Угрозы дня: Кража паролей с помощью перезагрузки, Trend Micro собирал данные пользователей MacOS

2018-09-14 | Автор | комментарии
Как украсть пароли за две минуты с помощью холодной перезагрузки. Приложения Trend Micro собирали данные пользователей MacOS. Вредоносные дополнения Kodi использовались для майнинга криптовалюты. Макросы Microsoft Office в лидерах

Угрозы дня: Кража паролей с помощью перезагрузки, Trend Micro собирал данные пользователей MacOS

С помощью атаки методом холодной перезагрузки можно украсть пароли за две минуты

Атака методом холодной перезагрузки была разработана еще 10 лет назад. Данный метод атаки заключается в том, что злоумышленник, имея физический доступ к модулю оперативной памяти компьютера, может извлечь из него ключи шифрования или другие конфиденциальные данные. Тогда же консорциум Trusted Computing Group, образованный компаниями AMD, Hewlett-Packard, IBM, Intel и Microsoft, закрыл уязвимость, путем перезаписи содержимого ОЗУ при включении питания. Но на днях исследователи безопасности из антивирусной компании F-Secure нашли новый способ атаки методом холодной перезагрузки: с помощью перепрограммирования энергонезависимой часть чипа памяти, в которой расположена инструкция перезаписи; специалисты смогли отключить защиту и включить загрузку с внешнего устройства (USB-накопителя) для извлечения и анализа данных, доступных в оперативной памяти

Несколько приложений Trend Micro были удалены из MacOS App Store

Исследователи безопасности обнаружили, что некоторые приложения безопасности, разработанные популярным поставщиком безопасности Trend Micro собирали пользовательские данные системы MacOS. Было обнаружено, что приложения Trend Micro Dr. Antivirus, Dr.Cleaner, Dr.Unarchiver, App Uninstall, Dr. Battery и Duplicate Finder собирали пользовательские данные из истории браузеров Safari, Google Chrome, Mozilla Firefox и других приложений, и передавали данные на китайский сервер компании. Эксперты безопасности, в том числе эксперт из компании Malwarebytes, подтвердили, что упомянутые приложения крадут конфиденциальные данные пользователей. Trend Micro признали проблему безопасности и из своих приложений удалили функцию сбора истории браузеров и приложений. Компания также извинилась перед своими пользователями в публичном заявлении. Несмотря на то, что Apple уже удалила упомянутые приложения из магазина приложений App Store, она так же настоятельно рекомендует удалить данные приложения из своей системы.

Вредоносные дополнения Kodi использовались для майнинга криптовалюты

В неофициальных репозиториях медиаплеера Kodi были обнаружены дополнения для майнинга криптовалюты в системах Windows и Linux (Android и MacOS игнорировались). Анализ специалистов из компании ESET, показывает, что вредоносное дополнение содержит код Python, с помощью которого устанавливается майнер, после установки код удаляется. Ситуация усугубляется тем, что в медиаплеере Kodi, для обновления дополнений достаточно лишь, что бы новое дополнение имело версию выше уже установленного. Таким образом процедура обновления, ничего не подозревающих владельцев других хранилищ, приводит к распространению вредоносного дополнения через экосистему Kodi.

Макросы Microsoft Office все еще являются лидером по доставке вредоносных программ через электронную почту

Согласно отчету компании Cofense, за прошлый месяц макросы Microsoft Office составили 45% всех проанализированных механизмов доставки вредоносных программ через электронные почты пользователей. В ходе анализа Cofense Intelligence выявила, что вредоносное ПО, загружающееся с помощью макросов, является одним из самых злокачественных современных угроз, остаются актуальными такие вредоносные программы как: Geodo, Chanitor, AZORult и GandCrab. Использование встроенного сценария Visual Basic, разрешение на запуск макроса с помощью одного клика или разрешение на выполнение макроса по умолчанию (часто можно встретить на предприятиях) способствует, данному типу доставки вредоносных программ, дальнейшую актуальность. Вторым по распространению доставки вредоносных программ через электронные почты является уязвимость Microsoft Office Memory Corruption Vulnerability (CVE-2017-11882), которая позволяет злоумышленнику выполнять произвольное выполнение кода. Несмотря на то, что уязвимость была закрыта еще год назад, она до сих актуальна и согласно отчету, составляет 37% по распространенности механизмов доставки вредоносных программ.

Нашли опечатку? Нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества