«Лаборатория Касперского» обнаружила два новых трояна-блокера

«Лаборатория Касперского» сообщила о распространении двух программ-блокеров, шифрующих файлы пользователя и требующих деньги за восстановление данных. Один из зловредов представляет собой модификацию опасного трояна GpCode, который шифрует файлы с популярными расширениями (doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd и др.), после чего самоуничтожается, говорится в сообщении «Лаборатории Касперского». Программа была обнаружена аналитиками «Лаборатории Касперского» 29 ноября и детектируется как Trojan-Ransom.Win32.GpCode.ax. В настоящее время эксперты компании работают над способами восстановления зашифрованных данных. 



По информации «Лаборатории Касперского», GpCode не распространяется самостоятельно - на компьютер он попадает через зараженные сайты и уязвимости в Adobe Reader, Java, Quicktime Player или Adobe Flash. В отличие от предыдущих версий блокера, существующих еще с 2004 г., новая модификация не удаляет оригинальные файлы после расшифровки, а перезаписывает в них данные.

Вторым обнаруженным блокером стал троян Seftad, поражающий главную загрузочную запись операционной системы (MBR). Две разновидности этой вредоносной программы добавлены в антивирусные базы компании под именами Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. После заражения Seftad переписывает главную загрузочную запись и требует деньги за предоставление пароля, с помощью которого можно восстановить изначальную MBR. После трех неверно введенных паролей инфицированный компьютер перезагружается, и троян заново выводит требование о переводе средств.

Для предотвращения заражения блокерами GpCode и Seftad пользователям продуктов «Лаборатории Касперского» необходимо загрузить новые антивирусные базы. Эксперты компании рекомендуют регулярно обновлять все установленное ПО для закрытия существующих уязвимостей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Баг Chrome, Opera, Edge позволял выкрасть данные миллиарда пользователей

Новая уязвимость в браузерах, основанных на Chromium, позволяет обойти дополнительный уровень безопасности Content Security Policy (CSP). В результате данные посетителей сайтов находятся в зоне риска, поскольку злоумышленники могут выкрасть их, а также выполнить вредоносный код.

Получивший идентификатор CVE-2020-6519 баг затрагивает Chrome, Opera и Edge для операционных систем Windows, macOS и Android. По словам Гала Уэйзмана, исследователя из PerimeterX, в опасности находятся около миллиарда пользователей браузеров.

Что касается конкретно Chrome — самого популярного на сегодняшний день браузера — уязвимость CVE-2020-6519 угрожает версиям Chrome 73-83. К счастью, вышедший в июле Chrome 84 устраняет брешь.

Уровень защиты CSP, который позволяет обойти описанный баг, предназначен для защиты посетителей сайтов от атаки вида XSS и от вредоносных инъекций. Благодаря CSP администраторы ресурсов могут обозначить безобидные домены, с которых браузер будет запускать скрипты.

«Если мы говорим о возможности обхода Content Security Policy (CSP), стоит учитывать, что данные пользователей находятся в зоне риска», — объясняет в отчёте Уэйзман.

Многие крупные онлайн-проекты используют CSP: ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom.

Для успешной атаки злоумышленник должен модифицировать JavaScript. Этого можно добиться через атаку на веб-сервер (например, с помощью брутфорса паролей). Далее атакующий спокойно проведёт инъекцию кода в обход CSP.

Поскольку эксплуатация бага возможна лишь после прохождения аутентификации (взлома паролей), уязвимости присвоили среднюю степень риска. Однако Уэйзман подчёркивает, что такие атаки могут иметь серьёзные последствия.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru