24 Января, 2018

Security Week 1: Cтаратели не воруют, эксплойты старины глубокой, Google Play против свинства

Лаборатория Касперского
 
Новость на русском . Подробнее на английском
Популярные продукты Oracle пали жертвами недавно опубликованного эксплойта, позволяющего удаленно выполнять произвольный код, — правда, к удивлению экспертов, ничего хуже несанкционированной добычи криптовалюты с ними не случилось. Злоумышленники использовали уязвимость в серверах приложений WebLogic, пропатченную Oracle еще в прошлом октябре.

Для применения эксплойта, публично описанного чуть больше месяца назад, не требуется особых умений. Неудивительно, что вредоносная кампания быстро набрала обороты. Под раздачу попали не только сами серверы WebLogic, но и другие решения Oracle, которые их используют. В том числе PeopleSoft — ERP-система для управления сложной административной инфраструктурой и финансовыми потоками крупного предприятия (часто организации хранят в этой системе все свои данные, конфиденциальные и не очень).

Казалось бы, аппетитнее мишеней не придумать: компании, достаточно крупные, чтобы использовать недешевые продукты Oracle, и достаточно беспечные, чтобы не установить доступные еще с осени обновления, — воруй инсайдерские секреты, шантажируй, жди ответного гудка! Уж по крайней мере вполне можно было рассчитывать на скандал с утечкой данных. Но нет, преступники решили, что продавать информацию на черном рынке у них сегодня нет настроения и вообще голова болит, а вот майнить криптовалюту при нынешних ценах гораздо выгоднее.

Так или иначе, пока злоумышленникам удалось намайнить как минимум 611 токенов Monero — примерно 226 тыс. долл. США: столько хранится в кошельке, на который удалось выйти при анализе файла конфигурации XMRig, попавшегося исследователям. Сколько всего таких кошельков, науке, как водится, не известно.
 
 
Атака любителей ретро
 
Новость
Как нам частенько приходится напоминать, множество зловредов используют эксплойты для уже закрытых уязвимостей. Расчет очевидный: не все узнают об обновлениях, не все их сразу установят, а значит, злоумышленники успеют поживиться, если будут действовать быстро.

Но преступники, стоящие за новым RubyMiner, вообще не торопятся. Они прицельно разыскивают не обновляемые по несколько лет системы — как Windows, так и Linux — и используют арсенал старых, хорошо известных и давным-давно пропатченных уязвимостей для майнинга Monero с помощью так называемого RubyMiner.

Проанализировав зловред для Linux-сервера, исследователи сообщили, что он удаляет все cron-задания и назначает свою собственную задачу, которая раз в час скачивает из Интернета скрипт, спрятанный в файлах robots.txt на различных доменах. А уже этот скрипт, в свою очередь, загружает старый добрый XMRig.

Конечно, большинство машин возрастом свыше десяти лет не могут потягаться производительностью с современными, а потому майнят не особенно успешно, но и пригляда за ними почти или совсем нет — значит, выше вероятность, что несанкционированные старатели дольше останутся необнаруженными. Как показало исследование одного кошелька, хакерам накапало уже как минимум 540 долларов США. Вроде бы и немного, зато затрат практически никаких: домен, с которого загружается вредоносный скрипт, уже использовался как минимум в одной атаке в 2013 году, причем с тем же эксплойтом, через который распространяется RubyMiner. Видимо, злоумышленники буквально поскребли по сусекам и слепили атаку из того, что было.
 
 
Борьба со свинством
 
Новость
В декабре из магазина Google Play было удалено более 60 зловредных приложений, в основном — игр, просочившихся через многочисленные проверки. Разработчиков забанили, а пользователям, скачавшим их, продолжают показывать предупреждения о потенциальной опасности. Потертые приложения использовали обычный набор тактик — выкидывали на весь экран предупреждение о вирусе, потом предлагали загрузить «антивирус» (разумеется поддельный), предлагали пользователям участвовать в лотереях, подписывали их на платные услуги… В общем, обычный джентльменский набор. Случай в целом был бы довольно рядовым, если бы не одно «но».

Конкретно эту пачку мусора отличало то, что, во-первых, многие программы были однозначно рассчитаны на детей-дошкольников: названия из мультиков, щеночки и прочие атрибуты нежного возраста. А во-вторых, приложения порой начинали демонстрировать детям хардкорное порно — причем поверх всех других экранов и без предупреждения.

И вот тут возникает вопрос даже не о моральном уровне (с ним и так все ясно), а об адекватности злоумышленников. Дело в том, что выбор, какими именно методами вытягивать из пользователя денежки или информацию, делался уже после загрузки зловреда. В приложение встроен вредоносный компонент, прозванный исследователями AdultSwine. «Свинья» регистрировалась на сервере разработчиков, отправляла данные о пользователе и ждала инструкций, чем именно соблазнять или запугивать новую жертву.

Решение показывать четырехлеткам контент 18+ выдает явное непонимание злоумышленниками целевой аудитории: вряд ли малыши будут кликать на порнобаннер, скорее испугаются и позовут взрослых. Хотя, возможно, дело в банальной ошибке в алгоритмах профилирования.

Как бы то ни было, представители Google подчеркнули, что начиная с конца января в Google Play вводятся новые защитные функции, которые будут предупреждать о подозрительных приложениях, — однако пользователям и самим нужно не терять бдительности.
 
 
Древности
 

Семейство «Invader» и «Plastique»
Резидентные очень опасные вирусы. Поражают.СОМ- и.ЕХЕ-файлы (кроме COMMAND.COM) по алгоритму вируса «Jerusalem» и Boot-секторы флоппи-дисков и винчестера. У дискеты форматируют дополнительный трек, при поражении винчестера записываются сразу после MBR. В зависимости от своих счетчиков могут совершать холостой цикл при каждом прерывании по таймеру (int 8), стирать информацию на дисках, исполнять мелодию, расшифровывать и выводить тексты:
«Invader» — «by Invader, Feng Chia U.,Warning: Don’t run ACAD.EXE!»;
«Plastique» — «PLASTIQUE 5.21 (plastic bomb)Copyright © 1988-1990 by ABT Group (in association with Hammer LAB.)WARNING: DON’T RUN ACAD.EXE!»;
Также содержат текст: «ACAD.EXECOMMAND.COM.COM.EXE».
Перехватывают int 8, 9, 13h, 21h.
 
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.