Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 02-04 и 08-09 июля 2025.
Злоумышленники используют взломанные сайты WordPress для распространения Windows RAT
Исследователи поделились информацией о недавно обнаруженной вредоносной кампании, использующей взломанные сайты WordPress для атак на жертв. Цепочка заражения предназначена для распространения ZIP-файла (psps.zip), содержащего исполняемый файл Windows с именем client32.exe, который является RAT, предоставляющим злоумышленникам бэкдор-доступ.
Начальная стадия процесса заражения начинается с файла header.php, который используется для профилирования посетителя и фильтрации нежелательных посетителей из списка блокировки на основе IP-адресов. Он динамически генерирует зашифрованный пакетный файл (update.bat) и принудительно загружает его на компьютер посетителя.
После запуска на компьютере жертвы запускается последующая стадия атаки, которая включает в себя запуск скрипта PowerShell для загрузки дополнительного ZIP-файла, содержащего исполняемый файл RAT, а затем настройку его постоянного присутствия в системе путем изменения реестра Windows. После успешной установки он удаляет загруженный ZIP-файл, чтобы не оставить следов своей деятельности. При запуске RAT связывается с сервером команд и управления (C&C) злоумышленника по адресу 5.252.178[.1]23 через порт 443.
На сервере сведения о зараженных компьютерах добавляются в файл журнала с именем count.txt, который используется для отслеживания ранее зараженных компьютеров, чтобы избежать повторного заражения одних и тех же машин. Злоумышленник также может получить доступ к другому файлу, добавленному на сервер WordPress (man.php), и использовать его в качестве примитивной панели администратора для мониторинга и управления журналом заражений.
Хотя исследователи не поделились подробностями о том, как злоумышленники первоначально внедрили вредоносное ПО на серверы WordPress, такие машины часто становятся мишенью злоумышленников, которые используют уязвимости WordPress или его многочисленных плагинов, неправильную настройку, атаки методом перебора или взломанные учетные записи. Администраторы WordPress должны обеспечить надежную защиту своих серверов и отслеживать необычную активность, которая может быть признаком заражения сайта.
Исследователи нашли новый способ расшифровать куки-файлы Chrome
Исследователи обнаружили способ, с помощью которого злоумышленник с низким уровнем доступа может обойти защиту системы и расшифровать зашифрованные куки-файлы, которые считались защищенными от таких атак после того, как в июле 2024 года Google внедрила в Chrome функцию AppBound Cookie Encryption. Эта функция была разработана для защиты Chrome от вредоносных программ-инфостеаров, которые в течение некоторого времени использовали уязвимости в механизме хранения и шифрования куки-файлов.
Благодаря этим улучшениям файлы cookie сначала шифруются с помощью ключа DPAPI пользователя, а затем с помощью DPAPI учетной записи SYSTEM, что делает расшифровку возможной только для процессов уровня SYSTEM. Чтобы Chrome (работающий от имени обычного пользователя) мог получить доступ к файлам cookie, Google ввел службу повышения прав – COM-сервер, работающий от имени SYSTEM – для обработки запросов на расшифровку. Чтобы предотвратить злоупотребления, служба проверяет путь к исполняемому файлу запрашивающего и возвращает ключ только в том случае, если он совпадает с путем Chrome.
Но, несмотря на эти изменения, исследователи нашли способ, с помощью которого злоумышленники с низким уровнем привилегий могут обойти эти меры защиты. Они назвали новую технику «C4 Attack» (Chrome Cookie Cipher Cracker), которая предназначена для использования уязвимостей в реализации новых механизмов защиты файлов cookie.
Один из используемых методов – COM-хиджакинг, который заставляет Chrome использовать вредоносную службу повышения прав или возвращаться к более старой и менее безопасной методике шифрования. Также была обнаружена атака «padding oracle», направленная на уязвимость в использовании AES-CBC в DPAPI, которая позволяет злоумышленнику эффективно взламывать и расшифровывать файлы cookie без доступа к системе на уровне SYSTEM.
Исследователи сообщили о своих выводах компаниям Microsoft и Google некоторое время назад. Google в настоящее время занимается устранением этих проблем, а Microsoft не считает, что с ее стороны необходимо принимать какие-либо меры.
Пользователи криптовалют стали целью кампании по распространению поддельных расширений для FireFox
В официальном магазине дополнений Firefox было обнаружено более 40 поддельных расширений для криптовалютных кошельков, нацеленных на пользователей криптовалют с целью кражи их криптоактивов.
Все вредоносные надстройки разработаны так, чтобы имитировать популярные криптовалютные кошельки, такие как Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr и MyMonero. Чтобы надстройки выглядели более аутентично, злоумышленники создали клоны оригинальных легальных кошельков с открытым исходным кодом, а затем модифицировали их, добавив вредоносный код.
Чтобы поддельные расширения выглядели более достоверными, злоумышленники создают сотни поддельных пятизвездочных отзывов, чтобы расширения выглядели надежными, но некоторые реальные жертвы сумели поставить поддельным расширениям однозвездочные отзывы, чтобы предупредить потенциальных жертв.
Полезная нагрузка пытается украсть конфиденциальные данные, такие как пароли кошельков и начальные фразы, используемые для управления и подписи транзакций. Украденные данные отправляются на сервер, контролируемый злоумышленником. Он использует прослушиватели событий для отслеживания входных данных, напоминающих начальные фразы, а также может скрывать сообщения об ошибках, делая их невидимыми.
Судя по данным, обнаруженным в коде, кампания атак, вероятно, является делом рук русскоязычного злоумышленника. Кампания, по имеющимся данным, ведется как минимум с апреля 2025 года и продолжает развиваться. Новые версии поддельных расширений были замечены еще в конце июня 2025 года.
Миллионы электронных писем ежедневно содержат вредоносные QR-коды
Все больше киберпреступников используют QR-коды для фишинговых атак и распространения вредоносных программ. Недавнее исследование Антифишинговой рабочей группы (APWG) показало, что с октября 2024 года по март 2025 года ежедневно отправлялись миллионы электронных писем, содержащих QR-коды. Они приводили к фишинговым сайтам, страницам с подделкой брендов и другим мошенническим сайтам.
Член APWG, компания Mimecast, заявила, что за шесть месяцев она самостоятельно обнаружила 1,7 миллиона уникальных вредоносных QR-кодов и в среднем 2,7 миллиона электронных писем, содержащих эти QR-коды, в день. По иронии судьбы, широкое распространение QR-кодов среди потребителей способствует успеху атак.
«Потребители регулярно пользуются розничными услугами через мобильные приложения (такие как Amazon и Walmart), и эти секторы широко используют QR-коды для передачи информации о продуктах и услугах», – говорится в отчете.
Программа-вымогатель Bert нацелена на организации в различных секторах и странах
По данным исследователей Trend Micro, программа-вымогатель Bert нацелена на организации в Азии, Европе и США, работающие в таких секторах, как здравоохранение, технологии и организация мероприятий.
Trend впервые обнаружил активность Bert (также известного как Water Pombero) в апреле и сообщил, что он нацелен как на системы Windows, так и на Linux. Хотя первоначальный вектор заражения, использованный злоумышленниками, неизвестен, исследователи заявили, что группа разработчиков вымогательского ПО использует скрипт PowerShell для отключения программного обеспечения безопасности в сетях жертв перед развертыванием вымогательского ПО.
В сообщении с требованием выкупа злоумышленники пишут «Привет от Берта» и дают инструкции по связям с ними для переговоров об оплате. Исследователи заявили, что обнаружили несколько вариантов этого вымогательского ПО, что свидетельствует о его активной разработке. Они также предположили, что оно может быть основано на Linux-варианте REvil, известного вымогательского ПО, которое было ликвидировано в 2021 году.
Расширение для Chrome с 100 тысячами загрузок заражено троянским кодом с функцией кражи информации
Популярное легальное расширение для Chrome под названием «Color Picker, Eyedropper – Geco colorpick», доступное в магазине Google Chrome на протяжении нескольких лет и имеющее более 100 000 загрузок, в конце июня 2025 года было обнаружено как троянское, включающее функции кражи информации, в рамках того, что, по всей видимости, является атакой на цепочку поставок программного обеспечения.
Зараженное расширение содержит функцию кражи информации, которая запускается при каждом посещении жертвой нового веб-сайта. Оно пытается перехватить сеансы пользователей, украсть сеансовые куки и токены аутентификации, а затем отправить их злоумышленнику. Кража конфиденциальных данных, таких как куки и токены, может потенциально позволить злоумышленникам выдать себя за пользователей и получить доступ к учетным записям жертв.
Злоумышленники часто используют магазины расширений для браузеров в качестве эффективного средства распространения вредоносных или троянских расширений в рамках атак на цепочку поставок, подобных этой. В начале июля 2025 года в магазине надстроек Firefox было обнаружено более 40 вредоносных расширений, а еще в мае в магазине Google Chrome было обнаружено более сотни вредоносных расширений, маскирующихся под поддельные популярные инструменты.
Пользователи этих магазинов часто ожидают, что найденные в них расширения прошли проверку и безопасны для использования, но бесконечная игра в кошки-мышки, которую ведут киберпреступники и продавцы, означает, что пользователи не должны терять бдительность, несмотря на все усилия по выявлению «гнилых яблок».
Microsoft Patch Tuesday за июль 2025 года исправляет 137 уязвимостей, включая одну уязвимость нулевого дня
В выпуске Patch Tuesday за июль 2025 года компания Microsoft выпустила обновления для устранения 137 уязвимостей, включая одну уязвимость нулевого дня и 14 уязвимостей, классифицированных как критические.
Речь идет об уязвимости нулевого дня CVE-2025-49719, публично раскрытой уязвимости нулевого дня в Microsoft SQL Server, которая не была активно использована в реальных условиях. Эта уязвимость может позволить удаленному неавторизованному злоумышленнику получить доступ к данным из неинициализированной памяти.
Количество уязвимостей в каждой категории представлено следующим образом:
- 53 уязвимости повышения привилегий
- 8 уязвимостей обхода функций безопасности
- 41 уязвимости удаленного выполнения кода
- 18 уязвимостей раскрытия информации
- 6 уязвимостей отказа в обслуживании
- 4 уязвимости спуфинга
Наиболее критическая уязвимость в обновлении безопасности этого месяца – CVE-2025-47981, уязвимость удаленного выполнения кода в Windows SPNEGO Extended Negotiation с оценкой CVSS 9,8. Она позволяет выполнять удаленный код без аутентификации, до аутентификации, без взаимодействия с пользователем и с низкой сложностью атаки.
Пользователям продуктов Microsoft следует убедиться, что они своевременно устанавливают соответствующие исправления, чтобы избежать риска взлома.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
