Автор
7Glasses
в Обзоры сувениров
Мнение о подарочном сувенире
1 пользователь проголосовал
У вас нет разрешения голосовать в этом опросе или просматривать его результаты. Пожалуйста, войдите или зарегистрируйтесь для возможности голосования в этом опросе.
-
Похожий контент
-
Автор KL FC Bot
Можно ли заразить компьютер вредоносным ПО, просто обрабатывая фотографии? Особенно если это «Мак», который многие до сих пор считают устойчивым к зловредам? Как выясняется, можно — если пользоваться уязвимой версией приложения ExifTool или многочисленных приложений на его основе. Это популярнейшее решение с открытым исходным кодом (open source) для чтения, редактирования и записи метаданных в изображениях используется фотографами и специалистами фотоархивов, применяется в аналитике, криминалистических экспертизах и журналистских расследованиях.
Наши эксперты GReAT обнаружили в нем уязвимость CVE-2026-3102, которая проявляется при обработке вредоносного файла изображения (например, PNG), содержащего в метаданных команды оболочки. При обработке такого файла с помощью ExifTool на macOS команда срабатывает, и на компьютере выполняются действия, задуманные злоумышленником, — например, загрузка и запуск вредоносного ПО с внешнего сервера. Мы расскажем, как это возможно, порекомендуем способы защиты и объясним, как проверить свой компьютер на уязвимость.
Что такое ExifTool
Бесплатное приложение с открытым исходным кодом ExifTool решает узкую, но важную задачу. Оно извлекает из файлов метаданные и позволяет обрабатывать эти данные и сами файлы. Метаданные — это сопроводительная информация, зашитая в большинстве современных форматов файлов. Например, у музыкального трека метаданными будут имя исполнителя и название песни, жанр, год выпуска, фото обложки альбома. Для фотографий метаданные — это дата, время и географические координаты съемки, использованные настройки светочувствительности и затвора, модель и производитель камеры. У офисных документов в метаданных хранятся имя автора, продолжительность редактирования, название и дата создания документа.
View the full article
-
Автор KL FC Bot
В прошлом материале мы показывали на практическом примере, как атрибуция угрозы помогает в расследовании инцидентов, а также рассказывали о нашем движке Kaspersky Threat Attribution Engine (KTAE), позволяющем создать взвешенное предположение о принадлежности образца зловреда конкретной группировке. Для демонстрации мы использовали наш облачный инструмент Kaspersky Threat Intelligence Portal, который в составе комплексного сервиса «Анализ угроз», наряду с «песочницей» и дополнительным инструментом поиска похожих файлов (без вынесения вердикта об атрибуции), предоставляет доступ и к KTAE. Преимущество облачного сервиса очевидно — для его использования не нужно выделять оборудование, устанавливать и администрировать какой-либо софт. Но, как показывает практика, облачный вариант инструмента атрибуции подходит не всем.
Во-первых, есть организации, которые в силу регуляторных ограничений не допускают выход какой-либо информации за пределы периметра организации. ИБ-аналитики таких организаций не могут позволить себе загружать какие-либо файлы в сторонний сервис. Во-вторых, в некоторых компаниях работают настоящие исследователи киберугроз, которым необходим более гибкий инструмент, позволяющий работать не только с предоставляемой «Лабораторией Касперского» информацией об угрозах, но и с собственными данными. Поэтому наш KTAE доступен в двух вариантах — облачном и в виде поставки для локального развертывания.
View the full article
-
Автор KL FC Bot
Если вы не идете к ИИ-сервисам, то они идут к вам. Каждая крупная компания считает своим долгом не просто разработать ИИ-ассистента, интегрированный чат-бот или автономный агент, но еще и включить их в свой существующий массовый продукт и насильно активировать у десятков миллионов пользователей. Несколько примеров только за последние полгода:
Microsoft принудительно превращает совместимые Windows-компьютеры в «ИИ-ПК» и автоматически устанавливает и активирует Copilot тем, у кого установлены десктопные офисные приложения Microsoft 365; Google активировал Gemini всем американским пользователям Chrome, нарастил его функциональность в браузере по максимуму, сильно расширил географию и охват ИИ-обзоров в результатах поиска и включил целый набор ИИ-функций в свои онлайн-сервисы (Gmail, Google Docs и другие); Apple внедрила собственный Apple Intelligence (который также получил аббревиатуру AI) в последние версии операционных систем для всех видов устройств и в большинство собственных приложений; Meta* добавила ИИ-переводы и чат с Meta AI в WhatsApp, одновременно запретив использование в мессенджере сторонних чат-ботов с 15 января 2026 года. С другой стороны, гики сами бросились обустраивать «личных Джарвисов», арендуя VPS или скупая Mac mini и устанавливая ИИ-агент OpenClaw. Увы, проблемы с безопасностью OpenClaw при настройках по умолчанию оказались настолько велики, что его уже успели окрестить крупнейшей ИБ-угрозой 2026 года.
Кроме неприятного ощущения, что вам что-то активно навязывают против вашей воли, эта «эпидемия ИИ» приносит практические риски и неудобства. ИИ-ассистенты собирают все возможные данные с ваших устройств — распознают смысл просматриваемых веб-сайтов, анализируют сохраненные документы и ваши переписки и так далее. Это позволяет ИИ-компаниям получить беспрецедентно глубокое понимание того, чем живет каждый пользователь.
Утечка этих данных при кибератаке — либо с серверов ИИ-фирм, либо из временного хранилища (кэша) на компьютере пользователя — грозит разрушительными последствиями. ИИ-ассистенты могут видеть и кэшировать все, что доступно и вам, включая данные, обычно хранящиеся за многими слоями защиты: банковскую информацию, медицинские диагнозы, личные переписки и другую конфиденциальную информацию. Как это может происходить, мы подробно описали, разбирая проблемы ИИ-системы Copilot+ Recall, которую Microsoft также планировала установить и активировать всем подряд. Кроме того, ИИ может ощутимо нагружать систему: память, видеокарту, хранилище данных, что порой приводит к заметному снижению производительности.
Для тех, кто хочет переждать AI-шторм, отказавшись от сырых и скороспелых версий нейросетевых помощников, мы собрали краткие инструкции по отключению ИИ в популярных приложениях и сервисах.
View the full article
-
Автор KL FC Bot
Примерно год назад мы публиковали пост про набирающую у злоумышленников популярность технику ClickFix. Суть атак с применением ClickFix сводится к тому, что жертву под разными предлогами убеждают выполнить вредоносную команду на собственном компьютере. То есть с точки зрения защитных решений запускается она от лица активного пользователя и с его привилегиями.
В первых применениях этой тактики злоумышленники в основном убеждали жертв скопировать строку в меню «Выполнить» и нажать «Ввод», чтобы что-то починить или чтобы пройти капчу, а сама строка в подавляющем большинстве случаев была скриптом PowerShell. Однако с тех пор злоумышленники придумали ряд новых уловок, о которых стоит предупредить пользователей, и ряд новых вариантов доставки вредоносной нагрузки, которые имеет смысл отслеживать.
Использование mshta.exe
Эксперты Microsoft в прошлом году публиковали отчет о кибератаках, ориентированных на владельцев гостиниц, работающих с Booking.com. Атакующие рассылали фальшивые нотификации от сервиса или письма от постояльцев, обращающих внимание на «странный отзыв». В обоих случаях в письме содержится ссылка якобы на сайт Booking.com, при переходе по которой жертве предлагали доказать, что она не робот, запустив некий код через меню «Выполнить».
Принципиальное отличие этой атаки от базового применения ClickFix заключается в двух нюансах. Во-первых, пользователя не просили скопировать строку (все-таки строка с кодом иногда вызывает подозрение). Она сама копировалась в буфер, вероятно, при нажатии на чекбокс, имитирующий механизм проверки reCAPTCHA. Во-вторых, вредоносная команда запускала легитимную системную утилиту mshta.exe, позволяющую выполнять приложения, написанные на языке HTML. Она успешно обращалась к серверу злоумышленников, адрес которого содержался в той же строке, и запускала установку основной вредоносной нагрузки.
View the full article
-
Автор KL FC Bot
Мы неоднократно писали о фишинге, в ходе которого атакующие эксплуатируют разнообразные легитимные серверы для рассылки писем. Смогли добраться до чужого сервера SharePoint — рассылают через него; не смогли — отправляют уведомления через какой-нибудь бесплатный сервис, например через GetShared. Отдельной любовью злоумышленников пользуются многочисленные сервисы Google. На этот раз дошла очередь до сервиса Google Задачи (Google Tasks). Как обычно, основная цель данного трюка — обойти почтовые фильтры благодаря надежной репутации эксплуатируемого «посредника».
Как выглядит фишинг через Google Задачи
Адресат получает легитимную нотификацию с адреса @google.com с сообщением «у вас новая задача». По сути, злоумышленники пытаются создать у жертвы впечатление, что в компании начали использовать трекер задач от Google, в связи с чем нужно незамедлительно пройти по ссылке и заполнить форму подтверждения сотрудника.
Чтобы лишить получателя возможности обдумать необходимость этого действия, в задаче обычно указываются достаточно сжатые сроки и ставится пометка о высоком приоритете. При переходе по ссылке в задачу жертва видит ссылку, ведущую на некую форму, в которой для подтверждения статуса сотрудника необходимо ввести корпоративные учетные данные. Они и являются конечной целью фишинга.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти