Розробники менеджера пакетів RubyGems виявили бекдор у 18 шкідливих версіях 11 бібліотек Ruby. Зловмисники використовували його для впровадження в проекти Ruby криптовалютного майнера через шкідливі версії бібліотек.
Зокрема, шкідливий код був виявлений в чотирьох версіях однієї з найпопулярніших Ruby-бібліотек rest-client. За словами користувача GitHub під псевдонімом juskoljo, він проаналізував версії бібліотеки з 1.6.9 по 1.6.13 і виявив, що остання версія завантажує з pastebin.com віддалений код і відправляє інформацію на mironanoru.zzz.com.ua.
Як з’ясував розробник Ruby Ян Дінтел (Jan Dintel), шкідливе ПЗ збирає змінні середовища скомпрометованої системи (наприклад, облікові дані для використовуваних сервісів) і відправляє їх на віддалений сервер на території України.
Для запуску коду зловмисник повинен відправити підписані за допомогою його власного ключа файли cookie. Вони перевантажують метод #authenticate в класі Identity, і при кожному виклику атакуючому відправляється електронна адреса і пароль. Також бекдор дозволяє зловмиснику виконувати в скомпрометованій системі довільні команди.
Шкідлива кампанія тривала понад місяць, поки обліковий запис розробника rest-client Метью Меннінга (Matthew Manning) був зламаний з метою додавання в менеджер пакетів RubyGems чотирьох шкідливих версій бібліотеки.
18 шкідливих версій бібліотек були завантажені користувачами 3584 рази, після чого були видалені з RubyGems. Автори проектів, де використовуються бібліотеки з бекдором, повинні видалити з шкідливих бібліотек все і використовувати нові, безпечні.
Ruby — це інтерпретована, повністю об’єктно-орієнтована мова програмування з чіткою динамічною типізацією.
RubyGems – це пакетний менеджер для мови програмування Ruby, який надає стандартний формат для розповсюдження програм і бібліотек Ruby.
До речі, про те, що Kaspersky Lab і вся його лінійка продуктів пов’язана з російськими спецслужбами, українські фахівці попереджали давно. Про те, що ці антивіруси сильно навантажують навіть комп’ютери середньої потужності, теж попереджали. Про те, що там купа “дірок”- теж говорили. І ось наочний доказ останнього – знайдена ще одна вразливість, яка пов’язана з відстежуванням користувачів на сайтах.
Нагадаємо, що шахраї крадуть облікові записи Steam, використовуючи для цього спеціально розроблений сайт з “безкоштовними роздаванням ігор”. За допомогою вкрадених екаунтів зловмисники намагаються заманити нових жертв.
Також у браузері Chrome з’явиться функція перевірки паролів, яка значно підвищить безпеку користування. Поки що нововведення призначено лише для настільної версії, але у майбутньому може бути перенесено і до мобільної.
Стало відомо, що дослідники з компанії Avanan, що займається питаннями безпеки електронної пошти, виявили нову фішингову кампанію. Зловмисники за допомогою повідомлень голосової пошти Microsoft Voicemail намагаються змусити жертву відкрити вкладення HTML, що перенаправляє на фішингові web-сторінки.
Окрім цього, Google видалила 85 додатків для Android із магазину Google Play після того, як дослідники виявили, що це рекламне програмне забезпечення (adware), яке вдає з себе нормальні додатки.
Клікджекінг привернув увагу ІБ-експертів більш десяти років тому, і з тих пір продовжує користуватися великою популярністю у кіберзлочинців. Команда дослідників, що складається з фахівців Microsoft і вчених китайського, південнокорейського та американського університету, проаналізувала 250 тисяч сайтів зі списку Alexa і виявила три техніки, які зараз використовуються кіберзлочинцями для перехоплення кліків.
Зверніть увагу, в Microsoft виявили незвичайну фішингову кампанію, в якій використовуються кастомні сторінки з помилками 404. Таким чином зловмисники намагаються обманом змусити потенційних жертв видати свої облікові дані.
У програмі VLC Media Player було виявлено 15 уразливостей. Дві з них мають високий рівень серйозності, п’ять – середній, три – низький, а решта поки не отримали оцінку.
Дослідники з Netflix і Google виявили низку багів у кількох реалізаціях протоколу HTTP/2. Експлуатація яких дозволяє зловмисникам викликати відмову в обслуговуванні на не оновлених серверах. Згідно зі статистикою, це 40% від усіх web-сайтів в Інтернеті.
