Microsoft Defender ATP детектирует Google Chrome как бэкдор Funvalget.A

Microsoft Defender ATP детектирует Google Chrome как бэкдор Funvalget.A

Microsoft Defender ATP детектирует Google Chrome как бэкдор Funvalget.A

Коммерческая версия встроенного антивируса Microsoft Defender Advanced Threat Protection (ATP) по какой-то причине помечает последнюю версию браузера Google Chrome вредоносной. По словам отдельных пользователей, антивирусная программа оповещает о наличии бэкдора, указывая на популярный интернет-обозреватель.

Речь идёт о версии Chrome 88.0.4324.146, которую разработчики Google выпустили совсем недавно. Согласно сообщениям отдельных системных администраторов, Defender ATP видит в определённых файлах Chrome v88.0.4324.146 трояна, детектируя их как «PHP/Funvalget.A».

Самой собой, это ложное срабатывание вызвало вполне объяснимую тревогу в свете недавних событий с атаками на цепочки поставок крупных компаний. В настоящее время сисадмины ждут официальное заявление от Microsoft и подтверждение ложного срабатывания антивируса.

Пользователь Twitter под ником Dark Defender уточнил, что детект идёт на файл C:\Program Files (x86)\Google\Chrome\Application\88.0.4324.146\Locales\sk.pak. Другой исследователь привёл ещё один детектируемый архив — C:\Program Files\Google\Chrome\Application\88.0.4324.146\Installer\chrome.7z.

Чуть позже Microsoft подтвердила, что Microsoft Defender Advanced Threat Protection неверно определяет бэкдор Funvalget в ряде файлов браузера Google Chrome. По словам техногиганта, это ложное срабатывание было вызвано ошибкой в автоматизации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Взломан сайт Xubuntu: вместо торрента распространяли вредоносный файл

Пользователи дистрибутива Xubuntu, созданного на базе Ubuntu, сообщили о взломе официального сайта проекта. Вместо привычного торрент-файла для загрузки системы на странице появился ZIP-архив с вредоносным исполняемым файлом для систем Windows (EXE).

Проверка на VirusTotal показала, что этот файл детектируется 32 антивирусными движками.

После первых сообщений от пользователей команда Xubuntu оперативно удалила подозрительную ссылку с сайта.

Некоторые пользователи запустили подозрительный файл в виртуальной машине. При запуске он на мгновение открывал окно командной строки Windows, а затем отображал интерфейс, похожий на официальный установщик Xubuntu. По всей видимости, именно в этот момент происходил запуск скрытых вредоносных компонентов.

Чтобы не вызывать подозрений, злоумышленники добавили в архив настоящий установщик Xubuntu — в итоге пользователь видел привычный процесс установки и не догадывался, что в фоне вредонос начинал искать конфиденциальные данные.

Пока ни одна ИБ-компания не опубликовала технический разбор зловреда. Однако эксперты полагают, что авторов интересуют криптовалютные кошельки и финансовые данные.

Команда Xubuntu уже восстановила корректные ссылки на загрузку и расследует детали инцидента. Пользователям, которые успели скачать ZIP-архив, настоятельно рекомендуется удалить файл и проверить систему антивирусом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru