Дайджест Jet CSIRT [30.06.2022]

30.06.2022

Обнаружено вредоносное ПО, нацеленное на кражу аккаунтов YouTube

Новое вредоносное ПО для кражи информации под названием YTStealer нацелено на создателей контента YouTube и пытается украсть их токены аутентификации и захватить их каналы. YTStealer прячется в пиратском программном обеспечении для монтажа видео, читах или дополнениях для популярных компьютерных игр. Стиллер перед развертыванием проверяет на компьютере жертвы файлы браузера в поисках токенов аутентификации YouTube, далее собирает дополнительную информацию о названии канала, статусе, подписчиках, монетизации и отправляет все на командный центр в шифрованном виде.


Уязвимость в Zimbra может привести к удаленному выполнению кода

Уязвимость Path Traversal в бинарном файле UnRAR может привести к удаленному выполнению кода (RCE) на платформе корпоративной электронной почты Zimbra и потенциально повлиять на другое программное обеспечение. Утилита UnRAR используется для извлечения архивов RAR во временный каталог в целях сканирования на вирусы и проверки на спам. Исследователь уязвимостей Саймон Сканнелл утверждает, что если злоумышленникам удастся записать данные за пределами каталога извлечения, то они потенциально могут выполнять произвольные команды в системе.


Шифровальщик AstraLocker 2.0 заражает пользователей непосредственно из вложений электронной почты

Компания ReversingLabs недавно обнаружила новую версию программы-вымогателя AstraLocker (AstraLocker 2.0), которая распространялась непосредственно из файлов Microsoft Office, используемых в качестве приманки для фишинговых атак. Злоумышленников, создавших программу-вымогатель, не интересует разведка, оценка ценных файлов и горизонтальное перемещении по сети компании, вместо этого они придерживаются тактики «бей и хватай», стремясь к быстрой выплате. Согласно анализу кода, проведенному ReversingLabs, шифровальщик AstraLocker 2.0 был разработан на основе утекшего исходного кода программы-вымогатель Babuk.