M
Mr.Dante
Гость
Всем снова наш безопасный привет, уважаемые читатели, подписчики, коллеги, камрады и просто любопытные. И в этот раз опять новости, и да, опять неутешительные. Кибер-мир постоянно движется, одни пишут защиты, другие вредоносы. Это есть жизнь цифрового мира на сегодня. Стало известно, что ваши любимые браузеры «Хром» «Файерфокс» и даже хваленый Microsoft Defender стали уязвимыми перед новым фреймворком. Но все как мы любим, поехали раскладывать по полочкам.
Суть новости
Итак, компания Google TAG (Threat Analysis Group) провела анализ, который показал, что появился новый трехмодульный фреймворк, который нацелен на уязвимости двух браузеров и защитника Винды. Что у нас значит многомодульность? Значит ПО может производить много функций в отношении вас и вашего ПК, которые вам явно не понравятся.
Сам фреймворк обозвали Heliconia, а его основные модули описываются следующим образом:
- Noise для эксплойт-атаки на Chrome (RCE-уязвимость в движке V8, побег из песочницы, установка агента);
- Soft с вредоносным PDF — эксплойтом CVE-2021-42298 для Microsoft Defender (повышение привилегий до SYSTEM, загрузка и запуск агента);
- Files, запускающий цепочку эксплойтов для Firefox на Windows и Linux (CVE-2022-26485, побег из песочницы, специфичный для Windows-версии браузера).
Майкрософт пока никак не отреагировали на данную новость, но, думаем, и не отреагирует, а просто молча выпустит обновление, которое избавит от одного, но сломает другое, как оно обычно и бывает.
А вот интересная вырезка их самого отчета «гуглемэнов»:
«Heliconia Noise включает в себя сценарий очистки перед фиксацией, который приводит к утечке названия компании, которая, вероятно, разрабатывает этот проект, Variston IT. Сценарий, показанный ниже, проверяет, что двоичные файлы, созданные платформой, не содержат конфиденциальных строк, таких как «Variston», псевдонимы разработчиков или имена серверов. Variston Information Technology — небольшая компания, базирующаяся в Барселоне, которая описывает себя как предлагающую «индивидуальные решения для информационной безопасности».
А теперь перейдет к самому вкусному.
Как может настраиваться вредонос
В отчете указано, что для настройки данной заразы используется файл JSON. Как раз и позволяет владельцу или оператору настроить следующие параметры:
- attackExecution: максимальное поличество раз попыток применения эксплойта.
- expiration: параметр, показывающий после скольких попыток сервер уходит в отказ.
- redirectUrl: адрес перенаправления, если возникла проблема с эксплойтом.
- targetValidator: настройка правил для клиентов, на которые нацелен вредонос.
- dnsMirrors: зеркала для распаковки самого фрейма.
Post Scriptum
Чтобы в наше время быть защищенным, важно, как можно больше знать о методах противодействия вредоносному ПО. Никогда не надейтесь на то, что антивирус вас спасет от всего. Это всего лишь помощник. Защититься от угроз киберпространства вам помогут знания, которые вы всегда можете почерпнуть на нашем форуме по адресу Ру-Сфера: Исследование защиты и обсуждение IT-безопасности.
Ну а нам остается только добавить, что помимо форума у нас есть:
- Дзен:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки;
- ВК:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки;
- Telegram:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки;
- Портал:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки.
Будьте бдительны и следите за своей безопасностью! До связи, услышимся на одном из наших ресурсов или в следующей статье! 1100010 1111001 1100101
