Еду сейчас в метро, листаю пикабушечку и тут такое. Понятно что троян пытается кто-то подсунуть от лица ФСБ, но креативно)

01.07.2022

«Лаборатория Касперского» сообщила о вирусе, который уже больше года распространяется хакерами по всему миру, позволяя им следить за госорганами и некоммерческими организациями. С помощью этой программы можно читать корпоративную почту, распространять вредоносное ПО и удалённо управлять заражёнными серверами.

«Эксперты “Лаборатории Касперского” обнаружили сложно детектируемый бэкдор (вредоносная программа, предназначенная для скрытого удалённого управления компьютером) SessionManager. Он позволяет получить доступ к корпоративной ИТ-инфраструктуре и выполнять широкий спектр вредоносных действий», — сообщила компания.

В «Лаборатории Касперского» рассказали, что зловред распространяется дистанционно, в виде модуля для Microsoft IIS — проприетарного набора веб-сервисов для нескольких интернет-служб от компании Microsoft, который включает почтовый сервер Exchange.

Первые атаки с использованием SessionManager были отмечены в конце марта 2021 года. Жертвами хакеров стали в основном госорганы и некоммерческие организации в Африке, Южной Азии, Европе и на Ближнем Востоке, а также в России. Эксперты отметили, что большинство популярных онлайн-сканеров плохо детектирует зловред, поэтому он зачастую остаётся незамеченным. На данный момент его обнаружили на 34 серверах в 24 компаниях.

https://3dnews.ru/1069314/laboratoriya-kasperskogo-obnarugil...

https://www.interfax.ru/world/849952

Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакета rustdecimal, содержащего вредоносный код. Пакет был основан на легитимном пакете rust_decimal и для распространения пользовался сходством в имени (тайпсквоттинг) с расчётом на то, что пользователь не обратит внимание на отсутствие символа подчёркивания, осуществляя поиск или выбирая модуль из списка.

Примечательно, что указанная стратегия оказалась успешной и по числу загрузок фиктивный пакет лишь немного отстал от оригинала (~111 тысяч загрузок rustdecimal 1.23.1 и 113 тысяч оригинального rust_decimal 1.23.1). При этом большинство загрузок пришлось на безобидный клон, не содержащий вредоносного кода. Вредоносные изменения были добавлены 25 марта в версии rustdecimal 1.23.5, которая до выявления проблемы и блокирования пакета была загружена около 500 раз (предполагается что большая часть загрузок вредоносной версии совершена ботами) и не была использована в зависимостях у других пакетов, присутствующих в репозитории (не исключено, что вредоносный пакет был в зависимостях у конечных приложений).

Вредоносные изменения сводились к добавлению новой функции Decimal::new, в реализации которого содержался обфусцированный код для загрузки с внешнего сервера и запуска исполняемого файла. При вызове функции осуществлялась проверка переменной окружения GITLAB_CI, в случае выставления которой с внешнего сервера загружался файл /tmp/git-updater.bin. Загружаемый вредоносный обработчик поддерживал работу в Linux и macOS (платформа Windows не поддерживалась).

Предполагалось, что вредоносная функция будет выполнена в процессе тестирования на системах непрерывной интеграции. После блокировки rustdecimal администраторы crates.io выполнили анализ содержимого репозитория на наличие похожих вредоносных вставок, но не выявили проблем в других пакетах. Владельцам систем непрерывной интеграции на базе платформы GitLab рекомендуется убедиться, что тестируемые на их серверах проекты не использовали в зависимостях пакет rustdecimal.

Потому, что большинство из них содержат вирусы. В этом меня убедили два случая:

1. Когда купил свой первый андроид, в 2016, кажется, зашёл на сайт 4pda в тред своего устройства. В шапке, помимо всего прочего, была закреплена прошивка NOMI. Поставил. Исчезло много не нужных программ, я был доволен. Спустя два года мой телефон стал жёстко показывать рекламу поверх экрана. Она вылезала сверху, как push-уведомление, и ее нельзя было закрыть, смахнув влево или вправо. Но можно было узнать, какая программа ее запустила. Для этого нужно было нажать на нее и удерживать, потом выйдет информация. За показ рекламы было ответственно приложение NOMI Care. Которое нельзя удалить. С тех пор телефоном невозможно пользоваться. Не только уведомление сверху вылезало, но и баннер на весь экран. После закрытия он показался снова через пару минут.

2. Когда купил свой первый компьютер, в 2018, решил, что не буду пользоваться пиратскими программами. Однако, несколько штук все же скачал, ибо стоят очень дорого. Спустя несколько лет решил отформатировать все диски компа и поставить Виндоус 11. И что вы думаете? Спустя день, со всех сайтов, где я был зарегистрирован, мне посыпались предупреждения, что были попытки входа со странных геолокаций и ip. Как я понял, у меня в прежней ОС были вирусы, которые шпионили за мной и перехватывали мои нажатия, и... не знаю, что именно ещё они делали. И, когда владельцы вирусов меня потеряли, когда мой комп перестал "пинговаться", когда их пиратские программы перестали передавать данные, они решили, что больше нет смысла скрываться, и решили использовать все полученные данные, чтобы заиметь выгоду. Мне пришлось в срочном порядке сбрасывать пароли на всех более-менее важных сайтах на чистой ОС.

К каким выводам я пришёл. Я качал программы с очень популярных сайтов и тредов. Тред, где я качал прошивку для андроида, содержал 500 страниц обсуждения. Миллионы мух не могут ошибаться, да? Программы на ПК тоже были популярные в форуме.

Ну, вот смотрите. Есть компания со штатом 1000 человек. У них бюджет 1 млрд долларов. Они тратят много времени, усилий и денег на антипиратскую защиту. То есть, пиратам надо прилагать неимоверные усилия, чтобы взломать программу. Они тратят много времени и усилий. И вы думаете, что они делают это за бесплатно? Вы верите в Робин Гудов? Я не верю. Пираты, а особенно старая и известная команда, имеет договор с нехорошими людьми, которая отстёгивает им деньги за то, что они, после взлома, вшивают их вредоносные программы.

Ну, и в чем я не прав?