🤒 Немного о грустном

Критических и опасных уязвимостей в популярных продуктах за последние дни набралось много, поэтому патчить придётся обильно и оперативно.

🟣Cisco порадовала любителей Zero Trust двумя бюллетенями с 10-балльными уязвимостями в Cisco ISE. CVE-2025-20281 и -20282 позволяют атакующему дистанционно и без аутентификации получить на устройстве root. Для устранения нужно обновляться, смягчающих мер нет. Заодно устранили ещё пару дефектов в ISE, обход аутентификации и загрузку произвольных файлов.

🟣Повысилась критичность CVE-2025–5777 в NetScaler ADC и Gateway — теперь её называют наследницей печально известного CitrixBleed и кроме обновлений от Citrix снова рекомендуют оборвать все активные сессии после патчинга.

🟣Другой дефект в NetScaler, CVE-2025-6543, по словам Citrix эксплуатируется в реальных атаках, приводит к DoS и отключает устройства.

🟣Тем, кто импортозаместил Citrix и Cisco и собирается спать спокойно, стоит взглянуть, разрешён ли в инфраструктуре WinRAR. В архиваторе закрыли уязвимость обхода пути CVE-2025-6218. Она позволяет принудительно извлекать файлы из архива в заданную папку.

🟣А для тех, кто хочет сделать свои выходные незабываемыми, имеется набор из восьми уязвимостей в 689 (!) моделях принтеров Brother, FUJIFILM, Ricoh, Toshiba и Konica Minolta. Дефекты позволяют подобрать стандартный пароль администратора, пробрасывать через принтер соединения из внешней сети во внутреннюю, вызывать отказ в обслуживании и даже получать на устройстве RCE. Вендоры выпустили патчи для большинства дефектов.

#уязвимости @П2Т

🆔 Про email-атаки в пятничном формате

Ведущие подкаста MAXIbusiness решили обсудить, какие угрозы бизнесу в 2025 году создаёт старый (не)добрый email. Для этого они пригласили нашего спам-аналитика Анну Лазаричеву и спросили у неё всё, что у вас спросят в финансах и юридическом отделе, когда речь зайдёт об усилении защиты и инвестициях в это направление:

⏺ в чём отличие скама и фишинга;
⏺ почему не всякое письмо от гендиректора на самом деле писал гендиректор и как расшифровывается BEC;
⏺ какие трюки освоили мошенники за последнее время — от QR-кодов в письме до вишинга;
⏺ чему стоит научиться каждому человеку (и какой тренинг пройти каждому сотруднику);
⏺ какие защитные меры должен принимать бизнес.

В общем, весело и полезно — ссылку можно смело рекомендовать коллегам.
🔈 Слушать

#Азбука_ИБ @П2Т

🤖 Взлом плотины, ИИ-хакер в топе и очень много новостей APT за неделю

🌎 Обзор инцидентов индустриальной ИБ за первый квартал. Включает такие хиты, как атака на Tata и аэропорт Куала-Лумпура. В целом, 52% атак были нацелены на производственные компании, также на пьедестале строительство и пищевая промышленность.

🔥 В обзор не успел войти интересный кейс из Норвегии — злоумышленники подобрали пароль к системе контроля водяной плотины и открыли вентили целиком. Инцидент, впрочем, не принёс ущерба.

🟣Канадский ИБ-регулятор предупреждает, что атаки группировки Salt Typhoon не ограничиваются США и нацелены не только на телеком-провайдеров. Злоумышленники продолжают шпионаж и общее исследование стратегических сетей. Проникают в организации через CVE-2023-20198 и другие уязвимости в пограничных устройствах.

🔵Новый целевой фишинг имитирует досудебные претензии к российским промышленным, ИТ- и финансовым организациям. Рассылает его вымогательская группировка Werewolves, арсенал которой составляют шифровальщик Lockbit, Cobalt Strike, Meterpreter и Anydesk.

🟣Злоумышленники стали чаще злоупотреблять функцией Exchange Direct Send, обычно используемой, чтобы прислать себе отсканированный документ с сетевого МФУ. В Microsoft 365 отправка таких писем не требует аутентификации, поэтому функция идеальна для рассылки спама и фишинга в рамках одной организации. Для защиты нужно в настройках Exchange включить опцию Reject Direct Send.

🟡Новая, предположительно китайская, группировка OneClick, атакует компании энергетического и нефтегазового сектора, злоупотребляя технологией ClickOnce, предназначенной для установки и обновления .NET-приложений. С её помощью разворачивается загрузчик OneClikNet, который далее запускает бэкдор на Go.

⚪️Обнаружен новый ботнет, он же сеть домашних прокси, он же ORB network, LapDogs. На скомпрометированных SOHO-роутерах устанавливают ВПО ShortLeash, жертвы в основном в США и ЮВА.

🔴ИИ-система для поиска уязвимостей Xbow заняла первое место в штатовском топе HackerOne. Подробный рассказ разработчиков намекает на тщательный выбор, какие классы уязвимостей искать, и у кого. Но реальные результаты со счетов сбрасывать нельзя.

🔵Тем временем вышел англоязычный обзор крупнейшего китайского аналога H1, платформы Butian.

🟣Группа Kimsuky продолжает совершенствовать техники хранения ВПО на GitHub. Вредоносные нагрузки и украденные данные частично хранятся в приватных репозиториях, а в загрузчик зашит личный токен Github (PAT).

🟣Сложная атака APT-Q-14, которую называют частью DarkHotel. Используется комбинация ClickOnce, XSS в неназванной веб-почте, да ещё зиродеи в Android, тоже не названные.

🟢Группировка CL-CRI-1014 (успешно) проникает в финансовые организации в Африке и затем продаёт доступ к ним другим злоумышленникам.

🔵Анализ Odyssey Stealer для MacOS.

🔥Новая техника FileFix является разновидностью ClickFix и позволяет внедрять команды во всплывающее окно Проводника («Выбрать файл»), которое могут открывать веб-сайты. Учитывая простоту техники, её внедрение злоумышленниками явно пройдёт очень быстро.

#APT #дайджест @П2Т

☝️ Оценка проектов open source, новое в PCI DSS, обзор NGFW и другие полезные посты июня

Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ.
Если что-то пропустили, ещё не время наверстать упущенное! 🤗

🔵как заставить Copilot украсть данные при помощи email с внешнего адреса;
🔵реагирование на инциденты в контейнерных средах;
🔵полезные FAQ на базе PCI DSS 4.01;
🔵как заранее оценить ИБ-риски и сложность поддержки проектов open source;
🔵перспективы спроса на ИБ-специалистов в РФ;
🔵подробный обзор Kaspersky NGFW Beta 2;
🔵главные угрозы малому и среднему бизнесу;
🔵обновление сторонних приложений через Windows Update;
🔵приглашаем в сообщество обмена опытом по нашей SIEM, KUMA;
🔵кстати, а что насчёт open source SIEM?


#советы #дайджест @П2Т

⚡️ Если вы ждали знак, чтобы прокачать навыки кибербезопасности — это он!

С 1 июля по 15 августа вы можете приобрести любой экспертный онлайн-тренинг «Лаборатории Касперского» со скидкой 30%!

Тренинги от наших ведущих экспертов-практиков подойдут как организациям, которые стремятся повысить квалификацию своих ИБ-команд, так и профессионалам, которые хотят самостоятельно получить новые навыки.

Всё как в жизни — тренируемся в виртуальных лабораториях на реальных образцах вредоносного ПО и других артефактах инцидентов.

Среди тренингов:

🟢техники продвинутого анализа вредоносного ПО;
🟢реагирование на инциденты в Windows;
🟢безопасная разработка программного обеспечения;
🟢использование Suricata для поиска угроз и реагирования на инциденты.

Полный список тренингов доступен на сайте: https://kas.pr/x7c2

#события @П2Т

🎁 Полный гид по passkeys в 2025 году

Если вы создаёте сегодня аккаунт Microsoft, вам в первую очередь предложат защитить его не паролем, а ключом доступа (passkey). Предлагают перейти на passkeys и в сотнях других популярных сервисов. Обещают удобство, ускорение входа в систему, а главное — защиту от фишинга и других способов угона паролей. А как всё это работает на практике?

Мы начали разбираться в текущем положении вещей, и набрали так много материала, что написали про это целых два поста (база, особые случаи).

Из общего обзора вы узнаете:
1️⃣какие устройства и версии ОС поддерживают passkeys «из коробки», а где придётся прилаживать плагины и сторонний софт;
2️⃣какие принципиальные недостатки есть у passkeys;
3️⃣как пользоваться ими на единственном устройстве или в экосистеме Apple;
4️⃣как управлять своими passkeys;
5️⃣что делать, если у вас Windows+Android или macOS+Android.

Во втором посте — важные частные случаи:
🟣вход в аккаунт по passkey, который хранится на другом устройстве;
🟣использование YubiKey и других аппаратных токенов для хранения passkeys;
⚪️как аккаунт могут взломать, несмотря на passkey, и что с этим делать;
🔵больные темы: перенос passkeys между платформами, работа с Firefox, проблемы с сайтами, работающими на нескольких доменах.

Изучите, прежде чем принимать радикальные решения, связанные с passkeys и поделитесь с коллегами!

#Азбука_ИБ @П2Т

👮‍♀️ Интерпол подтверждает, что прямой ущерб от онлайн-мошенничества выше, чем от инцидентов ransomware.
В рейтинге ущерба, посчитанном для африканских регионов, топ заняли скам, вымогатели и BEC. В затылок им дышат ущерб от DDoS и банкеров с инфостилерами. Понятно, что инфостилеры в основном поддерживают лидеров печального рейтинга, а не приносят прямой ущерб, а при оценке ransomware в расчёт идут только прямые потери атакованного бизнеса, а не его клиентов и контрагентов. Тем не менее, этот топ — вполне убедительный компас приоритетов, особенно для защиты небольшого бизнеса с ограниченными ресурсами на ИБ.

Более детальная статистика и советы по защите для МСБ — у нас в статье.

#статистика @П2Т

❓ Хорошо ли вы знаете современные подходы в кибербезопасности?

ИБ давно вышла за рамки «регламент, файрвол и антивирус на каждом компьютере». Чтобы принимать стратегические решения о защите компании, надо понимать, какие инструменты есть у защитников, и какие угрозы наиболее важны.

Наш короткий тест поможет не только практикам ИБ, но и их коллегам из нетехнических отделов и даже совета директоров! Важно, чтобы все в компании говорили на одном языке – ведь кибербезопасность достижима только коллективными усилиями.

Пройдите тест и обсудите итоги с коллегами!
А десять подписчиков, которые правильно ответят на все вопросы, получат от нас приятный цифровой приз: код активации Kaspersky Premium на 1 год на 1 устройство. Если финалистов окажется больше десяти, счастливчиков выберет рандомайзер, итоги подведём прямо в канале 10.07 в 18:00. Участники должны быть подписаны на наш канал и иметь открытый профиль в Telegram с возможностью принимать сообщения от пользователей не из списка своих контактов.

И! Опасайтесь мошенников! Мы свяжемся с победителями исключительно с аккаунта @KasperskyCrew.

Полные правила акции опубликованы здесь.

#квиз @П2Т

👾 Интересные новости APT и crimeware за неделю

😮 Термоядерный разбор новой APT NightEagle / APT-Q-95, которая занимается шпионажем в китайских организациях высоких технологий и оборонного сектора. C2 создаются под каждую жертву отдельно. Они неактивны, когда у клавиатуры нет оператора, а работают они сугубо в офисные часы западного побережья Северной Америки. Группа предположительно проникает в организации, используя неизвестную уязвимость Exchange, после чего разворачивает импланты на сервере, а на рабочих станциях устанавливают модифицированный инструмент туннелирования Chisel.

🐥 Атаки на нишевые сборки Linux перестали быть редкостью. APT36/Transparent Tribe разработала ВПО специально для Boss Linux, популярной в индийских госучреждениях.

🔵Вымогательская группировка Hunters International объявила о прекращении деятельности и бесплатно раздаёт жертвам декрипторы. Разумеется, это всего лишь ребрендинг и они продолжают не только красть данные, но и шифровать под новым названием Word Leaks.

🟠Масштабы злоупотребления драйверами и сертификатами подписи ПО растут: с 2020 года во вредоносных кампаниях замечены 620 подписанных драйверов ядра и более 80 сертификатов.

👮‍♀️ Интерпол сообщает о глобализации скам-центров, кроме Азии они замечены в Африке и на Ближнем Востоке.

🔴Пошаговый анализ вредоносного применения Inno Setup для распространения RedLine stealer. В инсталляторе используются затейливые скрипты на Паскале, включающие борьбу с отладчиками, загрузку и расшифровку ВПО из сети, и многое другое.

🟣Новый ботнет Hpingbot заражает десктопы Windows, Linux и IoT-устройства, используется для DDoS и для разнообразия не является форком Mirai.

🔵Серия вредоносных SEO-кампаний распространяет троянизированные версии PuTTY и WinSCP.

🔵Интересная кампания устанавливает жертвам комбо из Janela RAT и вредоносного расширения Chrome для кражи данных.

🔴В альтернативном реестре расширений VSCode, OpenVSX, поймали вредоносные расширения, загружающие разработчикам вредоносную версию ScreenConnect. У зловредов 200 тысяч загрузок.

🐩 А в официальном каталоге Firefox удалили 40 расширений, притворяющихся известными криптокошельками.

🔐Мелочь, но не забудьте: в следующих превью-выпусках Windows 11 уже будет отключён PowerShell 2.0.

#APT #дайджест @П2Т

🏭 Во что обходится ИБ-инцидент промышленному предприятию?

На этот сложный вопрос взялись ответить в VDC research, проанализировав инциденты в промышленности за последние два года. В четверти случаев ущерб от серьёзного инцидента превысил $5 млн, складываясь из незапланированного простоя, прямой потери выручки, необходимости ремонта, потери сырья и полуфабрикатов, не говоря уже о прямых затратах на реагирование. Большинство инцидентов останавливают производство на 4-12 или 12-24 часа. Существенно.

Трудности по линии ИБ являются главным стопором проектов цифровизации промышленности, поэтому в план и бюджет таких проектов нужно сразу закладывать специализированные решения для защиты ОТ-сетей и устройств АСУ ТП. Подробнее о практических сложностях внедрения ИБ-систем и о том, как с этими трудностями справляются специально разработанные решения, читайте в нашем посте.

#статистика @П2Т

🟡 Citrix strikes back

Развивается сюжет с уязвимостью в NetScaler ADC, CVE-2025–5777, aka CitrixBleed2. Этот дефект приводит к возврату хостом NetScaler фрагмента памяти в ответ на специально сформированный POST-запрос при аутентификации.

Citrix запутали даже матёрых ИБ-исследователей, выпустив фиксы для двух разных уязвимостей (CVE-2025-5777 и -6543), первая из которых приводит к утечке данных из памяти, а вторая — к повреждению памяти и возможному DoS. По данным производителя, вторая эксплуатируется в атаках, а первая — нет.

Независимые исследователи, впрочем, считают, что CVE-2025-5777 тоже эксплуатируется в атаках, примерно как и первый CitrixBleed — для извлечения из памяти хостов Citrix сессионных токенов администраторов и другой полезной атакующим информации. Напомним, что первый CitrixBleed стал настоящим хитом среди банд ransomware и шпионских APT.

Две ИБ-компании опубликовали исследования (1, 2), которые демонстрируют возможности CitrixBleed2 по извлечению данных. Не являясь полноценными PoC, эти посты дают достаточно информации, чтобы ускорить разработку эксплойтов злоумышленниками. Авторы одного из постов признаются, что из-за скупой информации Citrix не уверены, к какому из дефектов смогли разработать эксплойт. 🤯

Поскольку Citrix продолжает отрицать эксплуатацию, то IoC и правила для поиска следов компрометации предлагают только независимые исследователи. Тем, кто не установил патч сразу после его выхода, этот анализ нужно проводить обязательно.

Что касается патча, то Citrix (опять) рекомендует оборвать все активные сессии ICA и PCoIP после установки обновления. Но с учётом возможной эксплуатации, перед этим необходимо проанализировать все активные сессии, чтобы идентифицировать подозрительную активность.

#уязвимости @П2Т

💻 Июльский вторник патчей

Свежее обновление Microsoft закрывает 137 уязвимостей, в том числе 1 дефект в SQL Server, разглашённый до устранения.
14 уязвимостей имеют статус критических, десять из них приводят к RCE. В этот раз больше всего ошибок, приводящих к повышению привилегий, их 53. Ещё 41 уязвимость ведёт к RCE, 18 — к разглашению информации, также есть 6 DoS и 8 обходов функций безопасности.

В 137 устранённых багов входят 7 дефектов в git/gitk, поставляемых в составе Visual Studio, однако описания к ним крайне лаконичны, назначила эти CVE MITRE, а ссылки на них пока неактивны.

Уязвимость, считающаяся разглашённой — это CVE-2025-49719 в MS SQL Server, позволяющая атакующему дистанционно считать фрагмент неинициализированной памяти без аутентификации кто сказал CitrixBleed.
Для устранения дефекта надо обновить SQL Server, а для клиентских приложений — OLE DB Driver. Прямо в бюллетене приведена обширная таблица релевантных обновлений для разных версий SQL Server.

Установка обновления также устранит критическую CVE-2025-49717 (CVSS 8.5), приводящую к RCE в SQL Server, но требующую от атакующего быть аутентифицированным.

Другие критические уязвимости, требующие срочного внимания админов:

CVE-2025-47981 (CVSS 9.8) — RCE в механизме согласования протоколов аутентификации SPNEGO Extended Negotiation (NEGOEX). Атакующему достаточно отправить вредоносный пакет на уязвимый сервер, после эксплуатации его код получает высокие привилегии. Microsoft также указывает, что из-за коробочной групповой политики дефекту подвержены некоторые клиентские машины начиная с Windows 10 v1607. Смягчить ситуацию можно, отключив политику Network security: Allow PKU2U authentication requests.

CVE-2025-49704 (CVSS 8.8) в SharePoint — аутентифицированный атакующий может выполнить на сервере произвольный код.

шесть RCE в Office (CVE-2025-49695 по -49698, -49702 и -49703) срабатывают из панели предварительного просмотра и не требуют от пользователя никаких действий. Microsoft оценивает эксплуатацию как высоко вероятную, мы тоже.

RCE в Windows KDC Proxy Service (CVE-2025-49735, CVSS 8.1) — на сервер, работающий как прокси для Kerberos Key Distribution Center, возможна атака со стороны неаутентифицированного злоумышленника. Доменные контроллеры атаке не подвержены.

#новости #Microsoft @П2Т

😳 Подсветка кода в Cursor AI за полмиллиона долларов

Эксперты Kaspersky GReAT детально разобрали недавнюю кибератаку c публикацией вредоносных расширений в Open VSX, популярном реестре расширений VSCode. Поскольку официальным магазином расширений Microsoft альтернативные среды разработки пользоваться не могут, Open VSX незаменим для фанатов модных ИИ-сред, таких как Windsurf и Cursor.

Злоумышленники опубликовали в Open VSX плагин для подсветки синтаксиса Solidity, языка программирования смарт-контрактов Ethereum. Они смогли накрутить число загрузок плагина и обмануть алгоритм ранжирования, в результате чего вредоносный плагин имел более высокий ранг в поисковой выдаче, чем настоящий. Вредоносный плагин разворачивал на поражённой машине инструменты удалённого управления и инфостилеры. В результате у одного из разработчиков, скачавших плагин, похитили реквизиты криптокошелька и украли с него 500 тысяч долларов.

Хотя конкретный плагин был оперативно удалён администрацией, злоумышленники не останавливают свою активность и публикуют другие плагины с аналогичной функциональностью. Более подробно и с IoC об этом можно прочитать на Securelist.

На последних стадиях подобных атак часто используется хорошо известное вредоносное ПО, поэтому даже опытные разработчики должны использовать современные защитные решения на своих компьютерах.

#угрозы @П2Т

🔎 Подводим итоги викторины!

Проверка знаний о корпоративной кибербезопасности заинтересовала многих подписчиков — 168 пользователей прошли тест до конца.
Рандомайзеру пришлось как следует потрудиться, потому что 100% правильных ответов дал 51 участник! 🔥

Поздравляем победителей — вы не только знатоки современной ИБ, но ещё и везунчики!

Иии... Вот они, слева направо сверху вниз:

@a*d*gord
@ig**_se**im
@E*IL*A
@Ev**nyBi*g**t
@*pt**an*6
@Twi***htS*arkl**RRH
@c*m*lk*
@Nai**ae*
@ali**c*il*g*na

Мы свяжемся с вами в личных сообщениях для вручения приза в течение 3-х дней.
Оставайтесь с нами — держите знания на высоте!

#итоги @П2Т

😞 Текущее Печальное состояние API security

Что общего у похищения данных о 49 миллионах клиентов Dell и инцидента с журналами звонков абонентов Verizon, лежащими в открытом доступе? В обоих случаях атакующие воспользовались слабо защищёнными API, допускающими перебор параметров, подмену идентификаторов доступа и отсутствующую аутентификацию.

То, что защита доступа к данным по API хромает даже у топовых компаний, знает любой, кто, например, пробовал пользоваться API OpenAI, Anthropic или DeepSeek — кроме собственно статического API-ключа для доступа не нужно вообще ничего. На дворе 2025 год... Неудивительно, что злоумышленники находят всё новые креативные способы эксплуатации API-доступа — от кражи вычислительных ресурсов и данных до обхода защитных инструментов на веб-сайтах и рассылки фишинга.

Судя по отчёту Raidiam, 84% компаний используют в поддерживаемых API предельно слабые методы защиты:
⚪️ статические API-ключи и базовая OAuth-аутентификация;
⚪️ отсутствие проверки подлинности клиента.
⚪️ избыточные права доступа, отсутствие тонкой настройки (RBAC/ABAC).
⚪️ меньше половины компаний проводят регулярное тестирование или мониторинг API.

При оценке каждого API учитывалось, какого рода информация им обрабатывается. Для API, через который проходит анонимная статистика или базовые технические данные, защиты по статическому API-ключу достаточно. А в вот для платёжных или медицинских данных нужен полный комплект из защитных мер. Вот они:

⚪️ криптография: mutual TLS, PKI, подписанные JWT или токены, привязанные к сертификатам;
⚪️ токены с коротким сроком действия и частой повторной валидацией;
⚪️ ограниченные права доступа в рамках каждого OAuth-запроса;
⚪️ мониторинг сетевых аномалий.

#советы @П2Т

Интересные исследования APT и новости ИБ за неделю

🔴Российские промышленные предприятия получают вредоносные рассылки, содержащие ВПО Batavia, которое выгружает документы жертвы и системные данные. Заражение трёхэтапное, первый этап — вредоносные файлы .VBE.

🔵Анализ техники компрометации веб-серверов, основанной на публично доступных machine keys и вредоносных ViewState для IIS. После успешной атаки на IIS, злоумышленники повышают привилегии и проводят базовую разведку. Авторы исследования считают их брокерами первоначального доступа, предположительно Gold Melody/UNC961/Prophet Spider.

🟣Анализ шпионских атак на госорганы в ЮВА и Европе, проводимых APT-C-35/DoNot/Origami Elephant. Фишинговый документ лежит в запароленном архиве на Google Drive, ВПО первого этапа имеет действительную цифровую подпись и собирает обширную системную информацию. Второй этап исследователям получить не удалось.

⚪️Разбор ВПО группировки SafePay, которая предположительно причастна к недавним проблемам Ingram Micro.

🟣Вредоносное расширение, найденное в Open VSX, оказалось инструментом крипто-воров, у одной из жертву украли $500000. Расширение, замаскированное под подсветку синтаксиса Solidity, удалили, но атакующие уже публикуют другие. Злоумышленники накручивают число загрузок и умудряются появиться в поисковой выдаче Open VSX выше официальных расширений.

🔵С учётом популярности Cursor и Windsurf, Open VSX грозит быстро превратиться в такое же минное поле, как PyPi и npm. Другая свежая кампания скомпрометировала  легитимное расширение EHTcode — мейнтейнеры расширения не разглядели в обширном и полезном PR вредоносную зависимость.

🟢Кстати, о LLM: критическая уязвимость в mcp-remote приводит к запуску вредоносного кода на компьютере пользователя, если его LLM-инструмент обращается к вредоносному серверу MCP.

🟢Обновленная версия AMOS (Atomic stealer macOS) обзавелась функциями бэкдора.

🔵Типовые случаи распространения вторичных и поверхностных данных из утечек (комболисты и подобные) на примере AlienTXT.

🟣Новое в отношениях жабы и гадюки: группировка RansomedVC слила переписку конкурентов из Medusa, обвиняя последних в попытке обмануть «партнёрскую сеть».

🔵Android-банкер Anatsa вновь атакует пользователей в США. Злоумышленники действуют циклично: раз в несколько месяцев публикуют почти безобидное приложение в Google Play, которое спустя несколько месяцев скачивает и устанавливает отдельное вредоносное приложение. Чтобы иметь нужные разрешения, дроппер маскируют под менеджеры файлов или утилиты PDF

🟣Всё более сложные и масштабные атаки на расширения веб-браузеров заставляют ускорить переход на строгий allowlisting в организациях.
Экспонат раз: 245 расширений, миллион загрузок. Расширения превращают браузер в агент для веб-скрейпинга, перепродаваемый в коммерческих целях, а заодно удаляют заголовки CSP из загружаемых веб-страниц.
Экспонат два: 18 расширений, 2 миллиона загрузок, статус верифицированного расширения в Web store. Отправляет все посещаемые URL на C2 и переадресует жертву куда-то ещё, если С2 пришлёт такую задачу.

#дайджест @П2Т