Тестируя Raccoon, авторы зловреда заразили свои системы и слили данные

Екатерина Быстрова 17 Августа 2021 - 09:06

Домашние пользователи

...

Авторы вредоносной программы Raccoon, предназначенной для кражи данных, решили попробовать новые функции своего детища. Не рассчитав свои силы, злоумышленники заразили собственные компьютеры и слили внутреннюю информацию.

Как известно, Raccoon способен собирать сведения из целого ряда приложений. За последние два года популярность этого вредоноса существенно выросла.

Тестируя новый вариант зловреда, киберпреступники допустили заражение собственных систем. Неосторожный эксперимент привёл к утечке данных на командный сервер (C2), а оттуда — на форум хакерской тематики.

Интересную утечку помогла обнаружить платформа Hudson Rock Cavalier, которая мониторила взломанные компьютеры. По словам сооснователя Hudson Rock, на счету Raccoon более миллиона скомпрометированных систем, за которыми пристально наблюдает Cavalier.

Инцидент с заражением компьютеров авторов вредоносной программы произошёл в феврале 2021 года, однако на него не сразу обратили внимание, поскольку эти устройства не значились в списках клиентов Hudson Rock.

Позже исследователи отметили IP-адрес — 1.1.1.1, — специально модифицированный, чтобы его не могли отследить.

Собранные специалистами данные показали, что авторы Raccoon тестировали возможности извлечения паролей из браузера Google Chrome. Именно в ходе этих тестов невнимательные злоумышленники допустили заражение собственных систем.

Также исследователи выяснили, что на компьютерах разработчиков зловреда присутствовали cookies популярного русскоязычного киберпреступного форума Exploit. Более того, специалистам даже удалось использовать эти cookies для входа на форум с идентификатором аккаунта Raccoon.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 26 Апреля 2024 - 15:38

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Критическая дыра в WordPress-плагине WP-Automatic используется в атаках

Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.

Проблему, о которой идёт речь, отслеживают под идентификатором CVE-2024-27956. По шкале CVSS ей присвоили почти максимальный балл — 9,9.

«Уязвимость представляет собой возможность SQL-инъекции и создаёт серьёзные риски для владельцев веб-сайтов, поскольку злоумышленники могут получить несанкционированный доступ», — пишут специалисты WPScan в официальном уведомлении.

«Например, атакующие создают аккаунты с правами администратора, загружают вредоносные файлы и получают полный контроль над ресурсом».

По словам исследователей, проблема кроется в механизме аутентификации, реализованном в плагине WP-Automatic. Условный злоумышленник может обойти его с помощью SQL-запросов к базе данных.

В тех атаках, которые удалось отследить экспертам, CVE-2024-27956 используется для отправки несанкционированных запросов к БД и создания учётных записей уровня администратора (имена обычно начинаются на «xtw»).

После этого злоумышленники могут менять код и загружать любые файлы. В данных кампаниях атакующие устанавливают бэкдор и обфусцируют вредоносный код.

С 13 марта 2024 года команда Patchstack отследила уже 5,5 млн попыток эксплуатации CVE-2024-27956.