На прошлой неделе появилась о необычном варианте так называемой атаки ClickFix, в которой потенциальную жертву обманным путем заставляют выполнить на компьютере скрипт, загружающий и устанавливающий вредоносное ПО. Атаки маскируются под привычные для пользователей особенности сетевой жизни, чаще всего — под капчу, но «доказательство, что вы не робот» приводит к компрометации системы. Несмотря на потенциал таких атак по обходу базовых средств защиты, злоумышленники ищут способы максимально скрытной загрузки вредоносного ПО. Как оказалось, в качестве нестандартного способа связи с командным сервером может служить древнейший сетевой протокол .
Спецификации протокола Finger были подготовлены в доисторическом, по меркам Интернета, 1977 году. Одноименная утилита позволяет запросить данные о конкретном пользователе на удаленном сервере. По сути, это была первая реализация передачи данных о статусе пользователя. Аналогично сейчас в любом мессенджере можно посмотреть, находится ли пользователь онлайн. Естественно, в настоящее время протокол почти не используется, но поддерживается как в Windows, так и в macOS, а также в системах на базе Linux. Вредоносный батник-скрипт, использующий Finger, был обнаружен в сервисе VirusTotal, и работает он следующим образом.
Команда на скриншоте выше инициирует соединение по протоколу Finger (используя 79-й порт TCP) с сервером злоумышленников. Протокол подразумевает передачу только текстовой информации, но этого вполне достаточно, чтобы загрузить на компьютер жертвы еще один скрипт, который уже устанавливает вредоносное ПО. Скрипт тут же передается на выполнение. Исследователь, обнаруживший батник на VirusTotal, не смог проанализировать следующую стадию атаки — по использованному адресу уже никто не отвечал. Но эта же атака на Reddit — и стоит обратить внимание, что ее жертвой оказался достаточно подкованный технически пользователь. В комментариях к этому посту был выложен и от вредоносного сервера. На этой стадии атаки используется распространенная утилита curl (которая для напускания тумана перед выполнением переименовывается); с ее помощью загружается архив (также в целях маскировки переименованный в .pdf). Внутри архива содержится уже финальная полезная нагрузка на Python.
Пока происходит эта многосоставная атака, пользователю продолжают показывать капчу. После запуска вредоноса на Python последняя команда в скрипте отчитывается на командный сервер об успехе, капча закрывается. В итоге на компьютер жертвы устанавливается инфостилер. В другом обнаруженном варианте атаки с использованием Finger использовалось более продвинутое ПО, снабженное широким инструментарием, ограничивающим запуск, если на ПК установлены утилиты для исследования вредоносного кода. Об опасности Finger еще в 2020 году исследователь Джон Пейдж. Он показал в паре примеров кода, как такая атака может работать. Через пять лет эта идея воплотилась в реальную вредоносную атаку. Этого времени было бы достаточно, чтобы удалить поддержку древнего протокола, причем без особых последствий для обычных пользователей.
Что еще произошло
Эксперты «Лаборатории Касперского» опубликовали два новых исследования. анализируются артефакты кибершпионской вредоносной кампании GoRed. А в исследуются мошеннические кампании GhostCall и GhostHire группировки BlueNoroff. В рамках кампании конечная цель установки вредоносного ПО сопровождается необычным и сложным перфомансом: атакующие вступают в контакт с жертвами через мессенджеры, приглашают на звонки под предлогом обсуждения вакансии или чего-то подобного. По присланным ссылкам открываются фейковые, но правдоподобные сайты якобы для конфколлов. И уже там жертве предлагается скачать вредоносный код под видом «обновления для клиента Zoom».
Компания Google свои планы по обязательной подписи приложений для Android — даже тех, что устанавливаются на телефон напрямую, без использования магазина Google Play. Если бы такая процедура была внедрена, даже для запуска собственных, узкоспециализированных приложений пришлось бы создавать учетную запись разработчика и отправлять код в Google. После волны критики, поднявшейся после изначального анонса, Google объявила о двух изменениях. Во-первых, для разработчиков узкоспециализированных приложений процедура верификации будет упрощена, а количество требований снижено. Во-вторых, возможность загрузки и установки неверифицированных приложений напрямую все же останется, хотя ранее ее планировалось отключить.
Критическая уязвимость обнаружена и в роутерах Asus DSL-AC51, DSL-N16 и DSL-AC750, предназначенных для работы с подключением к Интернету типа ADSL/VDSL. Ошибка в системе аутентификации может приводить к полному перехвату контроля над устройством.
Специалисты компании Quokka в деталях безопасность цифровых фоторамок китайского бренда Uhale. Защищенность устройств оказалась сомнительной, и это еще мягко сказано: выяснилось, что модели данного производителя самостоятельно загружают вредоносное ПО при первом же включении. Производитель фоторамок, компания Whale TV, на сообщения исследователей никак не отреагировала.
Ноябрьский набор патчей для продуктов Microsoft закрывает одну активно используемую на момент обнаружения проблему в ядре Windows. Также компании пришлось срочный апдейт для Windows 10, который чинит сломавшуюся систему подписки на расширенную программу обновлений. Для данной ОС это критически важно, так как стандартный цикл поддержки ОС был завершен 14 октября 2025 года.
