[Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
На этой неделе в тройку главных ИБ-новостей, по нашему мнению, попали новый веб-скиммер, подделывающий страницу PayPal на зараженных сайтах, атаки ботнета DarkIRC на серверы Oracle WebLogic и новый модуль ботнета TrickBot. Подробности расскажем под катом.
Новый веб-скиммер искусно подделывает страницу PayPal
В Сети обнаружен новый веб-скиммер, который не только похищает вводимые покупателем данные, но и использует их для заполнения поддельной платежной формы PayPal, чтобы сделать ее более убедительной. Вредоносный скрипт размещается внутри изображения, которое хранится на сервере скомпрометированного магазина, с использованием стеганографии. Для сбора платежных реквизитов скиммер подменяет страницу PayPal, загружая через iFrame фальшивку, предварительно заполненную данными из формы заказа. Хищение платежных данных происходит в момент внесения жертвой всех реквизитов в поддельную форму и нажатия кнопки подтверждения оплаты.
Серверы Oracle WebLogic атакованы ботнетом DarkIRC
Исследователи Juniper Threat Labs сообщили об атаках ботнета DarkIRC на серверы Oracle WebLogic через уязвимость удаленного выполнения кода (CVE-2020-14882). Доставка вредоносного ПО происходит с помощью скриптов PowerShell через HTTP GET-запросы. Полезная нагрузка представлена в виде двоичного кода с функциями обхода средств анализа и песочниц. DarkIRC имеет в своём арсенале большой список функций: кейлоггинг, загрузка файлов и выполнение команд, хищение учетных данных, распространение через MSSQL и RDP (брутфорс), SMB или USB, а также запуск нескольких типов DDoS-атак.
Новый модуль TrickBot ищет уязвимости в UEFI
Специалисты из Advanced Intelligence (AdvIntel) и Eclypsium опубликовали отчет о новом модуле ботнета TrickBot, который выискивает уязвимости в UEFI-прошивке зараженного устройства. Наличие доступа к прошивке UEFI дает злоумышленнику возможность добиться персистентности ВПО на скомпрометированном устройстве в случаях переустановки операционной системы или замены накопителей. Модуль проверяет активность защиты от записи UEFI/BIOS с помощью драйвера RwDrv.sys.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Смартфоны, Сотовая связь] Сразу 25 стран закупили инструмент вычисления геолокации смартфонов за счет SS7
- [Информационная безопасность] Глобальный SOC на The Standoff 2020: всевидящее око
- [Информационная безопасность] Как потерять аккаунт на Гос. услугах за 5 секунд
- [Информационная безопасность, Habr, Системное администрирование] Используем tcpdump для анализа и перехвата сетевого трафика
- [Информационная безопасность] Популярные сайты все еще уязвимы для массовой DDoS-атаки
- [Информационная безопасность, Криптография, Алгоритмы] Знакомство со Skein
- [Информационная безопасность] Как стать владельцем чужой организации в Google Maps?
- [Информационная безопасность, Платежные системы] Большая ретроспектива участия RBK.money в The Standoff 2020
- [Информационная безопасность, Социальные сети и сообщества] Настройки приватности Facebook VS OSINT
- [Информационная безопасность, Управление персоналом, Удалённая работа] Microsoft пообещала поменять систему слежки за сотрудниками Productivity Score после волны критики от экспертов
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_skimming (скимминг), #_paypal, #_darkirc, #_botnet (ботнет), #_oracle_weblogic, #_trickbot, #_blog_kompanii_infosistemy_dzhet (
Блог компании Инфосистемы Джет
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:35
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
На этой неделе в тройку главных ИБ-новостей, по нашему мнению, попали новый веб-скиммер, подделывающий страницу PayPal на зараженных сайтах, атаки ботнета DarkIRC на серверы Oracle WebLogic и новый модуль ботнета TrickBot. Подробности расскажем под катом.  Новый веб-скиммер искусно подделывает страницу PayPal В Сети обнаружен новый веб-скиммер, который не только похищает вводимые покупателем данные, но и использует их для заполнения поддельной платежной формы PayPal, чтобы сделать ее более убедительной. Вредоносный скрипт размещается внутри изображения, которое хранится на сервере скомпрометированного магазина, с использованием стеганографии. Для сбора платежных реквизитов скиммер подменяет страницу PayPal, загружая через iFrame фальшивку, предварительно заполненную данными из формы заказа. Хищение платежных данных происходит в момент внесения жертвой всех реквизитов в поддельную форму и нажатия кнопки подтверждения оплаты. Серверы Oracle WebLogic атакованы ботнетом DarkIRC Исследователи Juniper Threat Labs сообщили об атаках ботнета DarkIRC на серверы Oracle WebLogic через уязвимость удаленного выполнения кода (CVE-2020-14882). Доставка вредоносного ПО происходит с помощью скриптов PowerShell через HTTP GET-запросы. Полезная нагрузка представлена в виде двоичного кода с функциями обхода средств анализа и песочниц. DarkIRC имеет в своём арсенале большой список функций: кейлоггинг, загрузка файлов и выполнение команд, хищение учетных данных, распространение через MSSQL и RDP (брутфорс), SMB или USB, а также запуск нескольких типов DDoS-атак. Новый модуль TrickBot ищет уязвимости в UEFI Специалисты из Advanced Intelligence (AdvIntel) и Eclypsium опубликовали отчет о новом модуле ботнета TrickBot, который выискивает уязвимости в UEFI-прошивке зараженного устройства. Наличие доступа к прошивке UEFI дает злоумышленнику возможность добиться персистентности ВПО на скомпрометированном устройстве в случаях переустановки операционной системы или замены накопителей. Модуль проверяет активность защиты от записи UEFI/BIOS с помощью драйвера RwDrv.sys. =========== Источник: habr.com =========== Похожие новости:
Блог компании Инфосистемы Джет ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:35
Часовой пояс: UTC + 5