Интернет-мошенники все активнее применяют уязвимости в Java

В последние месяцы специалисты G Data Software отметили увеличение объема вредоносного кода, распространяемого кибер-мошенниками через уязвимости в Java. Об этом свидетельствует ежемесячный отчет, подготовленный экспертами лаборатории безопасности компании G Data Software, в котором впервые за десять месяцев появились новые лидеры в Tоп 10 среди вредоносных программ. До этого наибольшую опасность представляли уязвимости в PDF. Сейчас они сменились на Java эксплойт.



Самой популярной угрозой является Java.Trojan.Exploit.Bytverify.N, которую можно найти на взломанных веб-сайтах. Троян проникает на ПК с операционной системой Windows с помощью манипулируемого Java-Applet через Drive-by-Dowload. G Data Software рекомендует помимо настройки защиты в режиме реального времени обязательно обновлять любое установленное программное обеспечение.

«Использование уязвимостей в системе безопасности компьютерных программ считается одним из самых эффективных методов контроля компьютера в хакерской индустрии. Для инфицирования ПК вредоносным кодом достаточно одного посещения манипулируемой Интернет-страницы с незащищённого компьютера», — рассказывает Ральф Бенцмюллер, руководитель лаборатории безопасности компании G Data Software. — Сейчас мы отмечаем рост числа атак, для проведения которых используются уязвимости в системе безопасности Java-версий. Наибольшей опасности подвержены пользователи, которые не обновляют установленные версии программного обеспечения».

Также помимо установки высокопроизводительного решения безопасности пользователям необходимо постоянно обновлять операционную систему, установленный браузер и его компоненты. Более того, необходимо устанавливать программные обновления и заплатки для того, чтобы закрыть имеющиеся пробелы в системе безопасности.

Пробелы в системе безопасности Java открывают для преступников большой технический потенциал: именно этот процесс производства и распространения вредоносного кода стал значительно проще по сравнению с другими формами инфицирования. Предупреждающие сообщения об уязвимостях в сервисах PDF способствовали усовершенствованию системы. Благодаря многочисленным обновлениям системы безопасности производителям PDF-Reader удалось значительно усложнить процесс разработки вредоносных программ. Этого пока нельзя сказать о разработчиках Java.

Загрузки с базой JavaScript типа JS:Downloader постоянно усовершенствуются авторами вредоносных программ. Три версии троянских программ попали в октябре 2010 в Топ 10 вирусов.


Информация о компьютерных вредителях

Java.Trojan.Exploit.Bytverify.N Данная угроза использует пробел в системе безопасности в Java Bytecode Verifier, её можно обнаружить в манипулируемых Java-апплетах, например на веб-сайтах. При использовании пробела в системе безопасности может быть исполнен зловредный код, который вызывает, например, загрузку троянской программы. Таким образом, взломщик может взять под свой контроль систему жертвы.

Worm.Autorun.VHG Червь, который распространяется на операционных системах Windows с помощью функции autorun.inf. Он распространяется посредством сменных носителей информации, таких как, USB-носители или мобильные жёсткие диски. Он является Интернет-червем и сетевым червем и использует пробел в системе безопасности Windows CVE-2008-4250.

JS:Pdfka-OE [Expl] Это эксплойт, который пытается атаковать компьютер из слабых мест движков JavaScript PDF программ. Пользователю нужно только лишь открыть PDF для того, чтобы запустить эксплойт. Если атака на компьютер жертвы произведена удачно, вредоносный код загружается в ПК.

WMA:Wimad [Drp] Данный троянец выдаёт себя за обычный .wma аудиофайл, который может проигрываться только после установки специальных кодеков/декодеров на системах Windows. Если файл исполняется пользователем, взломщик может установить любой вредоносный код на систему. Инфицированные аудиофайлы распространяются преимущественно через P2P-сети.

Application.Keygen.BI В данном случае речь идёт о генераторе ключей. Данный вид атак используется в P2P файлообменных сетях и на варез-сайтах, так как на них можно получить бесплатно лицензионное ПО. Там можно чаще всего найти такие программы. Данные приложения не только вызывают сомнения, но и скрывают дальнейшие пробелы в системе безопасности.

JS:Downloader-AEY [Trj] Этот вредитель появляется преимущественно на веб-сайтах. Речь идёт о троянской программе, которая прописывается в JavaScript. Если пользователи серфингует на веб-сайте, который содержит вредоносный JavaScript, код исполняется и загружает дальнейшие файлы на ПК жертвы. Данные файлы могут являться любым видом вредоносного программного обеспечения.

Win32.Sality.OG Полиморфный инфектор файлов, который модифицирует исполняемые файлы (.exe, .scr) и прячется с помощью руткита в инфицированной системе. Sality.OG распространяется через сеть или носители данных, оставляя файл Autorun.inf в Root меню соответствующего носителя.

JS:Downloader-AFR [Trj] Вредоносная функция данного загрузчика действует как аналог JS:Downloader-AEY [Trj] &.JS:Download – AEU [Trj]. Вредоносная функция и распространение действуют также как JS:Downloader-AEY.

JS:Downloader-AEU [Trj] Данный вредитель, также как и JS:Downloader-AEY [Trj] и JS:Downloader-AFR [Trj], является троянской программой, которая использует уязвимости в системе безопасности в JavaScript для дальнейшей загрузки вредоносного кода.

Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимость в модемах Qualcomm актуальна для миллионов Samsung Galaxy

Компания Samsung подтвердила, что раскрытая на прошлой неделе уязвимость в чипсетах Qualcomm Technologies линейки MSM затрагивает ее Android-устройства. Согласно описанию Check Point, данная брешь позволяет получить доступ к истории звонков и СМС-сообщениям пользователя, а также прослушивать его разговоры.

Системы на чипе MSM (Mobile Station Modem) производства Qualcomm Technologies обеспечивают подключение мобильных устройств к сетям 2G, 3G, 4G и 5G. По словам авторов опасной находки, уязвимость CVE-2020-11292 в MSM связана с использованием проприетарного протокола QMI (Qualcomm MSM Interface), позволяющего Android обмениваться данными с процессором модема.

Эксплуатация уязвимости осуществляется передачей в MSM запроса с параметрами в TLV-формате (Type-Length-Value), способного при обработке вызвать переполнение буфера в куче. В итоге автор атаки сможет скрытно установить вредоносный код на смартфон и шпионить за жертвой. Данную проблему можно также использовать для разблокировки СИМ-карты с целью обхода ограничений, установленных сервис-провайдером.

Исследователи известили Qualcomm о своей находке в октябре прошлого года. Разработчик выпустил патч и предоставил исходники OEM-провайдерам в декабре.

Чипсеты MSM присутствуют во многих мобильных устройствах, однако далеко не все из них используют QMI — по данным Check Point, порядка 30% всех смартфонов в мире. Выявленная экспертами проблема затронула также изделия Samsung, и производитель начал выпускать соответствующие обновления.

Этот процесс, по словам вендора, был запущен еще в январе, и с выходом майских обновлений для Android большую часть устройств Samsung, по ее оценкам, удалось защитить от эксплойта. Сколько из них в реальности получили патчи, определить трудно из-за большой фрагментарности экосистемы Android. Как бы то ни было, создатель популярных смартфонов призывает пользователей не пренебрегать обновлениями и всегда устанавливать их по мере выхода.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru