Скрытый троян-загрузчик угрожает посетителям сайтов ВВС

Исследователи в области безопасности компании Websense обнаружили на двух медиа - ресурсах BBC эксплойт -код, который в фоновом режиме загружал на компьютеры пользователей опасное вредоносное программное обеспечение.

Согласно специалистам, на ресурсах радиовещания BBC 6 Music и 1Xtra обнаружен троян-загрузчик, который без участия жертвы скачивал вредоносный контент с ресурсов, находящихся в доменной зоне Кокосовых островов (сс.сс). Бинарный код содержался в скрытом всплывающем окне, причем, посетителю совершенно не нужно посещать различные разделы сайта, достаточно просто зайти на главную страницу. Важно отметить, что зловред был сгенерирован посредством инструментария Phoenix.

Как известно, Phoenix пытается эксплуатировать имеющиеся уязвимости в приложениях, установленных на компьютере жертвы. На черном рынке имеется огромное количество вариантов, причем для каждого приложения свой троян. Однако особой популярностью пользуются эксплойты, предназначенные для уязвимостей в приложениях Java, Adobe Reader, Adobe Flash Player, Internet Explorer, Firefox, а так же в операционной системе Windows.

Стоит упомянуть, что в результате проведенного с помощью VirusTotal сканирования, оказалось, что только 16 из 43 антивирусных продукта смогли определить угрозу. В настоящий момент эксперты изучают проблему, а в частности каким именно образом злоумышленники внедрили эксплойт – код.

Исследователи пока не сообщили о том, каким образом зловред попал на ресурсы, однако есть предположения, что наиболее вероятным типом атаки в этом случае является SQL injection.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Windows 11 добавят SMB-подпись для борьбы с атаками на NTLM-ретранслятор

Microsoft планирует сделать обязательной SMB-подпись для всех соединений по умолчанию, чтобы бороться с векторами атак, использующими ретрансляцию NTLM (NTLM relay). Соответствующие изменения уже внесены в тестовый билд Windows Enterprise, который вышел на канале Canary.

NTLM-атаки примечательны тем, что злоумышленники заставляют сетевые устройства (включая контроллеры домена) аутентифицироваться на вредоносных серверах, находящихся в руках атакующих.

Такой подход позволяет киберпреступникам повысить права и добиться полного контроля над Windows-доменом.

В 2021 году Microsoft объясняла, как снизить риски и не стать жертвой атаки PetitPotam. Именно PetitPotam использовала ретрансляцию NTLM (NTLM relay). Годом позже, в середине 2022-го, корпорация без лишнего шума устранила баг ShadowCoerce (тоже атака на NTLM-ретранслятор).

«Нововведения помогут нам избавиться от устаревшего подхода, при котором Windows 10 и 11 запрашивали SMB-подпись только при подключении к расшаренным ресурсам с именами SYSVOL и NETLOGON», — пишет Microsoft.

Механизм подписи поспособствует блокировке вредоносных запросов аутентификации, поскольку будет подтверждать легитимность как отправителя, так и получателя. Серверы, на которых подпись SMB отключена, будут выдавать ошибки: «Криптографическая подпись некорректна», «STATUS_INVALID_SIGNATURE», «0xc000a000», или «-1073700864».

Тем не менее есть и небольшой минус: новые защитные функции могут сказаться на производительности. Например, администраторы в теории столкнутся со снизившейся скоростью SMB-копирования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru