Как защитить корпоративные сети и не разориться на ИБ-решениях?

�ак вернуть былую производительность LAN-сетей? Стоит ли покупать комплексные ИБ-решения? Как перестать тратить на локальные сети миллионы рублей? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet об обеспечении безопасности проводных и беспроводных сетей.

Электронная книга

Стратегии сетевой безопасности проваливаются одна за другой. Компании не могут растянуть периметр в условиях полной удаленки и не готовы к грядущим инновациям. Для них гипермасштабирование, многооблачные среды и G останутся просто нереализованной фантазией.

Программа XCSSET, изначально атакующая разработчиков ПО для macOS, обзавелась функциями кражи данных из множества приложений. Одна из причин - недостатки «песочницы» macOS.

Эксперты Trend Micro опубликовали исследование, посвященное вредоносной программе XCSSET. Она уже более года атакует системы под macOS. Основной метод проникновения в систему - инъекция вредоносного кода в локальные проекты Xcode по разработке ПО для macOS. Вредонос начинает срабатывать после компиляции проекта.

XCSSET постепенно обрастает новой функциональностью, и в недавних версиях добавилась возможность красть данные из клиентов Telegram и пароли, хранящиеся в Google Chrome.

Для кражи данных из Telegram вредонос создает архив telegram.applescript в папке keepcoder.Telegram (в Group Containers). Как выяснили эксперты Trend Micro, достаточно скопировать весь каталог ~/Library/GroupContainers/N3VWS5BX.ru.keepcoder.Telegram с одного Mac на другой, чтобы при открытии Telegram на второй машине клиент уже был залогинен как легитимный пользователь с первого Mac. Таким образом, легко осуществить перехват аккаунта и получить доступ к любой переписке.

«В macOS папка “песочницы” для приложений - ~/Library/Containers/com.xxx.xxx и ~/Library/GroupContainers/com.xxx.xxx - доступна обычным пользователям с правами на чтение и запись. Этим она отличается от практики на iOS. Не все исполняемые файлы в macOS изолируются, а это означает, что простой скрипт может украсть все данные, хранящиеся в папке “песочницы”, - говорится в исследовании TrendMicro. - Разработчикам приложений мы рекомендуем воздержаться от хранения важных данных в папке “песочницы”, особенно тех, что связаны с логинами».

Эксперты также проанализировали метод кражи паролей, хранящихся в Google Chrome. Этот метод известен как минимум с 2016 г. Он предполагает получение ключа безопасного хранения (Safe Storage Key) к Chrome, который сам располагается в пользовательской связке ключей.

Тут на помощь злоумышленникам приходит социальная инженерия: с помощью обманного диалогового окна у пользователя выманиваются административные привилегии, так что злоумышленники могут расшифровать все пароли к Chrome и вывести их на удаленный сервер.

XCSSET содержит скрипты для кражи данных из таких приложений как «Контакты», «Заметки», Evernote, Opera, Skype и WeChat. Кроме того, эксперты обнаружили модуль для атаки межсайтового скриптинга на экспериментальный браузер Chrome Canary. XCSSET срабатывает на последней версии macOS под названием BigSur.

Любопытно, что операторы вредоноса постоянно меняют домены для контрольных серверов XCSSET. В июне 2021 г., например, они использовали сразу четыре домена в зоне .ru, однако затем неожиданно отключили их. Пока экспертам TrendMicro не удается идентифицировать новые домены контрольных серверов. Известны два IP-адреса, но, по-видимому, ими операторы вредоноса больше не пользуются.

«По большому счету, речь идет о крупной проблеме с безопасностью реализации Telegram в macOS и недостаточности защиты “песочницы”, - говорит Алексей Водясов, технический директор компании SEC Consult Services. - Клонировать аккаунт простым копированием всего каталога не должно быть возможно в принципе. Вдобавок возникают вопросы к настройкам “песочницы” в macOS. С другой стороны, сперва необходимо занести в систему вредоносную программу, а в macOS немало средств для борьбы с этим. Сторонние антивирусы под macOS также детектируют XCSSET».

Роман Георгиев

Исследование: активность шифровальщиков в отношении госсектора выросла в 10 раз

Конец скандально известной Avast. Ее покупают конкуренты за $8 млрд

«Самый быстрый шифровальщик в мире» автоматизировал свою борьбу с антивирусами для атак на Windows

Модные наушники взорвались и убили человека. Фото

Силовики заинтересовались разработчиком «антитеррористического ПО»

Российских водителей завалят новыми штрафами. Их начала выписывать умная нейросеть

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

Подобрать виртуальный сервер

От 30 руб./месяц

Подобрать облачную инфраструктуру

От 346 руб./месяц

Подобрать выделенный сервер

От 1499 руб./месяц

Как обеспечить гибкость в формировании ИТ-сред

Валерий Лутошкин

директор департамента сетевых решений компании STEP LOGIC

Как обеспечить гибкость в формировании ИТ-сред

На что государство тратит десятки миллионов рублей?