Поиск
Показаны результаты для тегов 'бэкдор'.
Найдено: 7 результатов
-
Разработчикам менеджера пакетов Node Package Manager (npm) удалось избежать катастрофы, своевременно обнаружив и заблокировав распространение бэкдора, хитроумно спрятанного в популярном пакете (библиотеке) для JavaScript. Изначально бэкдор был обнаружен в «getcookies» - сравнительно новом пакете npm для работы с файлами cookie в браузере. Получив жалобы от сообщества npm, разработчики изучили пакет и обнаружили в нем сложный механизм получения команд от удаленного злоумышленника, способного атаковать любое приложение, где используется «getcookies». С помощью синтаксического анализа заголовков HTTP-запросов, отправляемых пользователем, бэкдор искал особым образом отформатированные данные с тремя разными командами. Как пояснили разработчики npm, бэкдор позволял атакующему добавлять на запущенный сервер произвольный код и выполнять его. Поскольку «getcookies» является сравнительно новой библиотекой, она используется лишь в небольшом количестве проектов. Однако разработчики npm обнаружили встроенную цепочку зависимостей, через которую пакет «getcookies» косвенно попал в структуру популярной библиотеки «Mailparser». «Mailparser» - пакет npm для синтаксического анализа данных электронных писем с использованием JavaScript. Библиотека является устаревшей и в настоящее время вместо нее предпочтение отдается более новой «Nodemailer». Тем не менее, «Mailparser» не была исключена из npm, так как ее до сих пор используют более старые приложения. В среднем «Mailparser» загружается порядка 66 тыс. раз в неделю.
-
Эксперты компании Wordfence обнаружили очередные три плагина для WordPress с бэкдорами. Речь идет о версиях плагинов Duplicate Page and Post 2.1.0, No Follow All External Links 2.1.0 и WP No External Links 4.2.1. Первый из них имеет свыше 50 тыс. активных установок, второй – более 9 тыс. и третий – свыше 30 тыс. 14-22 декабря команда WordPress удалила их из директории плагинов WordPress. Вредоносный код в трех вышеупомянутых плагинах работает очень похоже, поэтому можно сделать вывод, что их новыми владельцами является одно и то же лицо или лица. Вредонос вызывает удаленный сервер и внедряет на сайты сторонний контент и ссылки. По мнению экспертов, код используется для внедрения SEO-спама с целью повысить позицию в поисковой выдаче других сайтов. В сентябре прошлого года сообщалось о бэкдорах в версиях Display Widgets 2.6.1 и 2.6.3. Команда WordPress удалила их из директории плагинов WordPress, однако к тому времени обновить плагин до вредоносной версии успели более 200 тыс. пользователей. Кроме того, по данным компании White Fir Design, несколько сотен сайтов продолжают использовать 14 вредоносных плагинов WordPress спустя почти три года после выявления в них вредоносного кода.
-
Неизвестный хакер внедрил бэкдор в исходный код плагина для WordPress, маскирующегося под средство защиты от спама под названием X-WP-SPAM-SHIELD-PRO. По всей видимости, злоумышленник пытался использовать репутацию популярного инструмента для защиты от спама WordPress WP-SpamShield Anti-Spam. Поддельный плагин содержит бэкдор, позволяющий хакеру создать собственную учетную запись администратора на атакованном сайте, загрузить файлы на серверы жертвы, отключить все плагины и пр. Вредоносное поведение распространяется на все файлы поддельного плагина. В частности, файл class-social-facebook.php маскируется под средство защиты от спама в социальных сетях и отправляет злоумышленнику список плагинов пользователя и при необходимости отключает их. Цель отключения всех плагинов заключается в том, чтобы деактивировать все плагины, блокирующие доступ к функциям авторизации или детектирующие попытки неавторизованного входа. Файлы class-term-metabox-formatter.php и class-admin-user-profile.php отправляют злоумышленнику информацию о версии WordPress и список всех пользователей с правами администратора. Plugin-header.php добавляет учетную запись с правами администратора под именем mw01main. Файл wp-spam-shield-pro.php связывается с сервером хакера, расположенном на mainwall.org, осведомляя его об установке вредоносного плагина новым пользователем. Информация, передаваемая этим файлом, включает учетные данные, URL-адрес зараженного сайта и IP-адрес сервера. Wp-spam-shield-pro.php также содержит вредоносный код, позволяющий злоумышленнику загрузить на сайт жертвы ZIP-архив, распаковать его и исполнить хранящиеся внутри файлы. Как полагают эксперты по безопасности из компании Sucuri, для распространения фальшивки злоумышленник использовал скомпрометированную версию известного пакета плагинов для Wordpress All In One SEO Pack. Злоумышленник не публиковал плагин в официальном репозитории WordPress, распространяя его через другие источники. Напомним, ранее бэкдор был обнаружен в еще одном плагине для Wordpress - Display Widgets. Вредоносный код был выявлен в версиях Display Widgets 2.6.1 и Display Widgets 2.6.3. К моменту, когда команда WordPress удалила вредоносные версии плагина из официального репозитория, их уже успело установить более 200 тыс. пользователей.
-
Исследователи безопасности из Cisco Talos обнаружили вредоносный код в популярной утилите CCleaner от компании Avast. Бэкдор позволяет злоумышленникам загружать дополнительное вредоносное ПО, например, программы-вымогатели или кейлоггеры. По предварительным оценками Avast, скомпрометированная версия CCleaner была загружена 2,27 млн раз. Как показало дальнейшее исследование, скомпрометированные версии CCleaner 5.33 и CCleaner Cloud 1.07.3191 были загружены на сервер CCleaner по меньшей мере 11 сентября. По словам исследователей, они были модифицированны перед тем, как стали доступны широкой публике. Вредонос собирал, шифровал и отправлял на сервер злоумышленников информацию об имени компьютера, установленном программном обеспечении и запущенных процессах. Хакеры использовали алгоритм генерации домена (Domain Generation Algorithm, DGA) для создания новых доменов и последующей передачи украденных данных в том случае, если сервер злоумышленников выйдет из строя. Использование DGA может говорить о профессионализме хакеров, отметили эксперты Cisco Talos. По словам разработчиков утилиты ССleaner, компании Piriform, сервер, с которого осуществлялось распространение зараженной версии, уже отключен. Пользователи облачного сервиса CCleaner Cloud получили обновление автоматически, остальным пользователям рекомендуется как можно быстрее обновить свое программное обеспечение. Как заявил операционный директор Avast Ондрей Влчек, компания не собирается преуменьшать масштабы заражения. 2,27 млн устройств – это очень много, отметил он, но причин для паники нет, поскольку вредоносное ПО было выявлено раньше, чем его полезную нагрузку успели активировать. CCleaner - утилита для очистки и оптимизации жесткого диска. По состоянию на ноябрь 2016 года она была загружена 2 млрд раз и каждую неделю число загрузок увеличивается еще на 5 млн. Разработчиком утилиты является фирма Piriform, которую в 2017 году приобрела компания Avast Software.
-
- популярной
- утилите
-
(и ещё 3 )
C тегом:
-
Eset представила новый отчет об эпидемии шифратора Diskcoder.C (Petya). Исследование позволило определить начальный вектор заражения. От Diskcoder.C (Petya) пострадали компании в ряде стран мира, при этом «нулевым пациентом» стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчетности и документооборота. Атакующие получили доступ к серверу обновлений M.E.Doc и с его помощью направляли троянизированные обновления с автоматической установкой. Эксперты Eset обнаружили сложный скрытый бэкдор, внедренный в один из легитимных модулей M.E.Doc. Маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы. Изучив все обновления M.E.Doc, выпущенные в 2017 году, исследователи выяснили, что модуль бэкдора содержали как минимум три апдейта: 01.175-10.01.176 от 14 апреля 2017 года, 01.180-10.01.181 от 15 мая 2017 года и 01.188-10.01.189 от 22 июня 2017 года. Эпидемия Diskcoder.C (Petya) началась через пять дней после выхода вредоносного обновления 22 июня. Ранее, в мае, Eset фиксировала активность другого шифратора – Win32/Filecoder.AESNI.C (XData). По данным телеметрии, он появлялся на компьютере после запуска программного обеспечения M.E.Doc. 17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. Вероятно, этим можно объяснить сравнительно небольшое число заражений XData. Атакующие не ожидали выхода апдейта 17 мая и запустили шифратор 18 мая, когда большинство пользователей уже успели установить безопасное обновление. Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО – так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв. «Нам предстоит ответить на ряд вопросов, – сказал Антон Черепанов, старший вирусный аналитик Eset. Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой?». Eset продолжает исследование угрозы. По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты установили связь между эпидемией Diskcoder.C (Petya) и кибергруппой Telebots. Достоверно определить, кто стоит за деятельностью этой группировки, в настоящее время не представляется возможным. Eset рекомендует всем пользователям M.E.Doc сменить пароли прокси-серверов и учетных записей электронной почты. Антивирусные продукты Eset детектируют бэкдор как MSIL/TeleDoor.A.
-
- eset
- обнаружила
-
(и ещё 7 )
C тегом:
-
Специалисты компании «Доктор Веб» обнаружили и исследовали троянца для операционной системы Apple macOS, способного выполнять поступающие от злоумышленников команды. Троянец-бэкдор был добавлен в вирусные базы Dr.Web под именем Mac.BackDoor.Systemd.1. В момент старта он выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троянец регистрирует себя в автозагрузке, для чего создает файл с командами sh и файл .plist. Зашифрованная конфигурационная информация хранится в самом файле троянца. В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение. После установки связи бэкдор выполняет поступающие команды и периодически отсылает злоумышленникам следующую информацию: наименование и версия операционной системы; имя пользователя; наличие у пользователя привилегии администратора (root); MAC-адреса всех доступных сетевых интерфейсов; IP-адреса всех доступных сетевых интерфейсов; внешний IP-адрес; тип процессора; объем оперативной памяти; данные о версии вредоносной программы и ее конфигурации. Троянец имеет собственный файловый менеджер, с использованием которого киберпреступники могут выполнять различные действия с файлами и папками на зараженном компьютере. Бэкдор способен выполнять следующие команды: получить список содержимого заданной директории; прочитать файл; записать в файл; получить содержимое файла; удалить файл или папку; переименовать файл или папку, изменить права для файла или папки (команда chmod); изменить владельца файлового объекта (команда chown); создать папку; выполнить команду в оболочке bash; обновить троянца; переустановить троянца; сменить IP-адрес управляющего сервера; установить плагин. Троянец Mac.BackDoor.Systemd.1 обнаруживается и удаляется продуктами Dr.Web для Mac и потому не представляет опасности для пользователей Dr.Web.
-
Специалисты компании Malwarebytes обнаружили бэкдор в драйвере, который тайно устанавливается на систему пользователя посредством PUP пакетов для программного обеспечения, произведенного в Китае. Бэкдор позволяет сторонним лицам загрузить неподписанные драйверы на компьютер под управлением Windows или выполнить код с повышенными привилегиями на системе жертвы. Как пояснили эксперты, установщик PUP загружает на компьютер несколько 7-ZIP архивов, включающих ресурсы приложения, в том числе 32- и 64-разрядную версии драйвера, который принудительно и без ведома пользователя устанавливается на устройство. Драйвер содержит код, позволяющий выполнить ряд действий. В частности, отключить функцию Driver Signature Enforcement (принудительна проверка цифровой подписи драйверов) в Windows, а также повысить права на системе и выполнить код с привилегиями ядра. По всей видимости, бэкдор не является результатом ошибки и был создан для неблаговидных целей. В некоторых случаях код бэкдора был обфусцирован и запакован вместе с приложением VMProtect для уклонения от обнаружения исследователями безопасности. Бэкдор работает на следующих версиях ОС: Windows 2000, Windows XP, Windows XP, x64Windows Vista /Windows 7, Windows 8, Windows 8.1, Windows 10 v1507, v1511, v1607, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016.