
ТОП-5 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-5 — RAT для Windows распространяется под видом популярных библиотек в npm, уязвимость нулевого дня в Cisco Catalyst SD-WAN используется для получения root-доступа, угроза в Microsoft Edge. Вредоносное расширение Edgecution обходит песочницу браузера, уязвимость DirtyClone позволяет локальным пользователям получить права root, популярный блокировщик рекламы может выполнять произвольный JavaScript-код.
RAT для Windows распространяется под видом популярных библиотек в npm
Исследователи из JFrog Security Researcher обнаружили набор вредоносных пакетов npm, которые распространяли троян удаленного доступа (RAT) для Windows. Злоумышленник под ником abdrizak опубликовал три пакета: aes-decode-runner-pro, postcss-minify-selector и postcss-minify-selector-parser. Пакеты содержат встроенный JavaScript-дроппер, который записывает скрипт PowerShell на диск и выполняет его. Этот скрипт выступает в роли загрузчика: он использует curl.exe для скачивания ZIP-архива с вредоносным содержимым с домена nvidiadriver[.]net. Из архива извлекается и запускается файл скрипта Visual Basic, который отвечает за настройку среды Python на скомпрометированном хосте и запуск основного вредоносного скрипта. RAT обладает инструментами сбора информации о хосте, получения учетных данных из Google Chrome, сбора данных из расширений Chrome, выполнения команд оболочки и загрузки / выгрузки файлов на сервер управления и контроля. Пользователям, установившим какой-либо из данных пакетов, рекомендуется немедленно удалить их и все созданные ими артефакты и сменить учетные данные на затронутых компьютерах.
Уязвимость нулевого дня в Cisco Catalyst SD-WAN используется для получения root-доступа
Специалисты Mandiant выявили злоумышленника, нацеленного на
Читать на habr.com
