Выявлена вредоносная программа для Linux-серверов, оформленная в форме модуля к http-серверу Apache

Выявлена вредоносная программа для Linux-серверов

Антивирусная компания ESET сообщила об обнаружении нового вредоносного ПО Linux/Chapro.A, используемого злоумышленниками для организации атак на посетителей сайтов, размещённых на взломанных Linux-серверах. Особенностью Linux/Chapro.A является то, что вредоносный код оформлен в виде модуля для http-сервера Apache, осуществляющего подстановку эксплуатирующих браузеры iframe- или JavaScript-блоков в трафик обслуживаемых сервером сайтов.

Примечательно, что в модуле реализовано несколько техник для скрытия своего присутствия. В частности, модуль использует cookie и лог IP-адресов посетителей для организации внедрения клиенту вредоносного iframe только один раз (при повторных открытиях страницы, на ней не будет вредоносного кода), кроме того модуль не осуществляет подстановку для IP-адресов, с которых были зафиксированы входы по SSH на сервер, что мешает выяснить администраторам каким образом была заражена машина и с какого именно сайта был получен вредоносный код. Модуль также содержит вшитую базу идентификаторов поисковых систем и оставляет страницы нетронутыми, в случае обращения поисковых роботов. Подобная особенность затрудняет массовое выявление поражённых вредоносным модулем серверов и автоматическую пометку об опасности в выводе поисковых систем, пишет opennet.ru.

Внедряемый в страницы iframe-блок нацелен на поражение пользователей Windows и содержит ссылку для загрузки типового комплекта для эксплуатации уязвимостей в Internet Explorer, Adobe Reader и Java-плагине. В случае успешной эксплуатации на машину клиента устанавливается троянское ПО ZeuS (Win32/Zbot) для перехвата паролей и банковских аккаунтов. Вредоносный apache-модуль был выявлен на взломанном сервере в бинарном виде, собранном для 64-разрядных систем. Каким образом был взломан сервер не сообщается, в качестве наиболее вероятного сценария рассматривается утечка SSH-ключей или паролей с машины администратора (для некоторых из взломанных серверов одновременно были выявлены факты взлома машин их администраторов).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В WhatsApp закрыли опасную уязвимость, используемую в шпионских атаках

WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) устранил серьёзную дыру в своих приложениях для iOS и macOS. Проблема получила идентификатор CVE-2025-55177 и могла использоваться вместе с недавним багом в iOS (CVE-2025-43300) для проведения атак 0-day.

Суть бага в том, что сторонний пользователь мог заставить WhatsApp обработать данные с произвольного URL на устройстве жертвы.

В связке с уязвимостью в ОС от Apple это превращалось в настоящий 0-click сценарий — когда заражение происходит без кликов и действий со стороны пользователя.

Уязвимость затронула:

  • WhatsApp для iOS до версии 2.25.21.73 (исправлено 28 июля 2025),
  • WhatsApp Business для iOS до версии 2.25.21.78 (патч вышел 4 августа),
  • WhatsApp для macOS до версии 2.25.21.78 (также закрыто 4 августа).

Meta (признана экстремистской и запрещена в России) подтвердила, что уязвимость фигурировала в реальных кибератаках. Amnesty International рассказала, что за последние 90 дней WhatsApp уведомил ряд пользователей, которые, скорее всего, стали целью шпионской кампании. Среди них — журналисты и представители гражданского общества.

Эксперты советуют тем, кто мог попасть под удар, сделать полный сброс устройства до заводских настроек, а также обязательно обновить операционную систему и приложение WhatsApp.

Пока непонятно, кто именно стоит за этой атакой, но всё указывает на использование коммерческого правительственного шпионского софта.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru