Уязвимость в Realtek SDK уже используется в атаках ботнета Mirai

Екатерина Быстрова 24 Августа 2021 - 11:56

Домашние пользователи

...

На прошлой неделе исследователи раскрыли подробности уязвимости в чипах Realtek, затрагивающей сотни тысяч умных устройств от 65 вендоров. Операторам известного DDoS-ботнета понадобилось всего несколько дней, чтобы запустить атаки, в которых эксплуатируется эта брешь.

Речь идёт об уязвимости под идентификатором CVE-2021-35395, подробности которой представили специалисты компании IoT Inspector. Дыру нашли в Realtek SDK, который поставляется другим компаниям для использования в однокристальных системах (System-on-a-Chip, SoC).

По словам IoT Inspector, эксперты нашли более 200 уязвимых моделей девайсов, которые производят 65 различных вендоров. По предварительным расчётам, это значит, что в Сети находятся сотни тысяч дырявых умных устройств, включая маршрутизаторы, шлюзы, репитеры Wi-Fi, IP-камеры, устройства для умного освещения и даже детские игрушки.

По шкале CVSSv3 уязвимость CVE-2021-35395 получила 9,8 баллов из 10, поскольку с её помощью удалённый атакующий может подключиться к устройствам через специально сформированные параметры URL. Более того, злоумышленник также может обойти аутентификацию и выполнить вредоносный код с самыми высокими правами.

Разработчики Realtek опубликовали (PDF) патчи за день до выхода отчёта IoT Inspector, однако этого времени всё равно оказалось недостаточно для массового обновления уязвимых устройств.

К сожалению, брешью уже успел воспользоваться новый вариант ботнета Mirai. По словам исследователей Unit 42, которые наблюдали за атаками злоумышленников, наиболее часто встречаются следующие уязвимые девайсы:

Netis E1+.
Маршрутизатор Edimax N150 and N300 Wi-Fi.
Маршрутизатор Repotec RP-WR5444.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Мая 2026 - 09:07

Windows Трояны Домашние пользователи

Новый троян крадёт банковские данные и сам рассылает себя через WhatsApp

Исследователи из Elastic Security Labs обнаружили новый банковский троян TCLBanker. Он нацелен на 59 банковских, финтех- и криптовалютных платформ и распространяется через троянизированный MSI-установщик, замаскированный под Logitech AI Prompt Builder.

После заражения TCLBanker загружается в контексте легитимного приложения Logitech через стороннюю загрузку DLL. Такой подход помогает выглядеть менее подозрительно для защитных решений.

Троян также активно сопротивляется анализу. Он проверяет окружение, мешает запуску в песочницах и следит за появлением инструментов вроде IDA, Ghidra, x64dbg, dnSpy, Frida и ProcessHacker. Если замечает признаки анализа, вредоносная составляющая может не раскрыться.

Основной банковский модуль раз в секунду отслеживает адресную строку браузера через Windows UI Automation API. Если пользователь открывает сайт одной из целевых финансовых платформ, троян связывается с командным сервером и передаёт сведения о системе и жертве.

Дальше оператор получает довольно широкий набор возможностей: просмотр экрана в реальном времени, снятие скриншотов, кейлоггинг, перехват буфера обмена, выполнение команд, управление окнами, доступ к файловой системе и удалённое управление мышью и клавиатурой. Во время активной сессии троян может завершать процесс Диспетчера задач, чтобы пользователь не заметил происходящее.

Для кражи данных TCLBanker использует поддельные оверлеи. Он может показывать фейковые формы входа, ввод ПИН-кода, окна поддержки банка, экраны ожидания, имитацию Windows Update и другие элементы, которые маскируют действия злоумышленников.

Отдельно исследователи выделяют модуль самораспространения. TCLBanker ищет данные WhatsApp Web (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) в профилях Chromium, запускает скрытый экземпляр браузера и использует аккаунт жертвы для рассылки сообщений контактам.

Ещё один модуль работает через Microsoft Outlook. Вредоносная программа запускает Outlook, собирает контакты и адреса отправителей, а затем рассылает фишинговые письма уже с почты жертвы.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!