IT новини

Information Security and IT Security NewsInformation Security and IT Security News

В плагіні для Wordpress виявлений бекдор

Бекдор містився в підробленому плагін X-WP-SPAM-SHIELD-PRO.

 Невідомий хакер впровадив бекдор в вихідний код плагіна для WordPress, який маскується під засіб захисту від спаму під назвою X-WP-SPAM-SHIELD-PRO.

 По всій видимості, зловмисник намагався використовувати репутацію популярного інструменту для захисту від спаму WordPress WP-SpamShield Anti-Spam. Підроблений плагін містить бекдор, що дозволяє хакеру створити власний обліковий запис адміністратора на атакованому сайті, завантажити файли на сервери жертви, відключити всі плагіни і ін.

 Шкідливе поведінку поширюється на всі файли підробленого плагіна. Зокрема, файл class-social-facebook.php маскується під засіб захисту від спаму в соціальних мережах і відправляє зловмисникові список плагінів користувача і при необхідності відключає їх. Мета відключення всіх плагінів полягає в тому, щоб деактивувати всі плагіни, що блокують доступ до функцій авторизації або детектирующие спроби неавторизованого входу. Файли class-term-metabox-formatter.php і class-admin-user-profile.php відправляють зловмисникові інформацію про версії WordPress і список всіх користувачів з правами адміністратора. Plugin-header.php додає обліковий запис з правами адміністратора під ім'ям mw01main. Файл wp-spam-shield-pro.php зв'язується з сервером хакера, розташованому на mainwall.org, обізнані його про встановлення шкідливого плагіна новим користувачем. Інформація, передана цим файлом, включає облікові дані, URL-адресу зараженого сайту і IP-адреса сервера. Wp-spam-shield-pro.php також містить шкідливий код, що дозволяє зловмисникові завантажити на сайт жертви ZIP-архів, розпакувати його і виконати зберігаються всередині файли.

 Як вважають експерти з безпеки з компанії Sucuri, для поширення фальшивки зловмисник використовував скомпрометовану версію відомого пакету плагінів для Wordpress All In One SEO Pack. Зловмисник не публікував плагін в офіційному репозиторії WordPress, поширюючи його через інші джерела.

 Нагадаємо, раніше бекдор був виявлений в ще одному плагіні для Wordpress - Display Widgets. Шкідливий код був виявлений в версіях Display Widgets 2.6.1 і Display Widgets 2.6.3. До моменту, коли команда WordPress видалила шкідливі версії плагіна з офіційного репозиторію, їх вже встигло встановити більш 200 тис. Користувачів.
Оскільки дана реалізація була модифікованою версією, дослідникам не вдалося виявити експлоїт відразу.

 Стали відомі нові подробиці про здирницькі ПО Bad Rabbit, використовувався в ході недавніх атак на ряд організацій в Росії і Україні. За словами дослідників безпеки з Cisco Talos і F-Secure для більш швидкого поширення Bad Rabbit використовувалася модифікована версія експлоїта EternalRomance, викраденого у групи Equation Group, підозрюваної в зв'язках з Агентством національної безпеки США.

 Першим здирницькі ПО, що використав експлоїт EternalBlue з арсеналу АНБ, став шифрувальник WannaCry. Пізніше експлоїти EternalBlue і EternalRomance використовувалися для поширення вимагача NotPetya, який атакував в червні 2017 року українські енергетичні, телекомунікаційні та фінансові компанії.

 У разі Bad Rabbit спочатку експерти повідомляли, що хакери використовували утиліту Mimikatz, що дозволяє витягувати облікові дані з пам'яті в відкритому вигляді, і за допомогою списку логінів / паролів отримували доступ до загальних папок SMB в цільової мережі. Як заявили дослідники з Cisco Talos, після поглибленого аналізу коду шифрувальника їм вдалося виявити свідчення наявності експлоїта EternalRomance, також розповсюджуваного за допомогою протоколу SMB. Оскільки дана реалізація була модифікованою версією, більшості дослідників і автоматизованим системам сканування не вдалося виявити експлоїт відразу.

 Нагадаємо, раніше в ході аналізу дослідникам вдалося виявити, що за атаками Bad Rabbit і епідемією здирницькі ПО NotPetya може стояти одна і та ж група хакерів.

скрипт для тестування продуктів на вразлівість до атаки KRACK


 Інструмент розроблений виявили уразливість дослідником Меті Ванхофом.

 Дослідник безпеки Меті Ванхов (Mathy Vanhoef) з Льовенського університету в Бельгії представив інструмент для перевірки продуктів на наявність уразливості до атаки KRACK. Linux-скрипт опублікований в репозиторії дослідника на GitHub.

 Нагадаємо, раніше на цьому тижні Ванхов повідомив про уразливість в протоколі WPA2, що ставить під загрозу практично всі існуючі на даний момент мережі Wi-Fi. З її допомогою зловмисник може здійснити атаку реінсталяціі ключів (Key Reinstallation Attack, KRACK) і отримати доступ до конфіденційних даних.

 Представлений Ванхофом скрипт не призначений для здійснення атак. Для того щоб з його допомогою перевірити, вразлива чи ні точка доступу Wi-Fi до атаки KRACK, потрібен обліковий запис користувача. Перед запуском скрипта потрібно спочатку відключити Wi-Fi, виконати sudo rfkill, а потім знову включити Wi-Fi. Більш детальна інформація опублікована на GitHub в інструкціях по використанню інструменту.

 В даний час виробники точок доступу або вже випустили поновлення, виправляють вразливість в їх продуктах, або тільки працюють над ними. Як виявилося, компанія Microsoft по-тихому виправила проблему з виходом планових бюлетенів безпеки ще 10 жовтня. Про уразливості, швидше за все, було відомо Агентству національної безпеки США, яке могло використовувати її в своїх цілях.

Коментарі

Дописати коментар

популярні завантаження

В атаках Bad Rabbit використовувався модифікований експлоїт АНБ

Зображення
Оскільки дана реалізація була модифікованою версією, дослідникам не вдалося виявити експлоїт відразу. Стали відомі нові подробиці про здирницькі ПО Bad Rabbit, використовувався в ході недавніх атак на ряд організацій в Росії і Україні. За словами дослідників безпеки з Cisco Talos і F-Secure для більш швидкого поширення Bad Rabbit використовувалася модифікована версія експлоїта EternalRomance, викраденого у групи Equation Group, підозрюваної в зв'язках з Агентством національної безпеки США. Першим здирницькі ПО, що використав експлоїт EternalBlue з арсеналу АНБ, став шифрувальник WannaCry. Пізніше експлоїти EternalBlue і EternalRomance використовувалися для поширення вимагача NotPetya, який атакував в червні 2017 року українські енергетичні, телекомунікаційні та фінансові компанії. У разі Bad Rabbit спочатку експерти повідомляли, що хакери використовували утиліту Mimikatz, що дозволяє витягувати облікові дані з пам'яті в відкритому вигляді, і за допомогою списку логінів /...
Докладніше

Активатор WIN 10 Pro

Зображення
Версія програми: 1.5.1 Офіційний сайт: Ru.Board Автор програми: Ratiborus Мова інтерфейсу: Російська, Англійська, Українська, Іспанська, В'єтнамський Лікування: не потрібно Системні вимоги: VL редакції: Vista, 7, 8, 8.1, 10, Server 2008, 2008 R2, 2012 2012 R2 а також Office 2010, 2013, 2016. Для роботи програми потрібно .NET Framework 4.5 опис: KMSAuto Net - автоматичний KMS-активатор для операційних систем Windows VL редакцій: Vista, 7, 8, 8.1, 10, Server 2008, 2008 R2, 2012 2012 R2 а також Office 2010, 2013, 2016. KMSAuto Net 1.5.1 (2017) (робочий активатор Windows 8, Windows 8.1, Windows 10, Office) офіційний сайт  завантажити
Докладніше

Agnitum Outpost Firewall Pro 9.3 (4934.708.2079 ) + x64

Зображення
Основа Outpost Security Suite Pro — мощный, проверенный временем брандмауэр, который защищает вас от угроз во всемирной паутине. Он отслеживает каждое соединение вашего компьютера, предотвращая несанкционированные попытки локального и удаленного сетевого доступа. Контролируя входящий и исходящий трафик приложений, брандмауэр останавливает попытки вредоносного ПО передать данные с вашего компьютера или на него. Outpost Security Suite Pro обеспечивает первую линию обороны от вредоносного ПО, проактивно контролируя поведение и взаимодействие приложений на персональном компьютере. Локальная безопасность, которая проактивно отслеживает и блокирует все виды изощренных методов взлома, используемых для кражи данных, гарантирует отсутствие вредоносной активности. Анализируя угрозы и отображая своевременные уведомления, Локальная безопасность останавливает новейшие атаки и защищает компьютер от несанкционированных действий, делая его заранее защищенным от таких угроз безопасности как компью...
Докладніше

Шкідливі програми Minecraft

Зображення
Шкідливі програми Minecraft перетворюють Android-пристрої в ботнет.  Шкідлива кампанія націлена на користувачів в США, Росії, Україні, Бразилії та Німеччини. Дослідники безпеки з компанії Symantec виявили в Google Play Store щонайменше 8 додатків, інфікованих шкідливим ПЗ Sockbot, що дозволяє підключати пристрої до ботнету і здійснювати DDoS-атаки. За даними дослідників, додатки завантажили 600 тис. - 2,6 млн разів. Шкідлива кампанія переважно націлена на користувачів в США, Росії, Україні, Бразилії та Німеччини. На перший погляд, додатки призначені для зміни зовнішнього вигляду персонажів у грі Minecraft: Pocket Edition, однак у фоновому режимі включений складний і добре замаскований шкідливий функціонал. В ході аналізу дослідники виявили активність, спрямовану на незаконне отримання доходів від прихованої реклами. Для отримання команд додаток підключається до C & C-сервера через порт 9001. C & C-сервер відправляє команду відкрити сокет по протоколу...
Докладніше

Поширення банківського трояна

Зображення
Хакери використовують SEO для поширення банківського трояна. Троян Zeus Panda поширюється за допомогою комбінованої техніки, яка передбачає використання пошукової оптимізації. Кіберзлочинність угруповання, що стоїть за атаками банківського трояна Zeus Panda, взяла на озброєння інноваційний, досі не використовувався метод поширення шкідливий. Замість звичних фішингових листів або шкідливої ​​реклами хакери використовують пошукову оптимізацію (SEO), повідомляють дослідники з Cisco Talos. Угруповання Zeus Panda використовує мережу зламаних сайтів, в які були впроваджені ретельно підібрані ключові слова (в нові або вже існуючі сторінки). Зловмисникам грали на руку високі позиції скомпрометованих ресурсів на сторінці пошукової видачі Google. Зламані сайти відображалися у видачі по запитах, пов'язаним з online-банкінгом і фінансами. Наприклад, коли користувач вводить в пошуковик запит «робочі години банку такого-то», вгорі видачі виявляється шкідливий сайт. Клікнувши н...
Докладніше

Скрипт для тестування продуктів на вразливість до атаки KRACK

Зображення
Інструмент розроблений виявили уразливість дослідником Меті Ванхофом. Дослідник безпеки Меті Ванхов (Mathy Vanhoef) з Льовенського університету в Бельгії представив інструмент для перевірки продуктів на наявність уразливості до атаки KRACK. Linux-скрипт опублікований в репозиторії дослідника на GitHub. Нагадаємо, раніше на цьому тижні Ванхов повідомив про уразливість в протоколі WPA2, що ставить під загрозу практично всі існуючі на даний момент мережі Wi-Fi. З її допомогою зловмисник може здійснити атаку реінсталяціі ключів (Key Reinstallation Attack, KRACK) і отримати доступ до конфіденційних даних. Представлений Ванхофом скрипт не призначений для здійснення атак. Для того щоб з його допомогою перевірити, вразлива чи ні точка доступу Wi-Fi до атаки KRACK, потрібен обліковий запис користувача. Перед запуском скрипта потрібно спочатку відключити Wi-Fi, виконати sudo rfkill, а потім знову включити Wi-Fi. Більш детальна інформація опублікована на GitHub в інструкціях по використанн...
Докладніше