Обзор инцидентов безопасности за период с 14 по 20 октября 2019 года

В последние несколько месяцев то и дело появляются сообщения об утечках данных россиян, вот и минувшая неделя не стала исключением. На сей раз в сети была выявлена незащищенная база данных MongoDB, по всей видимости принадлежащая кемеровскому online-сервису по выдаче займов «ГринМани» (greenmoney.ru). На сервере хранилось несколько открытых баз данных, содержавших в совокупности более 180 ГБ информации, в том числе документы с результатами проверок через бюро кредитных историй (БКИ) Equifax и через оператора сотовой связи «Мегафон», включая номера телефонов, ФИО, даты рождения, регионы, серии и номера паспортов, адреса и т.п.

Исследователи безопасности обнаружили новую вредоносную кампанию, направленную на работающие под управлением CMS WordPress сайты, в рамках которой злоумышленники используют вредоносные плагины с функциями бэкдора, скрытые на самом видном месте. Вредоносные плагины не видны администраторам на панели инструментов, главная их задача - выполнение роли бэкдора на скомпрометированном сайте и предоставление атакующему доступа к серверу, даже если первоначальный вектор атаки был закрыт.

Специалисты компании ESET выявили вредоносную версию браузера Tor, предназначенную для хищения криптовалюты у пользователей рынков даркнета и отслеживания посещаемых ими web-сайтов. Еще в 2017 году злоумышленники зарегистрировали три криптовалютных кошелька, куда были переведены $40 тыс. в биткойнах. Злоумышленники рекламируют вредоносный вариант Tor на сайте Pastebin как «русскоязычную версию» браузера, а также распространяют его через спам-рассылки.

Эксперты компании Palo Alto Networks обнаружили первый, по их словам, червь для криптоджекинга, распространяющийся с помощью контейнеров Docker. Вредоносное ПО, получившее название Graboid, загружается с C&C-серверов и предназначено для майнинга криптовалюты Monero. Для распространения червь периодически запрашивает у C&C-сервера информацию об уязвимых хостах и случайным образом выбирает следующую цель. По словам исследователей, в среднем каждый криптомайнер активен на протяжении 63% времени, а периоды майнинга составляют 250 с.

На прошедшей неделе была выявлена еще одна интересная кампания по добыче криптовалюты. Главная особенность данной операции заключается в том, что для сокрытия и загрузки вредоносного ПО на атакуемые компьютеры ее организаторы использовали аудиофайлы в формате WAV. Техники сокрытия вредоносного ПО с помощью стеганографии в файлах графических форматов JPEG и PNG очень часто используются киберпреступниками для обхода антивирусных решений, однако это всего лишь второй случай, когда для подобных целей применяются аудиофайлы.

Не прошло и нескольких недель с момента публикации мощного джейлбрейка, совместимого со всеми iOS-устройствами, начиная от iPhone 4s и заканчивая iPhone 8 и iPhone X, как мошенники уже нашли способ извлечь из этого выгоду. В частности, команда Cisco Talos обнаружила сайт checkrain[.]com, который маскируется под официальный сайт checkra1n для загрузки джейлбрейка. Однако вместо этого, вредоносный сайт checkrain побуждает посетителей загружать приложение, которое нажимает на опасную рекламу и устанавливает видеоигры для iOS.