Kaspersky
Sticky

Актуальные киберугрозы

  • 25 February 2021
  • 9 replies
  • 1170 views

Userlevel 7
Badge +5

Предлагаю делиться сведениями об актуальных угрозах, которые вам удалось получить.

На форуме сообщества "Лаборатории Касперского" не ведётся лечения вирусов, обращаться следует на форум Фан-клуба Лаборатории Касперского, при этом надо понимать, что предоставленная вами там информация,  в виде отчетов и логов, станет общедоступна.

Ресурсы ЛК по теме угроз:
https://statistics.securelist.com/ru/
https://threats.kaspersky.com/ru/threat/
https://opentip.kaspersky.com/

Угрозы в теме:

9 replies

Userlevel 7
Badge +5

Trojan-Spy.JS.Sonar

Trojan-Spy.JS.Sonar.a

https://threats.kaspersky.com/ru/threat/Trojan-Spy.JS.Sonar/

ttps://opentip.kaspersky.com/1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB/

Ответ вирусных аналитиков ЛК на предоставленный образец:

“Детектирование корректно. Срабатывание сигнатуры Trojan-Spy.JS.Sonar.a направлено на обнаружение вредоносного скрипта, который был найден в сервисе социальной активности UpToLike.

Uptolike - это виджет веб-сайта, который обеспечивает интеграцию с социальными сетями в виде кнопки "Поделиться" и подсчитывает некоторую статистику. Его используют веб-мастера на разных сайтах, в том числе и на популярных.

Вредоносный скрипт собирает данные, введенные посетителями в формы сайтов (электронные адреса, номера телефонов и т.д.), и отправляет их на сторонний ресурс.”

 

Примеры:

Критическое: Обнаружен вредоносный объект

Описание результата: Обнаружено
Тип: Троянская программа
Название: Trojan-Spy.JS.Sonar.a

Объект: C:\Users\Username\AppData\Local\Mozilla\Firefox\Profiles\mq9nyqxb.default-esr\cache2\entries\F4BCAEAECE911E8BB7F06460334194C6DA4DC561
Причина: Хеш
Дата выпуска баз: 25.02.2021 8:42:00
SHA256: 42656A6D4D0B654E89F0992D36482115312EFCE396E512A4999C5171A906B182
MD5: E9FDD759746FA3CF1DB333FA79769CF4

Объект: C:\Users\Username\AppData\Local\Microsoft\Edge\User Data\Default\Cache\f_000d25
SHA256: 1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB
MD5: 36105BC856519AD14E99DCBAC4F0F622

Объект: C:\Users\Username\AppData\Local\Microsoft\Windows\INetCache\Low\IE\7TQKT6DB\checking[1].js
Причина: Хеш
Дата выпуска баз: 24.02.2021 6:28:00
SHA256: 1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB
MD5: 36105BC856519AD14E99DCBAC4F0F622

Объект: C:\Users\Username\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00008f
Причина: Экспертный анализ
Дата выпуска баз: 25.02.2021 15:45:00
SHA256: 1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB
MD5: 36105BC856519AD14E99DCBAC4F0F622

Добрый день. У нас в организации тоже сработки по данному трояну - начиная с 23.02.2021 за день детектируется от 5 до 8 событий Trojan-Spy.JS.Sonar.a. С каждым днем количество только растет.

У кого нибудь есть соображение как обезопасить пользователей, помимо установленного антивируса ( например меры профилактики)? Где можно ознакомится с подробной информацией как работает данная угроза? Почему Касперский обнаруживает его только в cache браузера?

Добрый день! С 24.02 идет массовое срабатывание антивируса на событие Trojan-Spy.JS.Sonar.a, по 3-4 машины в день. Обнаруживается в кэшах браузеров. Чем опасен этот троян?

За вчерашний день еще +7 срабатываний Sonar.a. Кто нибудь в курсе при каких обстоятельствах он срабатывает? Уточняли у пользователей, они не в курсе.

Интересно посмотреть, как отрабатывает антивирусник, сразу после нажатия на кнопку UptoLike?

Добрый день. Сегодня касперский обнаружил угрозу Trojan-Spy.JS.Sonar.a имя зараженного файла checking[1].js дата создания файла 21.09.2020 года. У меня вопрос - по каким критерием Касперский обнаруживает что данный файл относится к угрозе Trojan-Spy.JS.Sonar.a?

Userlevel 7
Badge +9

Здравствуйте, @Denic22 , @viper0289 ,
Чуть ранее @Demiad предоставил подробное описание угрозы: https://threats.kaspersky.com/ru/threat/Trojan-Spy.JS.Sonar/

Очистите полностью историю и кэш,  cookie  браузеров, включите Анти-баннер, также можете установить расширение Adguard и включить блокировку лишних элементов сайта (виджиты соц. сетей).

Userlevel 7
Badge +5

@Denic22 , @viper0289 , дополнительно что-либо делать не обязательно. Антивирус всё делает сам - удаляет подгружаемый сайтом вредоносный скрипт. Пользователи-посетители, конечно, сами ничего не замечают.

Если поискать в интернете, то проблема-то совсем не нова.
Больше всего мне нравится последний пост в теме: https://ru.wordpress.org/support/topic/%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9-%D0%BA%D0%BE%D0%B4-%D0%B2-pagespeed/

От этого же человека подробный пост на Хабре про другой плагин для Wordpress, который упоминает выше “uLogin”, ситуация аналогичная: https://habr.com/ru/post/413233/

В официальном репозитории Wordpress в разделе “Поддержка” по плагину “UpToLike” тема про срабатывания антивируса аж закреплена и имеет двухгодичную давность: 
https://wordpress.org/support/topic/%d0%b0%d0%bd%d1%82%d0%b8%d0%b2%d0%b8%d1%80%d1%83%d1%81-%d1%80%d1%83%d0%b3%d0%b0%d0%b5%d1%82%d1%81%d1%8f-%d0%bd%d0%b0-%d0%ba%d0%bd%d0%be%d0%bf%d0%ba%d0%b8/

Userlevel 7
Badge +5

HAFNIUM vulnerability in Microsoft Exchange on-premise products

Описание решения по защите:

 

 
Userlevel 7
Badge +5

CVE-2021-34527 & CVE-2021-1675 PrintNightmare 

 

INC000012965209

Добрый день.

Вирусные аналитики сообщили мне, Kaspersky осведомлена об этих уязвимостях.

Уязвимости заключаются в том, что атакующий может, используя аккаунт обычного пользователя, захватить контроль над сервером, где запущена служба Windows Print Spooler. Данная служба включена по умолчанию на всех Windows клиентах и серверах, включая контроллеры домена.
Наши продукты защищают от атак, использующих указанные уязвимости со следующими возможными именами вердиктов:

HEUR:Trojan-Dropper.Win32.Pegazus.gen
HEUR:Exploit.Win32.CVE-2021-1675.a
PDM:Exploit.Win32.Generic
PDM:Trojan.Win32.Generic

Специалисты «Лаборатории Касперского» внимательно следят за ситуацией и улучшают типовое обнаружение этих уязвимостей с помощью компонентов Behavior Detection и Exploit Prevention.

В рамках нашей службы Managed Detection and Response наши специалисты SOC могут обнаруживать эксплуатацию этих уязвимостей, расследовать такие атаки и сообщать клиентам.


KSWS предоставляет детектирования для версии эксплуатации, которая позволяет произвести локальное повышение привилегий со следующими возможными именами вердиктов:

- HEUR:Trojan-Dropper.Win32.Pegazus.gen
- HEUR:Exploit.Win32.CVE-2021-1675.a
- Exploit.Win32.CVE-2021-1675.*
- Exploit.Win32.CVE-2021-34527.a

Чтобы дополнительно исключить удаленное выполнение команд через уязвимости CVE-2021-34527 и CVE-2021-1675, мы настоятельно советуем следовать рекомендациям от Microsoft: https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler . Если это невозможно, необходимо использовать продукт KES в котором есть компоненты защиты Behavior Detection и Exploit Prevention. 


Инженер технической поддержки
АО "Лаборатория Касперского"”

Reply