Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Недавно на новостных сайтах появилась информация о том, что некие злоумышленники распространяют инфостилер через бесплатные файлы 3D-моделей для ПО Blender. Это само по себе достаточно неприятное явление, но оно подсвечивает еще более серьезную проблему — угрозы для бизнеса, создаваемые бесплатным ПО. Причем не уязвимостями в нем, а непосредственно его штатными функциями.
Почему Blender и онлайн-маркетплейсы 3D-моделей могут быть источниками риска
Blender — это программное обеспечение для создания 3D-графики и анимации, которое используется множеством специалистов по визуализации в различных областях. Программа бесплатная, имеет открытый исходный код и предоставляет широкую функциональность. Среди прочих возможностей Blender есть и поддержка выполнения Python-скриптов, которые используются для автоматизации задач и расширения функциональности ПО.
Программный пакет позволяет импортировать в проект любые внешние файлы, которые пользователи могут найти на специализированных маркетплейсах вроде CGTrader или Sketchfab. На этих площадках художники и студии выкладывают свои 3D-модели — как платные, так и бесплатные. И в любом из файлов с моделью теоретически могут быть Python-скрипты.
В итоге мы имеем маркетплейсы, на которые файлы могут быть загружены любым пользователем и которые далеко не факт, что проверяют содержимое этих файлов. И имеем программный пакет с функцией Auto Run Python Scripts, которая позволяет файлам автоматически выполнять встроенные в них Python-скрипты сразу после открытия. То есть, по сути, запускать на компьютере посторонний код без дополнительных действий пользователя.
View the full article
-
Автор KL FC Bot
Инфостилеры, ворующие с компьютера пароли, куки, документы и другие ценные данные, стали самой быстрорастущей угрозой в 2025 году. Это острая проблема для всех операционных систем и всех регионов. Чтобы распространять заразу, преступники используют все возможные приманки, и одной из любимых наживок в этом году, конечно, стали ИИ-инструменты. В новой кампании, обнаруженной экспертами «Лаборатории Касперского», атакующие заманивают жертв на сайт, где якобы приведена инструкция по установке Atlas — нового браузера OpenAI — для macOS. Убедительность атаке придает то, что ссылка-приманка ведет… на официальный сайт СhatGPT! Но как?
Ссылка-приманка в поиске
Чтобы привлекать жертв, злоумышленники размещают платную поисковую рекламу в Google. При попытке поискать chatgpt atlas первой же спонсорской ссылкой может оказаться сайт, полный адрес которого в рекламе не виден, но очевидно, что он расположен на домене chatgpt.com.
Заголовок страницы в рекламной выдаче тоже ожидаемый: ChatGPT™ Atlas for macOS — Download ChatGPT Atlas for Mac. Пользователь, желающий скачать новый браузер, вполне может перейти по этой ссылке.
Спонсированная ссылка в поиске Google на инструкцию по установке вредоносного ПО под видом ChatGPT Atlas для macOS, размещенную на официальном сайте ChatGPT. Как такое может быть?
View the full article
-
Автор KL FC Bot
Что максимально быстро приносит киберпреступнику прибыль? Атака на системы, в результате которой он может добраться до конфиденциальной информации или непосредственно до финансов. Поэтому неудивительно, что целые группы злоумышленников специализируются на встраиваемых системах: в первую очередь на банкоматах с наличными, платежных системах, в которых можно перехватить транзакции, медицинском оборудовании, где обрабатываются и хранятся персональные данные, и так далее. Все эти устройства далеко не всегда имеют должный уровень защиты (как кибер, так и физической), а потому достаточно часто становятся удобной целью для атакующих.
Классическая проблема защиты встраиваемых систем под управлением Windows заключается в том, что они, как правило, устаревают гораздо медленнее, чем их программное обеспечение. Зачастую это достаточно дорогие устройства, которые никто не будет менять просто из-за того, что операционная система перестала обновляться. В результате среди встраиваемых систем много устройств, ресурсы которых ограничены в силу узкой специализированности, ПО устарело, а система перестала получать обновления безопасности.
Причем последняя проблема обостряется с прекращением поддержки Windows 10. Множество устройств, которые могут выполнять свои основные функции еще не один год, никогда не смогут обновиться до Windows 11 просто потому, что в них нет модуля TPM.
Ситуация на рынке встраиваемых Linux-устройств не сильно лучше. Те, что построены на базе процессоров x86, в среднем пока имеют более свежее железо, но и оно со временем устаревает. Множество новых встраиваемых систем, работающих под Linux, и вовсе основаны на архитектуре ARM, у которой своя специфика.
Из-за всех этих особенностей стандартные защитные решения для рабочих станций не очень подходят. Для того чтобы обеспечить их безопасность, нужен продукт, оснащенный технологиями, которые могут успешно противостоять современным угрозам для встраиваемых систем. При этом он должен быть способен работать не только на современном железе под последними версиями ОС, но и на оборудовании с ограниченными ресурсами, да еще и обеспечивать идеальную стабильность в «необслуживаемом» режиме и совместимость со специфическим ПО. В идеале — управляться из той же консоли, что и остальная инфраструктура, и поддерживать интеграцию с корпоративными SIEM-системами. Как вы, вероятно, догадались, мы говорим о Kaspersky Embedded Systems Security.
Чем может помочь Kaspersky Embedded Systems Security
О специфических особенностях защиты встраиваемых систем и нашем варианте решения этой задачи мы уже неоднократно говорили в этом блоге. Однако Kaspersky Embedded Systems Security продолжает развиваться — в конце ноября мы выпустили глобальное обновление продукта, доработав как его Windows-версию, так и Linux-вариант.
View the full article
-
Автор KL FC Bot
3 декабря стало известно о скоординированном устранении критической уязвимости CVE-2025-55182 (CVSSv3 — 10), которая содержалась в React server components (RSC), а также во множестве производных проектов и фреймворков: Next.js, React Router RSC preview, Redwood SDK, Waku, RSC-плагинах Vite и Parcel. Уязвимость позволяет любому интернет-пользователю без всякой аутентификации отправить на уязвимый сервер запрос и добиться выполнения произвольного кода. Учитывая, что на базе React и Next.js построены десятки миллионов сайтов, включая Airbnb и Netflix, а уязвимые версии компонентов найдены примерно в 39% облачных инфраструктур, масштаб эксплуатации может быть очень серьезным. Меры по защите своих онлайн-сервисов нужно принимать незамедлительно.
Для уязвимости Next.js сначала завели отдельную CVE-2025-66478, но ее сочли дубликатом, поэтому дефект Next.js тоже относится к CVE-2025-55182.
Где и как работает уязвимость React4Shell
React — это популярная библиотека JavaScript для создания пользовательских интерфейсов веб-приложений. Благодаря компонентам RSC, появившимся в React 18 в 2020 году, часть работы по сборке веб-страницы выполняется не в браузере, а на сервере. Код веб-страницы может вызывать функции React, которые сработают на сервере, получить от них результат выполнения и вставить его в веб-страницу. Это позволяет ускорить некоторые веб-сайты — браузеру не нужно загружать лишний код. RSC разделяет приложение на серверные и клиентские компоненты, где первые могут выполнять серверные операции (запросы к БД, доступ к секретам, сложные вычисления), а вторые остаются интерактивными на машине у пользователя. Для быстрой потоковой передачи сериализованной информации между клиентом и сервером используется специальный легкий протокол Flight, работающий на основе HTTP.
Как раз в обработке запросов Flight и кроется CVE-2025-55182 — которая заключается в небезопасной десериализации потоков данных. Уязвимости подвержены React Server Components версий 19.0.0, 19.1.0, 19.1.1, 19.2.0, а точнее пакеты react-server-dom-parcel, react-server-dom-turbopack и react-server-dom-webpack. Уязвимые версии Next.js: 15.0.4, 15.1.8, 15.2.5, 15.3.5, 15.4.7, 15.5.6, 16.0.6.
Для эксплуатации уязвимости, атакующий может отправить серверу простой http-запрос, и еще до аутентификации и любых проверок этот запрос может инициировать запуск процесса на сервере с правами самого React.
Данных о реальной эксплуатации CVE-2025-55182 пока нет, но эксперты солидарны, что она возможна и вероятней всего будет масштабной. Wiz называют свой тестовый RCE-эксплойт работающим почти со 100% надежностью. На GitHub уже доступен прототип эксплойта, поэтому злоумышленникам не составит труда доработать его и начать массовые атаки.
View the full article
-
Автор KL FC Bot
C октября этого года наши технологии фиксируют вредоносные рассылки файлов, в названии которых эксплуатируется тема годовых премий и бонусов. Целями этой кампании являются сотрудники российских организаций. Ближе к концу года все подводят итоги и пытаются посчитать, насколько эффективно поработали, поэтому шансы, что сотрудник кликнет на файл, в названии которого есть слова «Список сотрудников, рекомендованных к премированию», значительно выше. На этом и пытаются играть атакующие. Еще одной интересной особенностью данной вредоносной кампании является то, что в качестве полезной нагрузки выступает XLL-файл, что достаточно нестандартно.
В чем заключаются особенности вредоносного XLL-файла
Чаще всего во вредоносных рассылках такого рода злоумышленники используют файлы с двойными расширениями (например, .docx.lnk) в надежде на то, что человек примет файл за текстовый документ, а на самом деле кликнет на ярлык Windows. Атакующие, конечно, меняют иконку, но в некоторых интерфейсах — в первую очередь в «проводнике Windows» — очевидно, что тип файла не соответствует видимому расширению, как показано, например, вот в этом посте.
Именно поэтому в данном случае в письмах, замаскированных под документы, рассылается вредоносный файл с расширением .xll. Тип файла XLL служит для надстроек Microsoft Excel и, по сути, представляет собой DLL-библиотеку, которая запускается непосредственно программой для работы с электронными таблицами. В «проводнике» файлы с расширением .xll отображаются с собственной иконкой, которая немного отличается от легитимного документа Excel, но тем не менее выполнена в том же стиле и содержит узнаваемый логотип. Но главное — тип файла отображается как Microsoft Excel XLL Add-in.
Файл легко перепутать с обычным офисным документом. Даже достаточно бдительный человек, скорее всего, успокоится, увидев первые два слова, а расширение файла .xll легко перепутать со стандартными расширениями .xls или .xlsx. Впрочем, для верности в некоторых случаях злоумышленники и тут используют двойные расширения, а имена файлов специально растягивают, чтобы расширение вообще не влезло в отображаемое поле Name. Двойной клик по такому файлу приводит к запуску Microsoft Excel, который автоматически пытается загрузить и выполнить XLL-библиотеку.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти