Троян Qakbot вернулся, атакует владельцев отелей

Троян Qakbot вернулся, атакует владельцев отелей

Троян Qakbot вернулся, атакует владельцев отелей

После трехмесячного отсутствия на интернет-арене вредонос QakBot, он же Qbot и Pinkslipbot, вновь начал распространяться через спам-рассылки — в новой, еще не обкатанной версии и пока ограниченным тиражом.

В минувшем августе в ходе международной операции правоохранителям удалось проникнуть на серверы QakBot и спустить на зараженные Windows-машины команду на самоуничтожение трояна. В результате он исчез из репертуара авторов атак, использующих имейл; им пришлось переключиться на похожих, но менее мощных зловредов.

В конце прошлой недели исследователи из Microsoft в своем микроблоге на X (бывш. Twitter) сообщили об обнаружении новых QakBot-рассылок, небольших по объему и ориентированных на представителей индустрии гостеприимства.

Поддельные письма с вредоносным вложением распространяются от имени Налоговой службы США. Прикрепленный файл PDF замаскирован под список гостей; при попытке его открыть выводится сообщение; предварительный просмотр не предусмотрен, можно лишь скачать документ по ссылке.

 

Анализ показал, что при клике по встроенной кнопке загружается заверенный подписью MSI-файл, который после установки загружает в память Qakbot DLL. Вредоносная библиотека была создана 11 декабря, в день, когда эксперты обнаружили троянскую рассылку.

Образец зловреда в базе Microsoft не числился; его C2-серверы расположены в Австрии и Финляндии (в обоих случаях используется порт 443). Другие исследователи подтвердили, что это новая версия Qakbot, притом в стадии разработки. От прежних она отличается незначительно; в частности, для расшифровки строк кода вместо XOR теперь используется AES.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость 0-click в декодере MonkeyAudio грозила RCE телефонам Samsung

Участники Google Project Zero раскрыли детали уязвимости удаленного выполнения кода, обнаруженной в Samsung Galaxy в прошлом году. Патч для нее вендор выпустил в составе декабрьского набора обновлений для мобильных устройств.

Уязвимость CVE-2024-49415 (8,1 балла CVSS) связана с возможностью записи за границами буфера, которая может возникнуть при декодировании аудиофайлов формата MonkeyAudio (APE). Подобные ошибки позволяют удаленно выполнить произвольный код в системе.

Виновником появления проблемы является библиотека libsaped.so, а точнее, функция saped_rec. Эксплойт, по словам автора находки, не требует взаимодействия с пользователем (0-click), но возможен лишь в том случае, когда на целевом устройстве включены RCS-чаты (дефолтная конфигурация Galaxy S23 и S24).

Атаку можно провести, к примеру, через Google Messages, отправив намеченной жертве специально созданное аудиосообщение. Согласно бюллетеню Samsung, уязвимости подвержены ее устройства на базе Android 12, 13 и 14.

Декабрьский пакет обновлений Samsung закрывает еще одну опасную дыру — CVE-2024-49413 в приложении SmartSwitch (некорректная верификация криптографической подписи, 7,1 балла CVSS). При наличии локального доступа данная уязвимость позволяет установить вредоносное приложение на телефон.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru