ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — злоумышленники крадут данные через вредоносные письма с тематикой годовых премий, шпионское ПО Predator инфицирует устройства через вредоносную рекламу без необходимости клика на нее, Google закрыла две критические 0-day-уязвимости в Android, критическая уязвимость в React и Next.js позволяет удалённо выполнять код без аутентификации, обновления легитимных расширений становятся вектором атак Glassworm.

Злоумышленники крадут данные через вредоносные письма с тематикой годовых премий

Специалисты «Лаборатории Касперского» зафиксировали, что с октября этого года злоумышленники рассылают вредоносные XLL-файлы сотрудникам российских компаний, маскируя их под информацию о годовых премиях и бонусах. Эти файлы, представляющие собой DLL-библиотеки, автоматически загружаются в Microsoft Excel и выполняют вредоносный код, который запускает PowerShell-скрипты для закрепления в системе через планировщика задач. Основной скрипт собирает и отправляет злоумышленникам документы, ключи, архивы и системную информацию пользователя. Для защиты рекомендуется блокировать .xll и двойные расширения на почтовом шлюзе, ограничивать FTP-трафик и обучать сотрудников распознавать фишинг.

Шпионское ПО Predator инфицирует устройства через вредоносную рекламу без необходимости клика на нее

Было раскрыто, что шпионское ПО Predator от компании Intellexa использует механизм Aladdin, который позволяет инфицировать устройство без необходимости клика на нее при просмотре вредоносной рекламы. Реклама таргетируется по IP - адресу, маскируясь под обычные баннеры на надёжных сайтах и в мобильных приложениях. Хотя подробности о том, как работает заражение, отсутствуют, Google упоминает, что реклама вызывает перенаправления на серверы доставки