forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные ..."
Отправлено opennews, 13-Май-18 10:02

Пользователи Ubuntu обратили внимание (https://www.reddit.com/r/linux/comments/8iupdz/caution_the_a.../) на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты. Дальнейшее разбирательство (https://github.com/canonical-websites/snapcraft.io/issues/651) показало, что аналогичный вредоносный код присутствует и в других пакетах автора Nicolas Tomb (https://uappexplorer.com/snaps?q=author%3ANicolas+Tomb), в частности проблема присутствует в пакете hextris.

После поступления сообщения о проблеме вредоносные пакеты были   удалены (https://github.com/canonical-websites/snapcraft.io/issues/65...) из репозитория.  Инициировано проведение расследования инцидента, результаты которого и сделанные выводы пока не опубликованы. Ожидается, что случай с вредоносными пакетами заставит Canonical пересмотреть политику включения и рецензирования программ в Ubuntu Snap Store. Сейчас разместить пакет в каталоге может любой желающий.
Код майнинга был камуфлирован под процесс systemd и поставлялся как /snap/$name/current/systemd. На системах с более чем 4 ядрами CPU процесс майнинга запускался в 2 потока, на остальных системах в однопоточном режиме. Интересно, что пакет 2048buntu поставлялся (https://webcache.googleusercontent.com/search?source=hp&ei=B...) как проприетарное ПО, в то время как распространяемая в нём игра 2048 распространяется (https://github.com/gabrielecirulli/2048) под лицензией MIT (мошенник, создавший вредоносный пакт, не связан с разработчиками игры).

Тем временем в каталоге Chrome Web Store выявлено (https://blog.radware.com/security/2018/05/nigelthorn-malware.../) семь вредоносных дополнений к браузеру Chrome, общая пользовательская база которых превышает 100 тысяч установок.   Для защиты от удаления с систем пользователя вредоносные дополнения автоматически закрывали вкладку со списком дополнений сразу после попытки её открытия и заносили в локальный чёрный список связанные с безопасностью утилиты и инструменты  Facebook и Google для выявления вредоносной активности. Для распространения  дополнений среди пользователей применялись методы социальной инжинерии - в Facebook распространялась ссылка на фиктивный ролик в YouTube, при клике на который запрашивалась установка дополнения.
После установки вредоносных дополнений системы пользователей подключались к ботнету. Интегрированный в дополнения вредоносный код позволял  перехватывает параметры учётных записей в Facebook и Instagram, собирал конфеденциальные данных из Facebook, выполнял майнинг криптовалют, совершал подмену ссылок при кликах в YuoTube и рассылал друзьям в Facebook ссылки на фиктивные ролики, требующие установки вредоносных дополнений (создавалась цепочка для привлечения новых жертв). В ходе работы встроенного майнера злоумышленникам за неделю удалось заработать около $1000 (преимущественно применялась криптовалюта monero).

Проблемы присутствуют в дополнениях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и  iHabno. Спустя несколько часов после их выявления компания Google удалила проблемные дополнения из каталога  Chrome Web Store и инициировала (https://arstechnica.com/information-technology/2018/05/malic.../) процесс удаления с систем пользователей.

URL: https://www.reddit.com/r/linux/comments/8iupdz/caution_the_a.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48592

Исходное сообщение
"В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные ..." Отправлено opennews, 13-Май-18 10:02
Пользователи Ubuntu обратили внимание (https://www.reddit.com/r/linux/comments/8iupdz/caution_the_a.../) на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты. Дальнейшее разбирательство (https://github.com/canonical-websites/snapcraft.io/issues/651) показало, что аналогичный вредоносный код присутствует и в других пакетах автора Nicolas Tomb (https://uappexplorer.com/snaps?q=author%3ANicolas+Tomb), в частности проблема присутствует в пакете hextris. После поступления сообщения о проблеме вредоносные пакеты были удалены (https://github.com/canonical-websites/snapcraft.io/issues/65...) из репозитория. Инициировано проведение расследования инцидента, результаты которого и сделанные выводы пока не опубликованы. Ожидается, что случай с вредоносными пакетами заставит Canonical пересмотреть политику включения и рецензирования программ в Ubuntu Snap Store. Сейчас разместить пакет в каталоге может любой желающий. Код майнинга был камуфлирован под процесс systemd и поставлялся как /snap/$name/current/systemd. На системах с более чем 4 ядрами CPU процесс майнинга запускался в 2 потока, на остальных системах в однопоточном режиме. Интересно, что пакет 2048buntu поставлялся (https://webcache.googleusercontent.com/search?source=hp&ei=B...) как проприетарное ПО, в то время как распространяемая в нём игра 2048 распространяется (https://github.com/gabrielecirulli/2048) под лицензией MIT (мошенник, создавший вредоносный пакт, не связан с разработчиками игры). Тем временем в каталоге Chrome Web Store выявлено (https://blog.radware.com/security/2018/05/nigelthorn-malware.../) семь вредоносных дополнений к браузеру Chrome, общая пользовательская база которых превышает 100 тысяч установок. Для защиты от удаления с систем пользователя вредоносные дополнения автоматически закрывали вкладку со списком дополнений сразу после попытки её открытия и заносили в локальный чёрный список связанные с безопасностью утилиты и инструменты Facebook и Google для выявления вредоносной активности. Для распространения дополнений среди пользователей применялись методы социальной инжинерии - в Facebook распространялась ссылка на фиктивный ролик в YouTube, при клике на который запрашивалась установка дополнения. После установки вредоносных дополнений системы пользователей подключались к ботнету. Интегрированный в дополнения вредоносный код позволял перехватывает параметры учётных записей в Facebook и Instagram, собирал конфеденциальные данных из Facebook, выполнял майнинг криптовалют, совершал подмену ссылок при кликах в YuoTube и рассылал друзьям в Facebook ссылки на фиктивные ролики, требующие установки вредоносных дополнений (создавалась цепочка для привлечения новых жертв). В ходе работы встроенного майнера злоумышленникам за неделю удалось заработать около $1000 (преимущественно применялась криптовалюта monero). Проблемы присутствуют в дополнениях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и iHabno. Спустя несколько часов после их выявления компания Google удалила проблемные дополнения из каталога Chrome Web Store и инициировала (https://arstechnica.com/information-technology/2018/05/malic.../) процесс удаления с систем пользователей. URL: https://www.reddit.com/r/linux/comments/8iupdz/caution_the_a.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=48592

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Пользователи Ubuntu обратили внимание (https://www.reddit.com/r/linux/comments/8iupdz/caution_the_are_malware_snaps_in_ubuntu_snaps/) 
> на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного 
> кода для майнинга криптовалюты. Дальнейшее разбирательство (https://github.com/canonical-websites/snapcraft.io/issues/651) 
> показало, что аналогичный вредоносный код присутствует и в других пакетах автора 
> Nicolas Tomb (https://uappexplorer.com/snaps?q=author%3ANicolas+Tomb), в частности 
> проблема присутствует в пакете hextris.

> После поступления сообщения о проблеме вредоносные пакеты были   удалены (https://github.com/canonical-websites/snapcraft.io/issues/651#issuecomment-388546799) 
> из репозитория.  Инициировано проведение расследования инцидента, результаты которого 
> и сделанные выводы пока не опубликованы. Ожидается, что случай с вредоносными 
> пакетами заставит Canonical пересмотреть политику включения и рецензирования программ 
> в Ubuntu Snap Store. Сейчас разместить пакет в каталоге может любой 
> желающий.

> Код майнинга был камуфлирован под процесс systemd и поставлялся как /snap/$name/current/systemd. 
> На системах с более чем 4 ядрами CPU процесс майнинга запускался 
> в 2 потока, на остальных системах в однопоточном режиме. Интересно, что 
> пакет 2048buntu поставлялся (https://webcache.googleusercontent.com/search?source=hp&ei=BDT3WvTIKaGr6AT295HIDw&q=cache%3Ahttps%3A%2F%2Fsnapcraft.io%2F2048buntu&oq=cache%3Ahttps%3A%2F%2Fsnapcraft.io%2F2048buntu&gs_l=psy-ab.3...5653.7198.0.7376.7.7.0.0.0.0.125.686.4j3.7.0....0...1c.1.64.psy-ab..0.6.614...0j46j0i46k1.0.OioghBze15M) 
> как проприетарное ПО, в то время как распространяемая в нём игра 
> 2048 распространяется (https://github.com/gabrielecirulli/2048) под лицензией MIT 
> (мошенник, создавший вредоносный пакт, не связан с разработчиками игры).

> Тем временем в каталоге Chrome Web Store выявлено (https://blog.radware.com/security/2018/05/nigelthorn-malware-abuses-chrome-extensions/) 
> семь вредоносных дополнений к браузеру Chrome, общая пользовательская база которых превышает 
> 100 тысяч установок.   Для защиты от удаления с систем 
> пользователя вредоносные дополнения автоматически закрывали вкладку со списком дополнений 
> сразу после попытки её открытия и заносили в локальный чёрный список 
> связанные с безопасностью утилиты и инструменты  Facebook и Google для 
> выявления вредоносной активности. Для распространения  дополнений среди пользователей 
> применялись методы социальной инжинерии - в Facebook распространялась ссылка на фиктивный 
> ролик в YouTube, при клике на который запрашивалась установка дополнения.

> После установки вредоносных дополнений системы пользователей подключались к ботнету. 
> Интегрированный в дополнения вредоносный код позволял  перехватывает параметры учётных 
> записей в Facebook и Instagram, собирал конфеденциальные данных из Facebook, выполнял 
> майнинг криптовалют, совершал подмену ссылок при кликах в YuoTube и рассылал 
> друзьям в Facebook ссылки на фиктивные ролики, требующие установки вредоносных дополнений 
> (создавалась цепочка для привлечения новых жертв). В ходе работы встроенного майнера 
> злоумышленникам за неделю удалось заработать около $1000 (преимущественно применялась 
> криптовалюта monero).

> Проблемы присутствуют в дополнениях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original 
> Sin: Wiki Skill Popup, Keeprivate и  iHabno. Спустя несколько часов 
> после их выявления компания Google удалила проблемные дополнения из каталога  
> Chrome Web Store и инициировала (https://arstechnica.com/information-technology/2018/05/malicious-chrome-extensions-infect-more-than-100000-users-again/) 
> процесс удаления с систем пользователей.

> URL: https://www.reddit.com/r/linux/comments/8iupdz/caution_the_are_malware_snaps_in_ubuntu_snaps/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=48592

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру