Уязвимость iTunes использовали для распространения зловреда-шифровальщика

Злоумышленники, стоящие за атаками зловреда-шифровальщика BitPaymer, нашли новый способ инфицирования жертв. Вредоносное ПО BitPaymer известно с лета 2017 года, его операторы одними из первых отказались от «ковровых бомбардировок» и сосредоточились на адресном инфицировании жертв из числа крупных компаний и организаций, которые особенно дорожат своими данными, а потому с высокой степенью вероятности согласятся уплатить выкуп за возвращение доступа к ним. Соответственно, и суммы выкупа, выставляемые вымогателями, весьма высоки. Так, в ходе атак на несколько крупных больниц в Шотландии киберпреступники требовали от жертв 230 тысяч долларов за предоставление ключа расшифровки.

На сей раз, как сообщают исследователи Morphisec, жертвами атак BitPaymer стали несколько компаний из сферы автомобилестроения. Для распространения зловреда злоумышленники использовали уязвимость в продуктах корпорации Apple iTunes и iCloud для Windows-систем. Оба этих продукта поставляются вместе с инструментом Bonjour, который следит за автоматическим обновлением ПО. В нем и была выявлена уязвимость. Она относится к достаточно редкой категории так называемых уязвимостей неквотируемого пути (unquoted path vulnerability) – когда один из элементов программного кода не заключен в кавычки. Это не позволяет злоумышленнику получить административные привилегии в системе, однако дает возможность изменить путь загрузки. В результате вместо обновлений от Apple на системы пользователей и загружался зловред BitPaymer. А то обстоятельство, что процесс обновления подписан сертификатами Apple, позволяло избежать детектирования защитными решениями.

Специалисты Morphisec уведомили корпорацию Apple о проблеме, и 7 октября она была исправлена с выпуском версий iTunes 12.10.1 для Windows и iCloud для Windows 7.14/10.7. Однако технический директор Morphisec Майкл Горелик предупреждает, что простого обновления ПО может оказаться недостаточно для защиты. Дело в том, что после удаления iTunes или iCloud для Windows компонент Bonjour сохраняется в системе, а потому продолжает представлять угрозу. Администраторам систем, на которых ПО от Apple было установлено ранее, настоятельно рекомендуется провести сканирование и, при обнаружении Bonjour удалить его вручную.


Источник:  ZDNet

Возврат к списку