Виправлена ​​нещодавно уразливість в Oracle WebLogic активно експлуатується кіберзлочинцями для встановлення на вразливі сервери майнерів криптовалют.

Йдеться про уразливість десеріалізації, відновлення початкового стану структури даних із бітової послідовності,  (CVE-2019-2725), що дозволяє неавторизованому зловмисникові віддалено виконувати команди. Про проблему стало відомо в квітні нинішнього року, коли кіберзлочинці вже виявляли до неї інтерес. Oracle виправила уразливість в кінці того ж місяця, однак, за даними Trend Micro, в ей час вона активно використовується в атаках.

Як повідомляють дослідники, за допомогою уразливості зловмисники встановлюють на скомпрометовані машини програмне забезпечення для майнінгу криптовалют. Для обходу виявлення вони ховають шкідливий код у файлах цифрових сертифікатів.

Після виконання на системі шкідник експлуатує уразливість для виконання команд і ряду завдань. Спочатку за допомогою PowerShell з C&C-сервера завантажується файл сертифіката, для розшифровки якого використовується легітимний інструмент CertUtil. Потім за допомогою PowerShell цей файл виконується на цільовій системі і видаляється за допомогою cmd.

Сертифікат виглядає як звичайний у форматі Privacy-Enhanced Mail (PEM), проте має форму команди PowerShell замість звичного формату X.509 TLS. До отримання команди файл повинен розшифровуватися двічі, що досить незвично, тому що команда експлойта використовує CertUtil тільки один раз.

Ідея використовувати файли сертифікатів для обфускації (заплутування) шкідливого коду далеко не нова. Проте, реальні атаки з використанням даного методу раніше не виявлялися, а якщо і виявлялися, то дуже рідко.

Нагадаємо, Google планує вжити додаткових заходів для боротьби з шахрайськими розширеннями для Chrome. Так, Google планує видаляти розширення з веб-магазину Chrome, якщо вони порушують нові політики.

До речі, спільна команда дослідників з Віргінського політехнічного інституту, аналітичного центру RAND і компанії Cyentia Institute опублікувала результати цікавого дослідження, з’ясувавши, яка кількість уразливостей, виявлених за останній десяток років, насправді використовувалася у реальних атаках.

Окрім цього, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.