Меняющее цвет WhatsApp расширение оказалось вредоносным

Меняющее цвет WhatsApp расширение оказалось вредоносным

Киберпреступники снова атакуют пользователей WhatsApp. На этот раз, как рассказали в антивирусной компании ESET, в ходе фишинговой атаки злоумышленники заставляли жертв устанавливать вредоносное расширение, якобы предназначенное для изменения цвета интерфейса мессенджера.

Все начинается с того, что пользователю приходит сообщение, в котором предлагается изменить стандартный зеленый интерфейс WhatsApp на любой другой. Для этого юзеру предлагается установить специальное расширение.

Злоумышленники предусмотрели несколько вариантов развития событий, которые зависят от операционной системы жертвы. Пользователей десктопной версии WhatsApp отправляют загрузить специальное расширение для Chrome из официального магазина. Оно называется Black Theme for WhatsApp.

Если пользователь установит это расширение, оно автоматически разошлет предложение поменять оформление WhatsApp по списку контактов и групповым чатам.

По словам аналитиков ESET, это расширение до сих пор находится в интернет-магазине Chrome. Его скачали уже почти 16 тысяч пользователей.

Пользователи мобильной версии популярного мессенджера сталкиваются с необходимостью поделиться ссылкой с 30 друзьями или 10 чатами — только в этом случае программа обещает изменить цвет WhatsApp.

После этого жертве предлагают скачать APK-файл под названием best_video.apk и подписаться на уведомления с русскоязычного ресурса.

«Если пользователь выполнит все инструкции, его мобильный телефон будет заражен трояном для показа рекламы, который продукты ESET NOD32 детектируют как Android/Hiddad. Пользователь изначально не замечает присутствие вредоноса — демонстрация рекламных баннеров начинается только во время использования WhatsApp», — пишут специалисты ESET.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

11-летняя уязвимость в Linux-команде wall позволяла утащить sudo-пароли

Последние 11 лет в команде «wall» пакета «util-linux», являющегося частью операционной системы Linux, присутствовала уязвимость, позволяющая атакующему без высоких прав утащить пароли пользователя или изменить содержимое буфера обмена.

Проблему отслеживают под идентификатором CVE-2024-28085, эксперты дали ей имя WallEscape. Согласно описанию, брешь можно найти во всех версиях пакета за последние 11 лет, вплоть до выпущенной на днях 2.40.

К счастью, эксплуатация бага возможна только при определённых сценариях, однако она демонстрирует незаурядный способ кражи учётных данных целевого пользователя.

У атакующего должен быть доступ к Linux-серверу, на котором уже сидят несколько юзеров, подключившись в терминале. Такое бывает, например, когда студенты выполняют задания в режиме онлайн.

На WallEscape указал исследователь в области кибербезопасности Скайлер Ферранте (TXT). По его словам, это проблема некорректной нейтрализации escape-последовательностей команды «wall».

Это команда используется в Linux для передачи сообщений на терминалы всех пользователей, вошедших в одну систему (например, тот же сервер). Из-за некорректной фильтрации при обработке ввода неаутентифицированный злоумышленник может использовать escape-символы для создания фейкового запроса SUDO.

Если целевой пользователь клюнет на уловку и введёт пароль в запрос, атакующий спокойно получит его. Следует учитывать, что эксплуатация возможна только в том случае, если утилита «mesg» активна и у команды «wall» есть права на setgid.

Код демонстрационного эксплойта доступен на GitHub. Чтобы устранить уязвимость, администраторам достаточно забрать права на setgid у команды «wall» или же урезать функциональность передачи сообщений в терминал (использовать флаг «n» с командой «mesg»).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru