связан с некорректным регулярным выражением, используемым для очистки атрибутов в контенте постов.

Из-за ошибки авторы с правами уровня Contributor и выше могли внедрять в записи произвольные HTML-атрибуты, включая обработчики JavaScript-событий. В результате в браузере администратора или посетителей запускался вредоносный скрипт.

Хотя эксплуатация требует наличия учётной записи с доступом к публикации материалов, для сайтов с несколькими авторами риск вполне реальный. Через такие XSS-вставки злоумышленники могут воровать cookies, повышать свои привилегии или запускать другие атаки.

Команда разработчиков Yoast отреагировала оперативно: уязвимость закрыли в версии 26.0. В changelog отдельно указано, что дефект позволял пользователям с правами edit_posts (Contributor+) запускать XSS при включённой ИИ-функции плагина.

Помимо патча, обновление исправило проблемы с удалением редиректов, баги в подсказках для RTL-языков и поведение фильтров и поиска на странице редиректов. Минимальная версия плагина теперь — 26.0, чтобы пользователи как можно быстрее перешли на исправленный релиз.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В линейке PT NGFW появились новые устройства для малого бизнеса
Новость
В линейке PT NGFW появились новые устройства для малого бизн...
МВД предупреждает о новом сценарии атак на студентов
Новость
МВД предупреждает о новом сценарии атак на студентов
Google подтвердила утечку данных после взлома Salesforce-инстанции
Новость
Google подтвердила утечку данных после взлома Salesforce-инс...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.