GIFShell, Bumblebee, Lampion. Обзор новых ИБ-угроз на начало сентября 2022

ICT-Online.ru проанализировал сообщения российских и мировых СМИ о появившихся за последнюю неделю киберугрозах. Представляем читателям сводный отчет.

Вниманию пользователей Microsoft Teams

Злоумышленники начали применять против пользователей Microsoft Teams новую технологию – GIFShell, которая оказалась доступной из-за ряда старых уязвимостей системы конференцсвязи Microsoft. Как следует из названия, метод предполагает участие графических файлов формата GIF. С их помощью хакеры проводят фишинговые атаки, обходят инструменты ИБ и добиваются удаленного выполнения команд, способствующих краже данных.

По данным специалистов по кибербезопасности, впервые обнаруживших такой тип угроз, успешность действий атакующих в данном случае связана с тем, что для доставки вредоносного ПО они задействуют законный трафик Teams, проходящий через серверную инфраструктуру Microsoft. Таким образом защитные механизмы программы ВКС не реагируют на него, считая «своим».

Кроме того, злоумышленник для доступа к инфраструктуре жертвы должен надеяться как на возможности зловреда, так и на удачу. В ходе атаки он, представляясь внешним участником видеоконференции, должен убедить жертву установить зараженную программу-загрузчик под видом безобидного вложения. После того, как вирус заражает компьютер пользователя, он может действовать без открытия вредоносного файла, поскольку Microsoft Teams работает на ПК в фоновом режиме.

Microsoft со своей стороны отказалась исправлять этот недостаток, обосновав это тем, что «границы безопасности» приложения не нарушены. Единственное, что смог сделать разработчик, – он запретил внешним пользователям отправлять вложения другим клиентам сервиса.

Bumblebee наносит очередной удар

Многофункциональный инструмент для получения начального доступа к сетям и последующего развертывания хакерами полезной нагрузки в инфраструктуре жертвы – вредоносный загрузчик Bumblebee – приобрел обновление. Исследователи киберугроз считают, что впервые проявившийся в феврале-марте 2022 года доставщик malware в новой версии обзавелся более эффективной цепочкой заражения и теперь имеет меньше рисков быть обнаруженным.

Распространение Bumblebee по-прежнему происходит через электронную почту. Эксперты считают, что эта программа станет еще более популярной среди распространителей вредоносного ПО – такого, как программы-вымогатели.

WeTransfer как предлог

Аналитики американской Cofense выявили новую фишинговую кампанию, связанную с распространением вредоносного ПО Lampion. Злоумышленники пользуются взломанными учетками сотрудников и рассылают от их имени фишинговые письма, где во вложении содержится фейковая квитанция об оплате WeTransfer.

Отмечается, что вредоносное ПО предназначено для кражи пользовательских данных, главным образом – данных о банковских счетах.

Linux не в безопасности

Две новости на прошлой неделе касались безопасности операционной системы Linux.

Так, специалисты VMware в результате эксперимента доказали, что патч, закрывающий уязвимость спекулятивного выполнения Retbleed (это уязвимость, выявленная в процессорах Intel и AMD) способен снижать производительность виртуальных машин на Linux на 70%.

Аналитики AT&T обнаружили новое вредоносное ПО для системы Linux, которое используется для заражения пользовательского устройства или гаджета Интернета вещей с последующим захватом контроля над ним. Вредонос назвали Shikitega.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, вирусы, хакеры