Новая версия Yimfoca IM собирает мнения пользователей

Новая версия Yimfoca IM собирает мнения пользователей

Специалисты компании Symantec обнаружили новую версию уже известного червя Yimfoca IM, который помимо исполнения основного функционала блокирует доступ к аккаунту социальной сети.

Согласно источнику, когда исследователи попытались зайти на сайт Facebook, они тут же получили приглашение пройти опрос.  Приглашение представляло из себя всплывающее окно, с примерным содержанием: «Ваш аккаунт временно заблокирован, для того, чтобы возобновить его действие необходимо пройти опрос». Это напоминает уловки, к которым прибегают мошенники, вынуждая пользователей приобретать услуги премиум класса посредством отправки смс. Обычно, в таких случаях достаточно просто перейти на другую страницу и проигнорировать «выгодное предложение».

Но в данном случае вирус ведет себя несколько агрессивней. Если пользователь решит воспользоваться простейшим методом и уйти со страницы, то при повторном посещении вирус напомнит пользователю: «У вас нет доступа к аккаунту, поскольку вы не прошли опрос». Причем это сообщение исчезает после перезагрузки компьютера, однако тогда для жертвы все начнется сначала. Помимо этого, на раздумья и заполнение формы пользователю отводится только 3 минуты.

Стоит, однако, заметить, что уязвимыми для червя являются пользователи Internet Explorer, в остальных веб - браузерах сайт социальной сети отображается нормально.

Напомним, что червь распространяется через мультиязычные мессенджеры Google Talk, ICQ, MSN Messenger, Paltalk, Skype, Xfire или Yahoo!. Кроме этого, он может проникнуть в компьютер и через USB накопители.

Эксперты Symantec предостерегают пользователей, перед тем как перейти по ссылке, полученной от знакомого, лучше уточнить, он ли является автором сообщения.

Android взламывали через Firefox и старый баг в ядре Linux

Компания Nebula показала эксплуатацию опасной цепочки уязвимостей для Android: устройство можно скомпрометировать на уровне root после одного перехода по вредоносной ссылке. Эксплойт объединяет две проблемы: уязвимость в Firefox 151.0.2 и более ранних версиях браузера, а также старый баг в ядре Linux, который, по данным исследователей, оставался там около 15 лет.

Вместе они позволяют обойти стандартные защитные механизмы Android и получить полный контроль над устройством.

Атака проходит в несколько этапов. Сначала вредоносная веб-страница использует уязвимость в Firefox, чтобы выполнить код или выбраться из песочницы приложения.

Затем в дело вступает баг в ядре Linux: он даёт возможность читать и записывать память ядра, отключить SELinux и повысить привилегии. После этого злоумышленник может установить в систему бинарник su и закрепить root-доступ.

В демонстрации весь процесс занимает считанные секунды. После успешной атаки на устройстве появляется кастомные «живые» обои от исследователей, а рут-шелл становится доступен через Android Debug Bridge. В Nebula также опубликовали PoC-репозиторий CyberMeowfia с логикой адаптации под конкретное железо. По их данным, цепочка работает на устройствах Google Pixel.

Полные технические детали пока не раскрываются: компания уведомила затронутых вендоров и дала им время на исправления. Но опубликованный PoC уже создаёт почву для обратного анализа, так что со временем подробности, скорее всего, всплывут.

Ирония в том, что часть Android-сообщества ждёт раскрытия не только из соображений безопасности, но и как удобный способ рутовать собственные устройства. Для исследователей это баг, для злоумышленников — оружие, а для энтузиастов — потенциальная кнопка «сделать рут».

RSS: Новости на портале Anti-Malware.ru