Сотни миллионов пользователей ПК в опасности из-за новой «дыры» в Windows

Сотни миллионов пользователей ПК в опасности из-за новой «дыры» в Windows

Эксперты из калифорнийской компании Cyclance, специализирующейся на защите предприятий от информационных угроз, объявили об обнаружении нового метода хищения логинов и паролей с любого компьютера под управлением операционной системы Windows, включая Windows 10, выпуск финальной версии которой запланирован на 2015 г. Аналитики говорят, что под угрозой могут находиться сотни миллионов пользователей.

В компании сообщили, что похитить логины и пароли посредством уязвимости в Windows можно примерно в трех десятках продуктах как самой Microsoft, так и сторонних разработчиков. В число этих продуктов вошли: Adobe Reader, Apple QuickTime, Apple Software Update (устанавливает обновления для iTunes), Microsoft Internet Explorer, Microsoft Windows Media Player, Microsoft Excel, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus и др.

Новый метод эксперты назвали Redirect to SMB («Перенаправление на SMB», где SMB — узел, способный устанавливать соединение по протоколу Server Message Block), передает cnews.ru.

Протокол Server Message Block предназначен для обмена файлами по сети. Он позволяет приложению (или пользователю приложения) получать доступ к файлам и другим ресурсам на удаленном сервере. Приложение может читать файлы на удаленном сервере, создавать их и модифицировать.

Суть метода Redirect to SMB, позволяющего злоумышленнику украсть логины и пароли, заключается в перехвате канала с доверенным сервером при помощи атаки «человек посередине» (man-in-the-middle) и прокладке маршрута через подставной сервер SMB с программным обеспечением, извлекающим из сетевых пакетов необходимые данные.

Метод основан на уязвимости, найденной в 1997 г. Аароном Спэнглером (Aaron Spangler). Он обнаружил, что если ввести в Internet Explorer адрес, начинающийся со слова file (например, file:/ /1.1.1.1/), браузер попытается связаться с SMB-сервером по адресу 1.1.1.1.

Исследователи рассказали, что они обнаружили новый метод взлома, когда пытались скомпрометировать приложение чата (они не сообщили, какое именно). Когда приложение получало URL на изображение, оно пыталось автоматически отобразить его превью (уменьшенную копию). Исследователи отправили приложению URL, начинающийся с file (например, file:/ /192.168.36.207/adorable-cats.gif). Как и в случае с адресами, начинающимися с http, приложение попыталось загрузить изображение по этому адресу, чтобы сформировать превью. На самом же деле оно попыталось установить связь с SMB-севером исследователей, расположенным по IP-адресу 192.168.36.207.

Затем исследователи написали на языке Python и запустили веб-сервер, отвечающий на любой запрос к нему кодом HTTP 302 (запрошенный документ временно доступен по другому адресу). Вместе с этим кодом сервер отправляет новый адрес для браузера — file:/ /192.168.36.207/adorable-cats.gif. Таким образом при любом запросе к веб-серверу злоумышленника, браузер на компьютере жертвы перейдет на SMB-сервер с ПО для извлечения логинов и паролей.

Исследователи выяснили, что злоумышленники могут перехватывать не только запросы из Internet Explorer, но и запросы из установленного на ПК программного обеспечения к серверам разработчиков. Эти запросы могут отправляться для загрузки обновлений, проверки подлинности продукта и во многих других случаях.

Пока Microsoft не обратила внимание на данную проблему. Для защиты исследователи рекомендуют блокировать исходящий трафик через порты TCP 139 и TCP 445. «Мы рассчитываем, что Microsoft пересмотрит свое отношение к этой уязвимости и запретит соединения с произвольными SMB-серверами», — заключили эксперты.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru