Обзор инцидентов безопасности за период с 10 по 16 сентября 2018 года
Кратко о главных событиях в мире ИБ за минувшую неделю.
Эксперты «Лаборатории Касперского» сообщили о масштабной кампании по распространению банковского трояна Asacub, направленной на пользователей мобильных устройств на базе Android. Наибольшее число заражений приходится на РФ (98%), по данным специалистов, жертвами трояна ежедневно становятся порядка 40 тыс. пользователей. Вредонос распространяется с помощью фишинговых SMS-сообщений с предложением посмотреть фотографии или MMS по указанной ссылке. При переходе на соответствующий сайт и нажатии на кнопку скачивания на устройство загружается вредоносное ПО. На минувшей неделе Великобритания в очередной раз обвинила РФ в кибератаках на свою инфраструктуру. По словам источника в британском правительстве, атаки направлены на энергетические сети, системы связи и средства массовой информации.
Вредоносная кампания, организованная киберпреступной группировкой MageCart, не сбавляет обороты. Как стало известно, список жертв пополнил сервис уведомлений Feedify. Злоумышленники заразили один из используемых компанией Feedify JavaScript файлов (feedbackembad-min-1.0.js) вредоносным кодом, похищающим данные платежных карт. Компания неоднократно удаляла вредоносный скрипт, однако преступники оказались настойчивыми и раз за разом повторно инфицировали файл.
Киберпреступники продолжают атаковать непропатченные маршрутизаторы MikroTik с целью добычи криптовалюты. В частности, эксперты зафиксировали очередную кампанию, направленную на уязвимые устройства, в ходе которой атакующие создают «WebSocket туннель к браузерному скрипту для добычи криптовалюты». По имеющимся данным, новая кампания затронула более 3,8 тыс. маршрутизаторов MikroTik.
Злоумышленники активно сканируют интернет на предмет сайтов на WordPress, использующих уязвимые версии плагина Duplicator, с помощью которого они могли бы перехватить контроль над ресурсом. Данный плагин установлен на более чем 1 млн сайтов, в том числе занимающих верхние строчки в рейтинге Alexa. Злоумышленники эксплуатируют уязвимость в плагине для установки бэкдора на сервер. Что интересно, бэкдор сохраняется даже после перезапуска сайта.
На анонимном публичном хостинге kayo.moe была выявлена огромная база данных, содержащая электронные адреса, незашифрованные пароли и частичные номера кредитных карт (в общей сложности более 41 млн уникальных электронных адресов и паролей). По мнению оператора сервиса Have I Been Pwned по отслеживанию утечек данных Троя Ханта (Troy Hunt), данные были подготовлены для использования в атаке типа credential stuffing (вброс регистрационных данных), при котрой перебор паролей осуществляется не по словарю, а по заранее приобретенной базе похищенных паролей. Источник утечки установить не удалось.
Прошедшая неделя ознаменовалась еще одним инцидентом, связанным с отсутствием защиты данных. Компания Veeam Software, специализирующаяся на разработке решений для управления виртуальной инфраструктурой и защиты данных, допустила утечку 445 млн записей своих клиентов. База данных объемом в 200 ГБ хранилась на открытом для общего доступа сервере MongoDB в инфраструктуре Amazon.