Пропонуємо ознайомитися з Symantec Threat Landscape Bulletin, щоб дізнатися докладніше про новини зі світу кібербезпеки за 02-04 та 08-09 липня 2025.
Зловмисники використовують зламані сайти WordPress для поширення Windows RAT
Дослідники поділилися інформацією щодо нещодавно виявленої шкідливої кампанії, яка використовує зламані сайти WordPress для атак на жертв. Ланцюжок зараження призначений для поширення ZIP-файлу (psps.zip), що містить виконуваний файл Windows з назвою client32.exe, який є RAT, що надає зловмисникам бекдор-доступ.
Початкова стадія процесу зараження починається з файлу header.php, який використовується для профілювання відвідувача і фільтрації небажаних відвідувачів зі списку блокування на основі IP-адрес. Він динамічно генерує зашифрований пакетний файл (update.bat) і примусово завантажує його на комп’ютер відвідувача.
Після запуску на комп’ютері жертви запускається наступна стадія атаки, яка включає в себе запуск скрипта PowerShell для завантаження додаткового ZIP-файлу, що містить виконуваний файл RAT, а потім налаштування його постійної присутності в системі шляхом зміни реєстру Windows. Після успішної установки він видаляє завантажений ZIP-файл, щоб не залишити слідів своєї діяльності. При запуску RAT зв’язується з сервером команд і управління (C&C) зловмисника за адресою 5.252.178[.1]23 через порт 443.
На сервері відомості про заражені комп’ютери додаються до файлу журналу з назвою count.txt, який використовується для відстеження раніше заражених комп’ютерів, щоб уникнути повторного зараження одних і тих же машин. Зловмисник також може отримати доступ до іншого файлу, доданого на сервер WordPress (man.php), і використовувати його в якості примітивної панелі адміністратора для моніторингу та управління журналом заражень.
Хоча дослідники не поділилися подробицями про те, як зловмисники спочатку впровадили шкідливе ПЗ на сервери WordPress, такі машини часто стають мішенню зловмисників, які використовують вразливості WordPress або його численних плагінів, неправильне налаштування, атаки методом перебору або зламані облікові записи. Адміністратори WordPress повинні забезпечити надійний захист своїх серверів і відстежувати незвичайну активність, яка може бути ознакою зараження сайту.
Дослідники знайшли новий спосіб розшифрувати файли cookie Chrome
Дослідники виявили спосіб, за допомогою якого зловмисник з низьким рівнем доступу може обійти захист системи і розшифрувати зашифровані файли cookie, які вважалися захищеними від таких атак після того, як в липні 2024 року Google впровадила в Chrome функцію AppBound Cookie Encryption. Ця функція була розроблена для захисту Chrome від шкідливих програм-інфостеарів, які протягом деякого часу використовували вразливості в механізмі зберігання та шифрування файлів cookie.
Завдяки цим поліпшенням файли cookie спочатку шифруються за допомогою ключа DPAPI користувача, а потім за допомогою DPAPI облікового запису SYSTEM, що робить розшифровку можливою тільки для процесів рівня SYSTEM. Щоб Chrome (що працює від імені звичайного користувача) міг отримати доступ до файлів cookie, Google ввів службу підвищення прав – COM-сервер, що працює від імені SYSTEM – для обробки запитів на розшифрування. Щоб запобігти зловживанням, служба перевіряє шлях до виконуваного файлу запитувача і повертає ключ тільки в тому випадку, якщо він збігається зі шляхом Chrome.
Але, незважаючи на ці зміни, дослідники знайшли спосіб, за допомогою якого зловмисники з низьким рівнем привілеїв можуть обійти ці заходи захисту. Вони назвали нову техніку «C4 Attack» (Chrome Cookie Cipher Cracker), яка призначена для використання вразливостей в реалізації нових механізмів захисту файлів cookie.
Один з методів, що використовуються, – COM-хіджакінг, який змушує Chrome використовувати шкідливу службу підвищення прав або повертатися до старішої і менш безпечної методики шифрування. Також була виявлена атака «padding oracle», спрямована на вразливість у використанні AES-CBC в DPAPI, яка дозволяє зловмиснику ефективно зламувати і розшифровувати файли cookie без доступу до системи на рівні SYSTEM.
Дослідники повідомили про свої висновки компаніям Microsoft і Google деякий час тому. Google наразі займається усуненням цих проблем, а Microsoft не вважає, що з її боку необхідно вживати будь-яких заходів.
Користувачі криптовалют стали мішенню кампанії з поширення підроблених розширень для FireFox
В офіційному магазині доповнень Firefox було виявлено понад 40 підроблених розширень для криптовалютних гаманців, націлених на користувачів криптовалют з метою крадіжки їхніх криптоактивів.
Всі шкідливі надбудови розроблені так, щоб імітувати популярні криптовалютні гаманці, такі як Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr і MyMonero. Щоб надбудови виглядали більш автентично, зловмисники створили клони оригінальних легальних гаманців з відкритим вихідним кодом, а потім модифікували їх, додавши шкідливий код.
Щоб підроблені розширення виглядали більш достовірними, зловмисники створюють сотні підроблених п’ятизіркових відгуків, щоб розширення виглядали надійними, але деякі реальні жертви зуміли поставити підробленим розширення однозіркові відгуки, щоб попередити потенційних жертв.
Корисне навантаження намагається викрасти конфіденційні дані, такі як паролі гаманців і початкові фрази, що використовуються для управління і підпису транзакцій. Викрадені дані надсилаються на сервер, контрольований зловмисником. Він використовує прослуховувачі подій для відстеження вхідних даних, що нагадують початкові фрази, а також може приховувати повідомлення про помилки, роблячи їх невидимими.
Згідно з даними, виявленими в коді, кампанія атак, ймовірно, є справою рук російськомовного зловмисника. За наявними даними, кампанія ведеться щонайменше з квітня 2025 року і продовжує розвиватися. Нові версії підроблених розширень були помічені ще наприкінці червня 2025 року.
Мільйони електронних листів щодня містять шкідливі QR-коди
Все більше кіберзлочинців використовують QR-коди для фішингових атак і поширення шкідливих програм. Нещодавнє дослідження Антифішингової робочої групи (APWG) показало, що з жовтня 2024 року по березень 2025 року щодня надсилалися мільйони електронних листів, що містять QR-коди. Вони приводили до фішингових сайтів, сторінок з підробкою брендів та інших шахрайських сайтів.
Член APWG, компанія Mimecast, заявила, що за шість місяців вона самостійно виявила 1,7 мільйона унікальних шкідливих QR-кодів і в середньому 2,7 мільйона електронних листів, що містять ці QR-коди, на день. За іронією долі, широке поширення QR-кодів серед споживачів сприяє успіху атак.
«Споживачі регулярно користуються роздрібними послугами через мобільні додатки (такі як Amazon і Walmart), і ці сектори широко використовують QR-коди для передачі інформації про продукти та послуги», – йдеться в звіті.
Програма-вимагач Bert націлена на організації в різних секторах і країнах
За даними дослідників Trend Micro, програма-вимагач Bert націлена на організації в Азії, Європі та США, що працюють у таких секторах, як охорона здоров’я, технології та організація заходів.
Trend вперше виявив активність Bert (також відомого як Water Pombero) у квітні та повідомив, що він націлений як на системи Windows, так і на Linux. Хоча початковий вектор зараження, використаний зловмисниками, невідомий, дослідники заявили, що група розробників програм-вимагачів використовує скрипт PowerShell для відключення програмного забезпечення безпеки в мережах жертв перед розгортанням здирницьких програм.
У повідомленні з вимогою викупу зловмисники пишуть «Привіт від Берта» і дають інструкції щодо зв’язку з ними для переговорів про оплату. Дослідники заявили, що виявили кілька варіантів цього програмного забезпечення для вимагання, що свідчить про його активну розробку. Вони також припустили, що воно може бути засноване на Linux-варіанті REvil, відомого програмного забезпечення для вимагання, яке було ліквідовано в 2021 році.
Розширення для Chrome із 100 тис. завантажень, заражене трояном із функцією викрадення інформації
Популярне легальне розширення для Chrome під назвою «Color Picker, Eyedropper – Geco colorpick», яке було доступне протягом багатьох років у магазині Google Chrome і мало понад 100 000 завантажень, наприкінці червня 2025 року було виявлено як троянське, що містить функцію викрадення інформації, що, ймовірно, є атакою на ланцюжок постачання програмного забезпечення.
Заражене розширення містить функцію крадіжки інформації, яка запускається при кожному відвідуванні жертвою нового веб-сайту. Воно намагається перехопити сеанси користувачів, вкрасти сеансові куки і токени аутентифікації, а потім відправити їх зловмиснику. Крадіжка конфіденційних даних, таких як кукі та токени, може потенційно дозволити зловмисникам видати себе за користувачів і отримати доступ до облікових записів жертв.
Зловмисники часто використовують магазини розширень для браузерів як ефективний засіб поширення шкідливих або троянських розширень в рамках атак на ланцюжок поставок, подібних до цієї. На початку липня 2025 року в магазині надбудов Firefox було виявлено понад 40 шкідливих розширень, а ще в травні в магазині Google Chrome було виявлено понад сотню шкідливих розширень, що маскуються під підроблені популярні інструменти.
Користувачі цих магазинів часто очікують, що знайдені в них розширення пройшли перевірку і є безпечними для використання, але нескінченна гра в котики-мишки, яку ведуть кіберзлочинці та продавці, означає, що користувачі не повинні втрачати пильність, незважаючи на всі зусилля з виявлення «гнилих яблук».
Microsoft Patch Tuesday за липень 2025 року виправляє 137 вразливостей, включаючи одну вразливість нульового дня
У випуску Patch Tuesday за липень 2025 року компанія Microsoft випустила оновлення для усунення 137 вразливостей, включаючи одну вразливість нульового дня і 14 вразливостей, класифікованих як критичні.
Йдеться про вразливість нульового дня CVE-2025-49719, публічно розкриту вразливість нульового дня в Microsoft SQL Server, яка не була активно використана в реальних умовах. Ця вразливість може дозволити віддаленому неавторизованому зловмиснику отримати доступ до даних з неініціалізованої пам’яті.
Кількість вразливостей у кожній категорії представлена наступним чином:
- 53 вразливості підвищення привілеїв
- 8 вразливостей обходу функцій безпеки
- 41 вразливості віддаленого виконання коду
- 18 вразливостей розкриття інформації
- 6 вразливостей відмови в обслуговуванні
- 4 вразливості спуфінгу
Найбільш критична вразливість в оновленні безпеки цього місяця – CVE-2025-47981, вразливість віддаленого виконання коду в Windows SPNEGO Extended Negotiation з оцінкою CVSS 9,8. Вона дозволяє виконувати віддалений код без аутентифікації, до аутентифікації, без взаємодії з користувачем і з низькою складністю атаки.
Користувачам продуктів Microsoft слід переконатися, що вони своєчасно встановлюють відповідні виправлення, щоб уникнути ризику злому.
Читайте Symantec Protection Bulletin, щоб дізнатися більше про те, як продукти Symantec захищають вас від загроз.
