Автор
KL FC Bot,
в Новости и события из мира информационной безопасности
-
Похожий контент
-
От KL FC Bot
Многие пользователи устройств Apple считают, что операционная система macOS настолько безопасна, что никакие киберугрозы им не страшны, поэтому о дополнительной защите «Маков» можно не беспокоиться. Это, конечно же, совсем не так: хотя для macOS существует меньше вредоносного ПО, оно все же встречается гораздо чаще, чем хотелось бы думать владельцам «яблочных» устройств.
В этом посте мы рассмотрим актуальные угрозы, с которыми сталкиваются пользователи macOS, и расскажем о том, как обеспечить эффективную защиту своего «Мака». В качестве иллюстрации того факта, что вирусы для macOS очень даже существуют, мы используем три свежих исследования нескольких семейств вредоносного ПО, которые были опубликованы в течение последних нескольких недель.
BlueNoroff атакует пользователей macOS и ворует криптовалюту
В конце октября 2023 года наши исследователи обнаружили нового трояна для macOS, который предположительно связан с BlueNoroff — «коммерческим крылом» APT-группировки Lazarus, работающей на Северную Корею. Эта подгруппа специализируется на финансовых атаках и, в частности, вплотную занимается двумя вещами: во-первых, атаками на систему SWIFT — включая знаменитое ограбление Центрального банка Бангладеш, — а во-вторых, кражей криптовалют у организаций и частных лиц.
Обнаруженный троян-загрузчик для macOS распространяется внутри вредоносных архивов. Он замаскирован под PDF-документ, озаглавленный «Криптоактивы и их риски для финансовой стабильности» (Crypto-assets and their risks for financial stability), и снабжен иконкой, имитирующей превью этого документа.
Титульная страница PDF-обманки, которую троян скачивает и показывает пользователю при запуске файла из зараженного архива. Источник
После того как пользователь кликает по трояну, мимикрирующему под PDF, запускается скрипт, который загружает из Интернета и действительно открывает соответствующий PDF-документ. Но, конечно же, это далеко не все, что происходит. Основная задача трояна — загрузить еще один вирус, который собирает информацию о зараженной системе, отправляет ее на командный сервер и далее ожидает команды на выполнение одного из двух возможных действий: либо самоудаления, либо сохранения в файл и выполнения вредоносного кода, присланного ему в ответ от сервера.
Посмотреть статью полностью
-
От KL FC Bot
С начала лета системы «Лаборатории Касперского» фиксируют увеличение детектов трояна для удаленного доступа Remcos. Вероятная причина тому — волна рассылок вредоносных писем, в которых злоумышленники пытаются убедить сотрудников различных компаний перейти по ссылке для загрузки зловреда.
Вредоносные письма
Сама по себе уловка, которой пытаются воспользоваться злоумышленники, не нова. Они пишут от имени нового клиента, который хочет приобрести товары или услуги и пытается уточнить какую-то информацию: наличие или цену товаров по списку, соответствие их каким-то критериям и так далее. Главное, что для уточнения информации получатель должен перейти по ссылке и прочитать список этих самых критериев или требований. Для убедительности в письме часто спрашивают, как быстро получится организовать поставку, интересуются условиями международной доставки. Разумеется, по ссылке переходить не следует — она ведет не на список, а на вредоносный скрипт.
Интересно место, выбранное злоумышленниками для хранения своего вредоносного скрипта. Ссылки имеют адрес вида https://cdn.discordapp.com/attachments/. Дело в том, что Discord — это вполне легитимная платформа, позволяющая обмениваться мгновенными сообщениями, совершать аудио- и видео-звонки, а главное пересылать различные файлы. Пользователь Discord может кликнуть на любой файл, пересланный через это приложение, и получить ссылку, по которой он будет доступен внешнему пользователю (это нужно чтобы, например, быстро поделиться файлом в другом мессенджере). Именно эти ссылки и выглядят как https://cdn.discordapp.com/attachments/ плюс некий набор цифр, идентифицирующий конкретный файл.
Discord активно используют различные игровые сообщества, но иногда он применяется и компаниями для общения внутри различных команд и отделов или даже для связи с клиентами. Поэтому часто фильтры, отслеживающие вредоносный контент в письмах, не считают ссылки на файлы, хранящиеся на серверах Discord, подозрительными. По факту же, если получатель письма решит перейти по такой ссылке, то он, по сути, скачает вредоносный JavaScript с названием, имитирующим документ с информацией. Когда жертва попробует открыть этот файл, вредоносный скрипт запустит powershell, который, в свою очередь, загрузит Remcos RAT на устройство пользователя.
Посмотреть статью полностью
-
От KL FC Bot
В операционной системе Android с каждой новой версией появляются дополнительные механизмы для защиты пользователей от вредоносного программного обеспечения. Например, в Android 13 такой новинкой стали «Настройки с ограниченным доступом». В этом посте мы поговорим о том, что представляет собой данный механизм, от чего он призван защищать и насколько успешно справляется с этой защитой (спойлер: не очень).
Что такое «Настройки с ограниченным доступом»
Как работают «Настройки с ограниченным доступом»? Допустим, вы устанавливаете приложение из стороннего источника — то есть загружаете откуда-то APK-файл и запускаете его установку. Предположим, что этому приложению для работы требуется доступ к определенным функциям, которые Google считает особенно опасными (и не зря, но об этом позже). В этом случае приложение попросит вас включить для него нужные функции в настройках операционной системы.
Однако в Android 13 и 14 для приложений, установленных пользователем из APK-файлов, сделать это не получится. Если вы пойдете в настройки смартфона и попытаетесь дать приложению опасные разрешения, то вам покажут окно с заголовком «Настройки с ограниченным доступом» (на английском — «Restricted setting»). В нем будет написано, что «В целях безопасности доступ к этой функции пока ограничен» или, соответственно, «For your security, this setting is currently unavailable».
Когда установленное из сторонних источников приложение запрашивает опасные разрешения, на экране появляется окно с заголовком «Настройки с ограниченным доступом»
Какие же разрешения в Google считают настолько опасными, что блокируют к ним доступ для любых приложений, загруженных не из магазина? К сожалению, в Google не торопятся делиться этой информацией. Поэтому ее приходится собирать из публикаций независимых источников, предназначенных для Android-разработчиков. На данный момент известно о двух таких ограничениях:
Разрешение на доступ к «Специальным возможностям». Разрешение на доступ к уведомлениям. Не исключено, что этот список будет меняться в будущих версиях Android. Но пока, по всей видимости, это все разрешения, которые в Google решили ограничивать для приложений, загруженных из неизвестных источников. Теперь поговорим о том, зачем это вообще нужно.
Посмотреть статью полностью
-
От KL FC Bot
На большинстве смартфонов установлено в среднем около 80 приложений, из которых минимум 30% никогда не используются, даже если владелец телефона и помнит об их существовании. Подобный «балласт» весьма вреден: свободное место на телефоне уменьшается, число возможных ошибок и проблем совместимости увеличивается, и даже неиспользуемые приложения порой отвлекают владельца бесполезными оповещениями.
Что еще хуже, «заброшенные» приложения могут продолжать собирать данные о самом смартфоне и его владельце, скармливая их многочисленным рекламным фирмам или просто пожирая трафик. Надеемся, мы уже убедили вас, что смартфон стоит чистить от установленного мусора хотя бы пару раз в год, удаляя с него те программы, которыми вы последний раз пользовались очень давно, — кстати, не забудьте отключить и платную подписку на них!
К сожалению, некоторые приложения стереть не так-то просто: их удаление заблокировано производителем. Для решения этой проблемы есть ряд рецептов.
Удалить приложение
Иногда вы не можете найти ненужное приложение в разделе «Управление приложениями и устройством» в установленном на смартфоне Google Play. Первым делом попытайтесь удалить такое приложение напрямую через настройки телефона: ищем в них подраздел «Приложения» (Apps). Там перечислены все установленные программы, а чтобы не листать длинный список в поиске ненужной, можно воспользоваться поиском. Найдя требуемый апп и нажав на него, вы попадаете на экран «Свойства приложения». Тут можно ознакомиться с потреблением программой памяти, трафика и энергии, а главное — найти и нажать кнопку «Удалить» (Uninstall). Если кнопка обнаружилась и успешно нажалась, то дело сделано.
Список всех установленных приложений и экран свойств приложения с кнопкой «Удалить» (Uninstall)
Посмотреть статью полностью
-
От KL FC Bot
WordPress — самая популярная система управления контентом в мире. Как очень любят упоминать сами разработчики этой системы, на WordPress построено более 40% веб-сайтов. Однако у этой популярности есть и обратная сторона: такое огромное количество потенциальных мишеней неизбежно притягивает злоумышленников. По той же причине и исследователи кибербезопасности внимательно изучают WordPress и регулярно рассказывают о тех или иных проблемах данной CMS.
В результате достаточно часто можно услышать мнение о том, что WordPress свойственны проблемы с безопасностью. Но у столь пристального внимания есть и позитивная сторона: благодаря ему хорошо известны и сами угрозы, и те методы, с помощью которых с ними можно справляться, чтобы сделать свой WordPress-сайт безопасным. Об этом мы сегодня и поговорим.
1. Уязвимости в плагинах, темах и WordPress core (именно в этом порядке)
Во всех подборках проблем с безопасностью WordPress, которые вы можете найти в интернете, стабильно фигурируют такие вещи, как межсайтовый скриптинг (XSS, cross-site scripting), внедрение SQL-кода (SQLi, SQL injection) и межсайтовая подделка запроса (CSRF, cross-site request forgery). Так вот, все эти атаки — а также ряд других — становятся возможны из-за уязвимостей либо в основном программном обеспечении WordPress (WordPress core), либо в плагинах и темах.
При этом следует иметь в виду, что, по статистике, непосредственно в WordPress core обнаруживают лишь малую часть уязвимостей. К примеру, за весь 2022 год в основном ПО WordPress нашли всего 23 уязвимости — что составляет 1,3% от всех 1779 уязвимостей, найденных в WordPress в прошлом году. Еще 97 багов (5,45%) были обнаружены в темах. Ну а львиная доля приходится на плагины: в них нашли 1659 уязвимостей, то есть аж 93,25% от общего числа.
Стоит заметить, что количество обнаруживаемых в WordPress уязвимостей не должно быть поводом для того, чтобы отказываться от использования этой CMS. Уязвимости есть везде, просто находят их в основном там, где активно ищут, — то есть в наиболее популярном программном обеспечении.
Как повысить безопасность:
Всегда вовремя обновляйте WordPress core — пусть уязвимости в нем находят не так часто, их эксплуатация может быть гораздо более массовой, так что опасно надолго оставлять их незапатченными. Также не забывайте обновлять темы и — в особенности — плагины. Именно плагины ответственны за большинство известных уязвимостей в экосистеме WordPress. Не устанавливайте «лишние» WordPress-плагины, то есть те, которые не требуются для работы вашего сайта. Это поможет существенно снизить количество потенциальных уязвимостей, которые есть на вашем WordPress-сайте. Вовремя деактивируйте или вовсе удаляйте те плагины, которые вам больше не нужны.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.