Хакеры активно эксплуатируют Facebook-трояны

Лаборатория PandaLabs провела исследование, в ходе которого выяснилось, что тенденция распространения компьютерных угроз через самые популярные социальные сервисы, которая появилась сравнительно недавно, в 2011 году продолжит свое развитие. Всего за три дня появилось два новых вредоносных кода, которые используют Facebook, чтобы заманить жертв в ловушку.



Один из них, Aprox.N, - это троян, который попадает к потенциальным жертвам через электронную почту. В сообщении говорится о том, что аккаунт пользователя в Facebook был взломан и используется для рассылки спама, поэтому (для обеспечения безопасности) были изменены данные для входа, сообщает cybersecurity.ru. Во вложении к письму находится документ Word, в котором содержится новый пароль. 

Текст письма:
От: Помощника Facebook <[email protected]>
Тема: Сервис Facebook. Персональные данные были изменены! ID06321
Дата:
Уважаемый клиент,
С Вашего аккаунта в Facebook рассылается спам.
Ваш пароль был изменен для обеспечения безопасности.
Информация о Вашем аккаунте и новый пароль прописаны во вложенном письме.
Внимательно прочитайте информацию в письме и поменяйте пароль на более сложный.

Пожалуйста, не отвечайте на это письмо, это автоматическое уведомление!

Спасибо за внимание.
Сервис Facebook.

Вложенный в электронное письмо файл обладает необычной иконкой и называется Facebook_details.exe. На самом деле, это троян, который загружается во время запуска файла, а пользователь думает, что открывается обычный файл в формате Word.

Троян загружает файл, который открывает все возможные порты, соединяется с различными почтовыми сервисами, чтобы разослать спам как можно большему числу пользователей.

Второй вредоносный код – Lolbot.Q – распространяется через сервисы мгновенных сообщений, такие как MSN и Yahoo!, рассылая сообщения с вредоносной сслыкой. По этой ссылке загружается червь, созданный для похищения персональных данных, чтобы жертвы не могли получить доступ к своим аккаунтам в Facebook. Если пользователь пытается зайти на свою страницу в Facebook, появляется сообщение о том, что учетная запись была приостановлена. Чтобы возобновить ее работу, жертвы должны заполнить анкету, в которой также указана информация о розыгрыше различных призов, таких как ноутбуки, iPad и т.д.

После нескольких вопросов пользователю предлагается ввести номер своего мобильного телефона, на который придет сообщение с новым паролем для восстановления доступа к аккаунту в Facebook. И стоить это будет 8,52€ в неделю.

Луис Корронс, Технический директор PandaLabs, отмечает: «Снова и снова кибер-мошенники используют социальные сети, чтобы обмануть жертв и заразить ПК. Учитывая растущую популярность социальных сетей, совсем не удивительно, что они используются в качестве приманки».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Linux-службе polkit пропатчили 7-летнюю дыру повышения прав до root

Опасная уязвимость семилетней давности, выявленная в сервисе polkit, позволяет локальному пользователю с минимальным набором прав с легкостью повысить их до уровня root. Проблема актуальна для некоторых дистрибутивов Linux; кураторы проекта Polkit (ранее PolicyKit) выпустили патч 3 июня.

Названная системная служба, ассоциированная с демоном systemd, контролирует взаимодействие программ с разным уровнем привилегий в системе, разрешая или запрещая доступ в соответствии с заложенными политиками авторизации. Уязвимость CVE-2021-3560 позволяет обмануть этого арбитра и добраться до информации, недоступной рядовому пользователю.

По словам автора находки Кевина Бэкхауса (Kevin Backhouse), эксплойт в данном случае тривиален и проводится с помощью обычных инструментов Linux — таких как bash, kill, dbus-send. Как оказалось, подача команды dbus-send (например, для создания нового пользователя в системе) с быстрым откатом позволяет добиться искомого результата, не имея на то прав.

Главное — грамотно рассчитать момент принудительного завершения процесса: polkit в это время должен быть занят обработкой запроса. Помеху он воспримет как вмешательство root-уровня и немедленно выдаст разрешение.

 

Поскольку PoC-атака задействует множество процессов, правильный момент для отката dbus-send выбрать трудно. Бэкхаусу пришлось написать bash-скрипт и несколько раз повторить эксплойт, прежде чем он добился успеха.

Исследователь полагает, что данную уязвимость потому и не замечали годами — ее трудно воспроизвести. Разбор коммитов в репозитории Polkit показал, что опасная ошибка была привнесена в код 9 ноября 2013 года и благополучно перекочевала во все сборки тулкита, вышедшие после этой даты (с 0.113 по 0.118). Благодаря бдительности Бэкхауса ее, наконец, устранили с выпуском polkit-0.119.

Наличие CVE-2021-3560 подтверждено для RHEL 8, Fedora 21 и выше, Debian 11 (Bullseye), а также Ubuntu 20.04 LTS, 20.10 и 21.04. Производители уже выпустили соответствующие обновления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru