Баг Microsoft MSHTML используется для кражи паролей Google, Instagram

Баг Microsoft MSHTML используется для кражи паролей Google, Instagram

Иранская киберпреступная группировка крадёт учётные данные пользователей Google и Instagram, используя при этом вредоносную программу PowerShortShell и уязвимость в Microsoft MSHTML. О новой вредоносной кампании рассказали исследователи из SafeBreach Labs.

Зловред PowerShortShell также используется для слежки за пользователями Telegram и сбора информации о системах взломанных устройств. Все эти сведения отправляются на специальный сервер, находящийся под контролем киберпреступников.

По словам SafeBreach Labs, активность злоумышленников впервые была зафиксирована в июле, когда стартовали письма целевого фишинга. Преступники атаковали в первую очередь пользователей Windows, поскольку вложенный документ в формате Word содержал эксплойт для RCE-бага в Microsoft MSHTML — CVE-2021-40444.

Пейлоад PowerShortShell запускается с помощью DLL, которая первой попадает в систему жертвы. После запуска PowerShell-скрипт начинает сбор данных и параллельно снимает скриншоты. Всё это практически сразу уходит на сервер злоумышленников.

«Практически 50% жертв группировки располагаются в США. Судя по содержанию фишинговых писем, которые упоминают президента Ирана и его ошибки на посту, кампания нацелена на иранцев, проживающих на территории другой страны», — объясняет команда SafeBreach Labs.

Второе место по числу жертв атаки занимают Нидерланды (12,5%), а третье делят между собой Россия, Канада и Германия (8,3%).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Ноябрьские обновления Windows сломали ODBC-подключения к базам данных

Microsoft работает над исправлением новой ошибки, ставшей следствием установки ноябрьского набора обновлений для Windows. Известно, что недавние апдейты вызвали сбой при подключении софта к БД ODBC.

По словам корпорации, затронутые приложения могут выдавать сбой при попытке установить соединение с базами данных с помощью драйвера Microsoft ODBC SQL Server.

«После установки ноябрьских обновлений программы, использующие ODBC-соединения с помощью драйвера sqlsrv32.dll для доступа к БД, могут выдавать ошибку подключения. Эту ошибку можно встретить как в приложениях, так и на SQL-сервере», — пишет Microsoft.

В результате пользователи могут столкнуться со следующими предупреждениями:

  • The EMS System encountered a problem. Message: [Microsoft][ODBC SQL Server Driver] Protocol error in TDS Stream.
  • The EMS System encountered a problem. Message: [Microsoft][ODBC SQL Server Driver] Unknown token received from SQL Server.

Проблема затрагивает как клиентские, так и серверные версии Windows — с Windows 7 SP1 и Windows Server 2008 SP2 по Windows 11 и Windows Server 2022.

В Microsoft подчёркивают, что разработчики в настоящее время работают над фиксом, который должен выйти в ближайшее время.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru