Злоумышленники используют уязвимость в утилите Apple Bonjour для доставки шифровальщика BitPaymer/iEncrypt. Угрозу устранили в недавнем обновлении iTunes и iCloud для Windows, пользователей призывают срочно установить патч.

Проблему усугубляет тот факт, что многие даже не подозревают об установленной на их компьютерах утилите Bonjour. Программа обеспечивает обновление продуктов Apple и идет в комплекте с iTunes. При этом после удаления плеера Bonjour остается на компьютере — круг возможных жертв превышает число пользователей родительской программы.

Исследователи обнаружили угрозу еще в августе, когда BitPaymer поразил некую автокомпанию. Инцидент продолжил серию предыдущих атак, от которых пострадали по меньшей мере 15 частных и государственных организаций из разных секторов экономики. Тогда утилита Bonjour еще не использовалась — преступники крали учетные данные Active Directory с помощью трояна Dridex и дожидались выходных дней, чтобы развернуть в пораженной инфраструктуре BitPaymer.

Активность зловреда привлекла внимание экспертов и позволила им в дальнейшем отследить новые атаки на базе 0-day Bonjour. Уязвимость оказалась связана с так называемой ошибкой unquoted path: назначая переменную с текстом Path, разработчик забывает взять путь поиска в кавычки. Подобное упущение позволяет подменить объект, загружаемый программой. Поскольку система считает процессы Bonjour легитимными, преступники смогли с их помощью запустить шифровальщик на взломанных компьютерах, не вызывая тревогу у антивирусных решений.

На руку злоумышленникам сыграло и то, что уязвимая программа прописывается в автозагрузке. Таким образом, вредоносный компонент запускается автоматически при включении системы.

Эксперты сообщили о проблеме разработчикам, однако заплатка увидела свет лишь на этой неделе — обновления iTunes и iCloud вышли вместе с macOS Catalina. Комментаторы уточняют, что в отличие от настольной ОС для компьютеров Apple, где iTunes скоро перестанет работать, Windows-версия программы продолжит существование. А значит, угроза атак для этой платформы сохраняется.

Корпоративным администраторам и частным пользователям Windows рекомендуется обновить iCloud. Если же на их компьютерах когда-либо был установлен iTunes, следует вручную удалить Bonjour через Панель управления.

Ранее вымогатель BitPaymer отметился атакой на администрацию одного из крупнейших округов Аляски. Атака шифровальщика лишила сотрудников доступа к 500 компьютерам и 120 серверам. Как рассказали представители ведомства, пока IT-специалисты пытались вернуть системы в нормальное состояние, чиновники работали на печатных машинках и писали от руки.

Категории: Вредоносные программы, Уязвимости