Интернет-мошенники все активнее применяют уязвимости в Java

Интернет-мошенники все активнее применяют уязвимости в Java

В последние месяцы специалисты G Data Software отметили увеличение объема вредоносного кода, распространяемого кибер-мошенниками через уязвимости в Java. Об этом свидетельствует ежемесячный отчет, подготовленный экспертами лаборатории безопасности компании G Data Software, в котором впервые за десять месяцев появились новые лидеры в Tоп 10 среди вредоносных программ. До этого наибольшую опасность представляли уязвимости в PDF. Сейчас они сменились на Java эксплойт.



Самой популярной угрозой является Java.Trojan.Exploit.Bytverify.N, которую можно найти на взломанных веб-сайтах. Троян проникает на ПК с операционной системой Windows с помощью манипулируемого Java-Applet через Drive-by-Dowload. G Data Software рекомендует помимо настройки защиты в режиме реального времени обязательно обновлять любое установленное программное обеспечение.

«Использование уязвимостей в системе безопасности компьютерных программ считается одним из самых эффективных методов контроля компьютера в хакерской индустрии. Для инфицирования ПК вредоносным кодом достаточно одного посещения манипулируемой Интернет-страницы с незащищённого компьютера», — рассказывает Ральф Бенцмюллер, руководитель лаборатории безопасности компании G Data Software. — Сейчас мы отмечаем рост числа атак, для проведения которых используются уязвимости в системе безопасности Java-версий. Наибольшей опасности подвержены пользователи, которые не обновляют установленные версии программного обеспечения».

Также помимо установки высокопроизводительного решения безопасности пользователям необходимо постоянно обновлять операционную систему, установленный браузер и его компоненты. Более того, необходимо устанавливать программные обновления и заплатки для того, чтобы закрыть имеющиеся пробелы в системе безопасности.

Пробелы в системе безопасности Java открывают для преступников большой технический потенциал: именно этот процесс производства и распространения вредоносного кода стал значительно проще по сравнению с другими формами инфицирования. Предупреждающие сообщения об уязвимостях в сервисах PDF способствовали усовершенствованию системы. Благодаря многочисленным обновлениям системы безопасности производителям PDF-Reader удалось значительно усложнить процесс разработки вредоносных программ. Этого пока нельзя сказать о разработчиках Java.

Загрузки с базой JavaScript типа JS:Downloader постоянно усовершенствуются авторами вредоносных программ. Три версии троянских программ попали в октябре 2010 в Топ 10 вирусов.


Информация о компьютерных вредителях

Java.Trojan.Exploit.Bytverify.N Данная угроза использует пробел в системе безопасности в Java Bytecode Verifier, её можно обнаружить в манипулируемых Java-апплетах, например на веб-сайтах. При использовании пробела в системе безопасности может быть исполнен зловредный код, который вызывает, например, загрузку троянской программы. Таким образом, взломщик может взять под свой контроль систему жертвы.

Worm.Autorun.VHG Червь, который распространяется на операционных системах Windows с помощью функции autorun.inf. Он распространяется посредством сменных носителей информации, таких как, USB-носители или мобильные жёсткие диски. Он является Интернет-червем и сетевым червем и использует пробел в системе безопасности Windows CVE-2008-4250.

JS:Pdfka-OE [Expl] Это эксплойт, который пытается атаковать компьютер из слабых мест движков JavaScript PDF программ. Пользователю нужно только лишь открыть PDF для того, чтобы запустить эксплойт. Если атака на компьютер жертвы произведена удачно, вредоносный код загружается в ПК.

WMA:Wimad [Drp] Данный троянец выдаёт себя за обычный .wma аудиофайл, который может проигрываться только после установки специальных кодеков/декодеров на системах Windows. Если файл исполняется пользователем, взломщик может установить любой вредоносный код на систему. Инфицированные аудиофайлы распространяются преимущественно через P2P-сети.

Application.Keygen.BI В данном случае речь идёт о генераторе ключей. Данный вид атак используется в P2P файлообменных сетях и на варез-сайтах, так как на них можно получить бесплатно лицензионное ПО. Там можно чаще всего найти такие программы. Данные приложения не только вызывают сомнения, но и скрывают дальнейшие пробелы в системе безопасности.

JS:Downloader-AEY [Trj] Этот вредитель появляется преимущественно на веб-сайтах. Речь идёт о троянской программе, которая прописывается в JavaScript. Если пользователи серфингует на веб-сайте, который содержит вредоносный JavaScript, код исполняется и загружает дальнейшие файлы на ПК жертвы. Данные файлы могут являться любым видом вредоносного программного обеспечения.

Win32.Sality.OG Полиморфный инфектор файлов, который модифицирует исполняемые файлы (.exe, .scr) и прячется с помощью руткита в инфицированной системе. Sality.OG распространяется через сеть или носители данных, оставляя файл Autorun.inf в Root меню соответствующего носителя.

JS:Downloader-AFR [Trj] Вредоносная функция данного загрузчика действует как аналог JS:Downloader-AEY [Trj] &.JS:Download – AEU [Trj]. Вредоносная функция и распространение действуют также как JS:Downloader-AEY.

JS:Downloader-AEU [Trj] Данный вредитель, также как и JS:Downloader-AEY [Trj] и JS:Downloader-AFR [Trj], является троянской программой, которая использует уязвимости в системе безопасности в JavaScript для дальнейшей загрузки вредоносного кода.

Источник

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru