По данным компании Вебмониторэкс, с января по апрель 2025 года около 40% атак на сайты российских организаций были направлены на кражу данных пользователей, таких как логины и пароли.
Исследование включало данные 160 крупных организаций разных отраслей, где было проанализировано более 270 миллионов атак. Основной метод атак оказался межсайтовый скриптинг, который составил около 40% всех атак.
XSS-атаки происходят, когда злоумышленники внедряют вредоносный код на веб-страницу, что позволяет им получить доступ к личным данным пользователей. Ещё 16% атак были связаны с удалённым выполнением кода через уязвимости.
Специалисты рекомендуют запретить загрузку стороннего кода на сайт, а также экранировать все формы ввода. Важно также обратить внимание на архитектуру API, чтобы избежать компрометации данных.
Метка: malicious code
-
40% атак на сайты компаний для кражи данных пользователей
-
Новая угроза для интернет-магазинов: JavaScript-скиммеры в GTM
Злоумышленники используют Google Tag Manager (GTM) для распространения вредоносных программ, которые крадут данные банковских карт с интернет-магазинов, работающих на платформе Magento. Они маскируют код под скрипты Google Analytics и рекламные теги, чтобы получить доступ к сайтам.
Обнаружено, что заражённые сайты используют определенный идентификатор GTM. Изначально таких сайтов было шесть, но потом осталось только три. Вредоносный JavaScript был спрятан в GTM-контейнерах и загружен из базы данных Magento. Он перехватывает данные пользователей, вводящих информацию о своих банковских картах при оплате.
Эти атаки показывают, что даже легитимные инструменты веб-аналитики могут быть использованы злоумышленниками для вредоносных целей. Специалисты рекомендуют владельцам интернет-магазинов регулярно проверять свои GTM-контейнеры и базу данных на наличие подозрительных скриптов, а также усилить защиту учётных записей администраторов.
-
ViewState: новая цель для хакеров в ASP.NET
Компания Microsoft предупредила разработчиков о рисках использования публично доступных ключей ASP.NET. Эти ключи могут сделать их приложения уязвимыми для атак. Злоумышленники могут использовать такие ключи для доставки вредоносного фреймворка под названием Godzilla.
В декабре 2024 года исследователи Microsoft обнаружили хакерскую группу, которая использовала публичный статический ключ ASP.NET для внедрения вредоносного кода через механизм ViewState. Это позволяет им внедрять вредоносный код в веб-приложения, обходя их защиту. Было обнаружено более 3000 таких публичных ключей, которые могут быть использованы для таких атак.
Раньше атаки ViewState предполагали использование украденных или проданных ключей. Но новая угроза более опасна, так как ключи стали доступны публично и могут быть случайно использованы разработчиками без должной проверки.
Для защиты от этой угрозы Microsoft рекомендует избегать использования ключей из открытых источников, регулярно менять и проверять их на соответствие опубликованным хешам. В некоторых случаях компания даже удалила подобные ключи из своей документации.
-
Восклицательный знак в Outlook — новое оружие хакеров!
Агентство CISA предупреждает о том, что нужно срочно закрыть опасную проблему в программе Microsoft Outlook, которую уже используют злодеи. Это предупреждение особенно важно для государственных учреждений. Уязвимость с номером CVE-2024-21413 позволяет злоумышленникам запускать различные программы на компьютерах удаленно, обходя защиту в Outlook.
Эту ошибку обнаружила компания Check Point. Она связана с тем, что Outlook неправильно проверяет вредные ссылки в электронных письмах. Использование этой ошибки дает возможность злоумышленникам обходить защиту и открывать вредоносные файлы. Microsoft исправила уязвимость CVE-2024-21413, но предупредила, что она все еще активна в режиме предварительного просмотра файлов.
Злоумышленники используют способ обхода, добавляя в ссылки символ восклицательного знака и случайный текст после имени файла. Это позволяет им обойти защиту Outlook и загрузить вредоносное содержимое. Разные продукты Microsoft находятся под угрозой.
Если уязвимость будет использована, злоумышленники могут украсть вашу личную информацию и запустить вредоносные программы. Государственные учреждения должны исправить эту проблему до 27 февраля. CISA подчеркивает, что такие уязвимости часто становятся целью хакеров и представляют серьезную угрозу для государственной безопасности. Но рекомендация касается всех организаций: установите обновления безопасности, чтобы избежать возможных атак. -
ViewState — новое оружие для атак на серверы
Компания Microsoft обнаружила новый способ кибератак, при котором злоумышленники используют уязвимость в механизме ViewState для внедрения вредоносного кода. Проблема связана с разработчиками, которые используют статические ключи ASP.NET Machine Keys, найденные в открытых источниках, таких как документация по коду и репозитории.
Machine Keys предназначены для защиты данных от подделки и утечек. Однако хакеры находят эти ключи и используют их для создания вредоносных данных ViewState, содержащих специальный код аутентификации сообщений. При обработке таких данных сервер IIS загружает их в память и выполняет, что позволяет злоумышленникам исполнять код удаленно и загружать дополнительное вредоносное ПО.
В декабре 2024 года неизвестный хакер использовал один из таких ключей для внедрения инструмента Godzilla, который позволяет выполнять команды и инъектировать код на сервере IIS.
Microsoft выявила более 3000 публично доступных machine keys, которые могут быть использованы для подобных атак. Новая угроза опаснее, чем предыдущие, потому что ключи находятся в открытых репозиториях и могут быть случайно включены в разработку без проверки.
Чтобы снизить риски, Microsoft рекомендует разработчикам генерировать ключи безопасно, избегать использования ключей из открытых источников, шифровать ключи и строки подключения в конфигурации, обновлять приложения до ASP.NET 4.8 для защиты и применять защитные меры на серверах Windows.
Microsoft также предоставила инструкции по удалению или замене уязвимых ключей через PowerShell и консоль IIS, а также удалила примеры таких ключей из своей документации, чтобы предотвратить их использование.
Если сервер был скомпрометирован, Microsoft рекомендует провести полное расследование инцидента и, для интернет-ориентированных серверов, форматирование и переустановку в автономной среде.
-
Ужасы заброшенных хранилищ Amazon S3: 8 миллионов призраков
Специалисты из компании WatchTowr Labs обнаружили серьезную проблему с безопасностью в цепочках поставок программного обеспечения, связанную с заброшенными хранилищами Amazon S3. Они нашли более 150 таких хранилищ, которые раньше использовались различными организациями, такими как государственные учреждения, финансовые компании, IT-фирмы и компании по информационной безопасности.
За последние 2 месяца на эти хранилища поступило более 8 миллионов запросов от организаций по всему миру, включая такие крупные организации, как NASA, армия США, правительства Великобритании, Австралии, Турции, а также крупные банки и технологические компании. Серверы и системы продолжают пытаться загружать файлы из этих хранилищ, создавая угрозу внедрения вредоносного кода.
Если бы злоумышленники получили контроль над такими хранилищами, они могли бы внедрить поддельные обновления, загрузить вредоносное ПО на виртуальные машины, изменить настройки серверов VPN и CI/CD-пайплайнов. Потенциальный ущерб от таких атак мог бы быть очень большим. Для предотвращения возможных атак исследователи передали контроль над всеми обнаруженными хранилищами Amazon.
Специалисты подчеркнули, что проблема не ограничивается только Amazon S3, она актуальна для всех облачных провайдеров. Компании часто забывают об устаревших компонентах своей инфраструктуры, оставляя критически важные сервисы без должного внимания. Исследование WatchTowr показало, что забытые облачные хранилища могут стать серьезной угрозой безопасности для миллионов пользователей.