Дайджест Jet CSIRT [02.12.2021]

02.12.2021

Опубликовано описание уязвимости в библиотеке NSS

Тэвис Орманди, из Google Project Zero опубликовал подробности, связанные с уязвимостью в криптографической библиотеке NSS от компании Mozilla. Уязвимость получила идентификатор CVE-2021-43527 и потенциально может быть использован злоумышленником для сбоя уязвимого приложения и даже выполнения произвольного кода. Уязвимость затрагивает версии NSS до 3.73 и связана с возможностью переполнения кучи при проверке цифровых подписей. Исправление данной уязвимости уже выпущены компанией Mozilla.


Выявлено новое вредоносное ПО NginRAT

Исследователи из компании Sansec опубликовали отчёт по результатам анализа нового ВПО NginRAT, которое было обнаружено на серверах электронной коммерции, заражённых другим вредоносом CronRAT. Исследователи отмечают, что NginRAT маскируется под легитимные процессы веб-сервера Nginx. Когда веб-сервер использует стандартные функции (к примеру dlopen) вредонос перехватывает запрос и инжектирует себя в тело легитимного процесса. Поскольку NginRAT  скрывается как обычный процесс Nginx, а код существует только в памяти сервера – обнаружить его достаточно сложно.


Выявлены новые векторы распространения Emotet

Обнаружена новая кампания по распространению ботнета Emotet, в рамках которой используются вредоносные установочные пакеты Windows App Installer, которые выдают себя за программное обеспечение Adobe PDF. Сама кампания начинается с рассылки фишинговых писем, которые содержат ссылки на поддельную страницу Google Disk, предлагающую пользователю открыть PDF-документ. При нажатии кнопки предпросмотра, браузер открывает программу Windows App Installer, которая и устанавливает модуль Emotet,под видом легитимной программы.