Сегодня в ТОП-5 — кража $1 млн черз 150 вредоносных расширений Firefox, шпион под прикрытием «антивируса», новый EDR-киллер, патч для эксплуатируемой уязвимости SonicWall, CISA добавляет три уязвимости D-Link в каталог KEV.
150 вредоносных расширений Firefox украли $1 млн
Была раскрыта масштабная вредоносная компания под названием GreedyBear, в ходе которой злоумышленники загрузили в магазин расширений браузера Firefox 150 зараженных дополнений под видом криптокошельков. Пользователи, установившие эти расширения, лишились порядка миллиона долларов из-за скрытых функций кражи криптоключей. Утечка происходила через фоновое извлечение данных из кошельков без уведомления. Mozilla оперативно удалила вредоносные расширения после обнаружения. Рекомендуется удалить расширения, которые вам неизвестны, проводить регулярный аудит расширений, а также хранить криптоключи вне браузера.
LunaSpy: шпион под прикрытием «антивируса» атакует Android-устройства
Специалисты из лаборатории Kaspersky обнаружили мобильный шпион LunaSpy, который маскируется под антивирусное приложение, чтобы скрытно собирать данные пользователей. После установки происходит сбор файлов, фото, контактной информации и переписки без явного уведомления. Приложение также может активировать запись голосовых сообщений и звонков. Эта активность обнаружена на устройствах Android и подтверждена Kaspersky. LunaSpy распространялся через сторонние магазины приложений, не Google Play. Рекомендуется устанавливать приложения только из проверенных источников и регулярно проверять, какие разрешения запрашивает приложение, доступ к микрофону, сообщениям, файлам и экрану.
Новый EDR-киллер используется восьмью группами вымогателей
Специалисты из компании Sophos обнаружили новый инструмент, позволяющий отключать EDR (Endpoint Detection and Response) на целевых системах, что широко используется восьмью крупными группами ransomware. Инструмент работает путем манипуляции легитимными процессами и сервисами, оставляя систему уязвимой для дальнейшего шифрования. Он позволяет обойти защиту без использования уязвимостей. Применяется в ходе атак прямо перед шифрованием данных, что существенно увеличивает эффективность вымогательских атак. Рекомендуется убедиться, что EDR и антивирус всегда работают под высокими привилегиями и защищены от отключения в ходе атаки.
Производитель SonicWall подтвердил патч для эксплуатируемой уязвимости
Компания SonicWall подтвердила, что всплеск атак на SSL VPN-устройства связан с давно известной уязвимостью CVE-2024-40766 (CVSS: 9.3), а не с новой zero-day. Атаки были вызваны повторным использованием паролей в момент миграции с Gen 6 на Gen 7. Уязвимость позволяла неавторизованным злоумышленникам получить доступ и даже вызвать сбой системы. SonicWall рекомендует обновить прошивку до версии 7.3.0, сбросить локальные пароли, включить MFA и Geo-IP-фильтрацию.CISA добавляет три уязвимости D-Link в каталог KEV
Агентство CISA включило в каталог Known Exploited Vulnerabilities три старых уязвимости в устройствах D-Link (камеры и видеорегистраторы): CVE-2020-25078 (CVSS: 7.5), CVE-2020-25079 (CVSS: 8.8) и CVE-2020-40799 (CVSS: 8.8). Первая позволяет получить администраторский пароль, вторая — выполнить команду через CGI-инъекцию, третья — выполнить код без проверки целостности. Уязвимости активно эксплуатируются, особенно в устаревших версиях камер. Для некоторых моделей (DNR-322L) патчей уже нет из-за окончания поддержки. Рекомендуется обновить прошивку устройств или заменить устаревшие модели на поддерживаемые и безопасные.
Источник: habr.com