ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — GhostClaw: вредоносный npm-пакет выдает себя за OpenClaw для кражи данных, плагин Chrome становится вредоносным после передачи прав собственности, обнаружены 9 опасных уязвимостей в системе безопасности AppArmor в Linux, новая технология Zombie ZIP позволяет вредоносному ПО обходить средства защиты, новое вредоносное ПО Slopoly создано с помощью ИИ.

GhostClaw: вредоносный npm-пакет выдает себя за OpenClaw для кражи данных

Исследователи из JFrog Security обнаружили вредоносный npm-пакет под названием @openclaw-ai/openclawai. Он маскируется под легитимный средство командной строки OpenClaw Installer, развертывая многоступенчатую цепочку заражения. Пакет собирает и передает данные, а равным образом устанавливает постоянный RAT с возможностями удаленного доступа, в том числе прокси SOCKS5 и клонирование сессий браузера в реальном времени. После этого вредоносная приложение переходит в режим, который позволяет ей отслеживать содержимое буфера обмена каждые три секунды и передавать информация. При установке OpenClaw следует использовать только официальный пакет из проверенных источников, а также следить за активностью сторонних npm-пакетов.

Плагин Chrome становится вредоносным после передачи прав собственности

Ранее легитимное расширение для создания скриншотов в Chrome под названием ShotBird после передачи прав собственности превратилось в канал удаленного управления вредоносным ПО с цепочкой компрометации. Вредоносное обновление сохранило исходную функциональность, но добавило возможности удаления заголовков безопасности (в частности, X-Frame-Options) из каждого HTTP-ответа, что позволяло вредоносным скриптам, внедренным в веб-страницу, выполнять произвольные запросы к другим доменам, обходя защиту Content Security Policy (CSP). ShotBird отправляло на хост адреса посещённых сайтов и метаданные страниц и перехватывало вводимые в формы пароли, банковские реквизиты и другие конфиденциальные информация. Пользователям рекомендуется избегать установки непроверенных расширений и проверять браузеры на наличие неизвестных расширений.

Обнаружены 9 опасных уязвимостей в системе безопасности AppArmor в Linux

Исследователи из Qualys TRU обнаружили 9 уязвимостей типа «обманутый посредник» в системе мандатного управления доступом AppArmor в Linux. Они получили название «CrackArmor», тем не менее им ещё не были присвоены номера CVE. Уязвимости позволяют непривилегированным пользователям манипулировать профилями безопасности с помощью псевдофайлов, обходить ограничения пространства имен пользователей и выполнять произвольный код в ядре. Также они облегчают локальное повышение привилегий до root посредством сложных взаимодействий с такими инструментами, как Sudo и Postfix. Задача затрагивает все ядра Linux, начиная с версии 4.11, на любом дистрибутиве, интегрирующем AppArmor. В нескольких основных дистрибутивах, таких как Ubuntu, Debian и SUSE, более 12,6 миллионов корпоративных экземпляров Linux работают с включенной по умолчанию функцией AppArmor, следовательно для устранения этих уязвимостей рекомендуется немедленно установить последние обновления.

Новая технология Zombie ZIP даёт возможность вредоносному ПО обходить средства защиты

Новая техника под названием Zombie ZIP даёт возможность скрывать вредоносный код в сжатых файлах, обходя системы безопасности. Такие ZIP-архивы создаются специально, чтобы остаться незамеченными: при попытке распаковки стандартными средствами вроде WinRAR или 7-Zip возникают ошибки, а информация выглядят поврежденными. Принцип работы технологии основан на манипуляции заголовками архива. Zombie ZIP обманывает механизмы анализа, заставляя их воспринимать сжатые информация как уже распакованные. В результате инструменты безопасности, доверяя некорректному заголовку, не сканируют архив как потенциальную угрозу, а проверяют информация так, будто это просто копия файлов, помещенная в ZIP-контейнер. Пользователям следует с осторожностью относиться к архивным файлам, особенно к тем, которые получены от неизвестных лиц.

Новое вредоносное ПО Slopoly создано с помощью ИИ

В процессе расследования атаки специалисты из IBM X-Force обнаружили новый штамм вредоносного ПО Slopoly, который принадлежит группировке Hive0163.  Взлом начинался с применения методов социальной инженерии ClickFix, а на более поздних этапах атаки хакеры развернули бэкдор Slopoly в виде скрипта PowerShell. Этот сценарий обеспечивал устойчивость в системе, создавая запланированную задачу с именем «Runtime Broker», что позволяло злоумышленникам оставаться на скомпрометированном сервере больше недели. Аналитика кода показал, что вредоносное ПО было разработано с помощью ИИ. В пользу этого говорят обширные комментарии в коде, структурированное логирование, обработка ошибок и четко названные переменные. Рекомендуется внедрить меры безопасности против ClickFix, такие как отключение команды «Win+R» или мониторинг ключа реестра RunMRU.