Apple не успела пропатчить macOS — атакующие обходят Gatekeeper

Apple не успела пропатчить macOS — атакующие обходят Gatekeeper

К сожалению, Apple затянула с устранением серьезной уязвимости в macOS Mojave, которая позволяет обойти Gatekeeper — судя по всему, киберпреступники взялись активно эксплуатировать эту брешь в реальных атаках. Об этом предупреждают эксперты компании Intego.

Неудивительно, что все к этому пришло, ведь PoC-код был опубликован еще в прошлом месяце. В итоге киберпреступникам оставалось проделать минимум работы, чтобы оснастить свои кампании соответствующим эксплойтом.

По словам исследователей Intego, на прошлой неделе удалось обнаружить четыре экземпляра вредоносной программы для macOS на VirusTotal. Все они использовали уязвимость для обхода GateKeeper и выполнения вредоносного кода в системе macOS.

При этом уязвимость позволяет избежать любых уведомлений пользователя, так что процесс заражения системы проходит незаметно.

Вредоносная программа, используемая в этих атаках, получила детект «OSX/Linker». Эксперты полагают, что вредонос до сих пор находится в стадии разработки, а в настоящее время просто «обкатывается» преступниками.

На это указывает специфическое поведение вредоноса — он не загружает в атакованную систему дополнительных злонамеренных программ.

«Один из обнаруженных нами файлов подписан с идентификатором Apple Developer ID. Это отчасти может служить доказательством заимствования техник у адваре OSX/Surfbuyer», — пишет аналитик Intego Джошуа Лонг в блоге.

Напомним, что в конце мая детали непропатченной уязвимости в системе macOS 10.14.5 (Mojave) и более ранних версиях появились в Сети. Используя эту проблему безопасности, атакующий может выполнить произвольный код без всякого взаимодействия с пользователем.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сервер операторов RaccoonStealer сливал миллионы cookies аутентификации

Киберпреступники, заразившие ряд пользователей вредоносной программой, а также похитившие их пароли и другие персональные данные, не смогли должным образом защитить свои бэкенд-серверы. В результате это привело к утечке конфиденциальной информации жертв злонамеренной киберкампании.

Проблемный сервер обнаружил специалист Security Discovery Боб Дьяченко, он же долгое время пытался убедить провайдера вывести этот сервер в офлайн. Оказалось, что незащищённое хранилище сливало не только пароли пользователей, но и файлы cookies, используемые для аутентификации.

Проблема заключалась в том, что Elasticsearch-сервер стоял просто без пароля, благодаря чему любой желающий мог получить доступ к конфиденциальной информации жертв вредоносной программы. На скриншоте ниже можно посмотреть, как выглядела выгрузка из базы:

 

Судя по всему, вышеупомянутый сервер выступал в качестве командного центра для ворующего информацию зловреда RaccoonStealer. Специалисты в области кибербезопасности даже назвали конкретную версию вредоносной программы — 1.7.2.

«RaccoonStealer распространяется по модели «вредонос как слуга» (Malware-as-a-Service). Аренда зловреда обходится злоумышленникам в 75-200 долларов в месяц. RaccoonStealer может похищать пароли, данные платёжных карт, криптовалютные кошельки и информацию из браузера», — объясняет Джемс Мод из BeyondTrust.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru