Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новый метод сохранения вредоносного ПО на серверах Magento, фишинговые письма от Google, критическая уязвимость в библиотеке Rust, новая техника обмана разработчиков GitHub и атака новой группировки на российские компании. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Данил Глазырин.

Новый метод сохранения вредоносного ПО на серверах Magento

Компания Sansec обнаружила в базе данных шаблон макета, который использовался для автоматического внедрения вредоносного ПО Interceptor.php. Злоумышленники используют парсер макетов Magento и пакет beberlei/assert для выполнения команд через Checkout Cart, что приводит к удаленному выполнению кода, а также дает возможность использовать POST-запрос команды /cms/index. Данный метод взлома связан с недавно обнаруженной уязвимостью CVE-2024-20720 (CVSS: 9.1). Пользователям рекомендуется обновить Magento до версии 2.4.6-p4, 2.4.5-p6 или 2.4.4-p7.

Фишинговые письма от Google 

Специалисты компании F.A.C.C.T. обнаружили новую мошенническую схему в России, которая позволяет злоумышленникам отправлять фишинговые письма от имени Google. Помимо того, что домен отправителя google.com, электронная почта имеет механизмы, такие как SPF и DKIM, которые позволяют установить подлинность письма. Злоумышленники используют инструмент Google Looker Studio для создания фишинговых писем, более того, маршрут письма подтверждает, что его первоисточником был именно сервер компании Google. Однако ссылка в теле письма ведет на Google-презентацию, которая содержит только один слайд и является ссылкой на мошеннический ресурс. Рекомендуется быть более бдительными, даже когда источник письма не вызывает никаких сомнений.

Критическая уязвимость в библиотеке Rust