Обнаружен новый вид веб-атак

Обнаружен новый вид веб-атак

Пользователи сразу нескольких интернет-форумов сообщили об обнаружении новой и довольно странной атаки, заключающейся в отравлении буфера обмена операционной системы. Атака является универсальной и ей подвержены пользователи всех современных настольных операционных систем, имеющих графический интерфейс.

Атака направлена на такую популярную функцию как "копировать/ставить" (copy/paste): при помощи веб-скритов злоумышленники "подселяют" в буфер обмена операционной системы ссылку или ссылки на злонамеренный сайт с размещенным хакерским ПО.

Опасность данного вида атаки заключается, во-первых, в новизне самого вида нападения - очень многие работают с буфером обмена операционных систем "на автомате", не обращая внимание на то, что в его содержимом могут происходить обновления. Во-вторых, ссылка на злонамеренный сайт остается в буфере до момента перезагрузки компьютера, наконец в-третьих, атака совершенно универсальна - ей подвержены как пользователи Windows, так и сторонники Linux и Mac OS.

Пока большая часть пользователей, которые уже подверглись отравлению буфера обмена сообщают, что подавляющее большинство ссылок, вставляемых в буфер, ведет на сайт xp-vista-update.net.

Эксперты по антивирусной безопасности говорят, что в данный момент они пытаются разобраться с сутью атаки и ее источником. Тем же, кто не хотел бы получать в буфер обмена злонамеренные ссылки предложено отключить в настройках браузера возможность исполнения JavaScript.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Заброшенные хранилища AWS S3 создают риск атак на цепочки поставок

Выведенные из эксплуатации интернет-активы порой остаются востребованными и в итоге могут превратиться в угрозу глобального масштаба. Команда watchTowr убедилась в этом на примере Amazon S3.

В рамках исследования в Сети было найдено около 150 ликвидированных хранилищ AWS S3, продолжающих получать запросы на обновления для софта и другие коды. Если таким источником завладеет злоумышленник, он сможет раздавать вредоносов просителям.

Как оказалось, заброшенные активы ранее принадлежали правительственным учреждениям, участникам списка Fortune 500, ИТ- и ИБ-компаниям, а также opensource-проектам.

Экспериментаторы повторно зарегистрировали все находки под теми же именами и включили журналирование. За два месяца наблюдений сменившие владельца AWS S3 суммарно получили более 8 млн запросов на ресурсы.

Чаще всего запрашивали исполняемые файлы Windows/Linux/macOS, образы ВМ, файлы JavaScript, шаблоны из коллекции AWS CloudFormation, конфигурационные данные серверов SSL VPN.

Запросы поступали из сетей НАСА, военных ведомств, госучреждений США и других стран, компаний Fortune 500 и Fortune 100, банков, финсервисов, вузов, ИБ-компаний, мессенджеров, казино. По всей видимости, это был результат работы некогда актуальных привязок и ссылок, которые никто не удосужился вычистить.

Так, одна из заброшенных корзин S3 продолжала пользоваться популярностью из-за патча, на который ссылался алерт CISA (американского агентства кибербезопасности) от 2012 года. Когда автору бюллетеня поставили упущение на вид, URL из текста удалили.

 

Эксперты также помогли Amazon усилить защиту осиротевших хранилищ от злоупотреблений, в том числе от использования для атак supply-chain. Ранее watchTowr таким же образом выявила ИБ-риски, связанные с просроченными доменами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru