موزیلا از انتشار فایرفاکس ورژن 116، ESR 115.1 و ESR 102.14 خبر داد که شامل وصله هایی برای چندین آسیب پذیری با شدت بالا است. سازنده این مرورگر در مجموع ۱۴ آسیب پذیری را فهرست کرده است که ۹ مورد از آن‌ها دارای درجه با «شدت بالا» هستند و سه مورد از آن ها به اشکالات ایمنی حافظه در فایرفاکس اشاره دارند.
اولین مورد از ایرادات با شدت بالا، که با شناسه CVE-2023-4045 شناخته می‌شود دور زدن محدودیت‌های مبدأ متقاطع  (cross origin)است که این آسیب پذیری می تواند به صفحات وب اجازه دهد تا تصاویر نمایش داده شده در یک صفحه از یک سایت دیگر را مشاهده کنند. مرورگرها شامل یک خط مشی یکسان (same-origin policy) هستند که اجازه دسترسی کدهای HTML و جاوا اسکریپت یک وب سایت را به محتوای دیگر سایت ها نمی دهد. دومین آسیب پذیری با شدت بالا(با شناسه CVE-2023-4046) که فایرفاکس 116 وصله می کند به عنوان یک مقدار نادرست در طول کامپایل زبان WASM استفاده می شود. موزیلا خاطرنشان می کند: در برخی شرایط، یک stale value می‌توانست برای یک متغیر سراسری در تحلیل WASM JIT استفاده شود. که این منجر به کامپایل نادرست و یک آسیب پذیری بالقوه قابل بهره برداری در فرآیند محتوا می شود. به روز رسانی مرورگر، دور زدن درخواست مجوز از طریقclickjacking را حل می کند(آسیب پذیریCVE-2023-4047).Sophos خاطرنشان می‌کند: «مجوزهای بالقوه خطرناک، مانند دسترسی به موقعیت مکانی شما، ارسال اعلان‌ها، فعال کردن میکروفون و غیره، تا زمانی که یک هشدار واضح از خود مرورگر را مشاهده نکرده باشید ، داده نمی‌شوند.»
سه آسیب‌پذیری دیگر با شدت بالا که فایرفاکس 116 برطرف می‌کند عبارتند از CVE-2023-4048  که یک نقص خواندن خارج از محدوده است که باعث می شود DOMParser در هنگام ساختن یک فایل HTML دست‌کاری شده، از کار بیافتد. در آسیب پذیری CVE-2023-4049، Race Condition منجر به آسیب‌پذیری‌های بالقوه قابل بهره‌برداری پس از استفاده رایگان می‌شود، و در آسیب پذیری CVE-2023-4050، بافر پشته در StorageManager سرریز شده که به طور بالقوه منجر به sandbox escape می‌شود. باگ‌های ایمنی حافظه که در فایرفاکس 116 برطرف شده‌اند، به‌عنوان CVE-2023-4056، CVE-2023-4057، و CVE-2023-4058 شناخته می‌شوند که می‌توانند به اجرای کد دلخواه منجر شوند.
موزیلا می‌گوید بسیاری از این مشکلات با شدت بالا بر پشتیبانی گسترده فایرفاکس و تاندربرد تأثیر می‌گذارند که در فایرفاکس ESR 115.1، ESR 102.14، Thunderbird 115.1 و Thunderbird 102.14  بررسی شده‌اند.
موزیلا هیچ اشاره ای به سوء استفاده از این آسیب پذیری ها در حملات نمی کند.
 
 منابع

2. https://security.snyk.io/vuln/SNYK-ORACLE9-FIREFOX-5821216

یک آسیب‌پذیری جدید در نرم‌افزار مدیریت چاپ PaperCut MF/NG شناخته شده که می‌تواند برای اجرای کد از راه دور و احراز هویت نشده مورد سوء استفاده قرار گیرد. این نقص که به‌عنوان CVE-2023-39143 شناخته می‌شود و دارای رتبه با «شدت بالا» است، می‌تواند توسط مهاجمان احراز هویت نشده برای خواندن یا نوشتن فایل‌های دلخواه مورد سوء استفاده قرار گیرد، که می‌تواند اجرای کد از راه دور در پیکربندی‌های خاص محصول را امکان‌پذیر کند. این آسیب‌پذیری بر سرورهای PaperCut که روی ویندوز اجرا می‌شوند، بسیار تأثیر می‌گذارد. آپلود فایل که موجب اجرای کد از راه دور می شود زمانی امکان پذیر است که تنظیمات  integration دستگاه خارجی فعال باشد. این تنظیم به طور پیش‌فرض در برخی از نصب‌های PaperCut، مانند نسخه PaperCut NG Commercial یا PaperCut MF، روشن است.
تجزیه و تحلیل شرکت امنیتی نشان می دهد که اکثریت نصب های PaperCut تحت تأثیر قرار گرفته اند. در حال حاضر جزئیات فنی برای جلوگیری از سوء استفاده فاش نشده است. Horizon3 دستوری ارائه کرده است که می تواند برای بررسی آسیب پذیر بودن سرور PaperCut استفاده شود.
PaperCut با انتشار نسخه 22.1.3 وصله ای برای این آسیب پذیری و سایر آسیب پذیری ها منتشر کرده است.
در حالی که هیچ مدرکی دال بر بهره برداری CVE-2023-39143 وجود ندارد، اخیرا یک آسیب پذیری دیگری در PaperCut که به نام CVE-2023-27350 شناخته می شود، به طور گسترده توسط گروه‌های باج‌افزار و عوامل تهدید مورد استفاده قرار گرفته است. Horizon3 خاطرنشان کرد که هر دو آسیب‌پذیری را می‌توان بدون احراز هویت و تعامل کاربر مورد سوء استفاده قرار داد، با این حال، حفره امنیتی جدید  (CVE-2023-39143)برای بهره برداری پیچیده تر است زیرا نیاز به زنجیره چندین باگ و دسترسی مستقیم به IP سرور دارد. 
 
منابع

عوامل تهدید در حال ایجاد وب‌سایت‌های جعلی هستند که نصب‌کننده‌های نرم‌افزاری تروجان‌شده را میزبانی می‌کنند. این وبسایت‌ها کاربران ناآگاه را فریب می‌دهند تا یک بدافزار دانلودکننده به نام Fruity را با هدف نصب ابزارهای تروجان از راه دور مانند Remcos RAT دانلود کنند.
دکتر وب، فروشنده محصولات امنیت سایبری در تحلیلی گفت: «در میان نرم‌افزارهای مورد بحث، ابزارهای مختلفی برای تنظیم دقیق پردازنده‌ها، کارت‌های گرافیک و بایوس، ابزارهای نظارت بر سخت‌افزار رایانه شخصی و برخی برنامه‌های دیگر وجود دارد». «چنین نصب‌کننده‌هایی به‌عنوان یک فریب مورد استفاده قرار می‌گیرند و نه تنها شامل نرم‌افزاری مورد علاقه قربانیان احتمالی هستند، بلکه شامل خود تروجان با تمام اجزای آن نیز می‌شوند». بردار دسترسی اولیه دقیق مورد استفاده در کمپین نامشخص است اما به طور بالقوه می تواند از فیشینگ گرفته تا دانلود ناخواسته (drive by download ) و یا تبلیغات متغیر باشد. از کاربرانی که وارد سایت جعلی شدند، خواسته می شود یک بسته نصب کننده ZIP را دانلود کنند. نصب کننده، علاوه بر فعال کردن فرآیند نصب استاندارد، به طور مخفیانه تروجان Fruity را ذخیره می‌کند، یک بدافزار مبتنی بر پایتون که یک فایل MP3 ("Idea.mp3") را برای بارگذاری یک فایل تصویری ("Fruit.png") باز می کند تا آلودگی چند مرحله ای را فعال کند. دکتر وب گفت: «این فایل تصویری از روش استگانوگرافی برای مخفی کردن دو فایل اجرایی (کتابخانه‌های dll .) و کد پوسته (shell) برای راه‌اندازی مرحله بعدی در داخل آن استفاده می‌کند.Fruity  همچنین برای دور زدن تشخیص آنتی ویروس بر روی میزبان در معرض خطر و در نهایت راه اندازی محموله Remcos RAT با استفاده از تکنیکی به نام فرآیند doppelgänging طراحی شده است.
 با این حال، توالی حمله می تواند برای توزیع انواع بدافزار مورد سوء استفاده قرار گیرد، بنابراین لازم است که کاربران به دانلود نرم افزار فقط از منابع قابل اعتماد، پایبند باشند.
منبع

https://thehackernews.com/2023/07/fruity-trojan-uses-deceptive-software.html

آسیب‌پذیری سرقت ایمیل‌های کاربر در Axigen WebMail یافت شد. Axigen WebMail  یک میل سرور پریمیوم و مقیاس پذیر برای Telcos،ISP ها، ارائه دهندگان میزبانی و غیره است که در برخی سازمان‌ها مانند وزارتخانه، بانک، دانشگاه و ... استفاده می‌شود. این آسیب‌پذیری امکان اجرای XSS رفلکتت (Reflected cross-site scripting) و تزریق HTML را فراهم می‌سازد و به‌دلیل عدم پاکسازی پارامترهای پرس و جو URL (URL query parameters) قبل از قرار گرفتن در بدنه پاسخ HTTP  (HTTP Response body) که منجر به اسکریپت بین سایتی (XSS) می شود، بوجود می‌آید. یک مهاجم می‌تواند از این نقص برای ایجاد پیوندی (link) استفاده کند که وقتی قربانی بر روی آن کلیک می‌کند، به محتوای صندوق پستی (mailbox) دسترسی پیدا کرده، آن را بازیابی کند و ایمیل‌های کاربر را سرقت نماید.   
نمونه پیلود برای XSS:

نمونه پیلود برای HTML Injection:

همچنین به‌دلیل 0-Day بودن آسیب‌پذیری شناسه و شدت آن منتشر نشده است.
نسخه‌های تحت تاثیر این آسیب‌پذیری شامل آخرین نسخه (در حال حاضر 10.5.0–4370c946) و نسخه‌های قدیمی‌تر Axigen WebMail می‌شود.
برای برطرف سازی این آسیب پذیری:
•    نسخه‌های آسیب‌پذیر به‌روزرسانی شود.
•    به هیچ ورودی از کاربر اعتماد نکنید. تمام ورودی‌های کاربر غیرقابل اعتماد تلقی شود.
•    بسته به محل استفاده از ورودی کاربر، از یک تکنیک escaping/encoding مناسب استفاده شود: HTML escape, JavaScript escape, CSS escape, URL escape و غیره. از یک کتابخانه قابل اعتماد و تأیید شده برای تجزیه و پاکسازی HTML استفاده شود. کتابخانه بسته به زبان توسعه انتخاب شود، برای مثال HtmlSanitizer برای.NET یا SanitizeHelper برای Ruby on Rails
•    پرچم  HttpOnly را برای کوکی‌ها تنظیم کنید.
•    از یک سیاست امنیت محتوا (CSP)  استفاده شود.
•    برنامه‌های کاربردی وب بطور مرتب اسکن شوند.
•    از هدرهای پاسخ مناسب Content-Type و X-Content-Type-Options، استفاده شود. تا اطمینان حاصل شود که مرورگرها پاسخ‌ها را به روشی که شما می‌خواهید تفسیر می‌کنند.
•    از URL های جاوا اسکریپت  اجتناب شود.
•    از XSS مبتنی بر  DOM جلوگیری شود.
•    از سیستم Auto-Escaping Template استفاده شود.
•    از فریمورک های مدرن JS به درستی استفاده شود.
•    هدر X-XSS-Protection توسط مرورگرهای مدرن منسوخ شده است و استفاده از آن می‌تواند مسائل امنیتی بیشتری را در سمت مشتری ایجاد کند. به این ترتیب، توصیه می‌شود برای غیرفعال کردن XSS Auditor، هدر به صورت X-XSS-Protection:0 تنظیم شود و اجازه داده نشود که رفتار پیش فرض مرورگر که پاسخ را مدیریت می‌کند، گرفته شود.
•    HTML مقادیر JSON درزمینه HTML کدگذاری شود و داده‌ها با JSON.parse خوانده شود.
•    اسکریپت باید متاکاراکترها را از ورودی کاربر فیلتر کند.
•    این نوع حمله تزریق زمانی اتفاق می افتد که ورودی و خروجی به درستی تأیید نشده باشند. بنابراین قانون اصلی برای جلوگیری از حمله HTML اعتبارسنجی مناسب داده است.
•    هر ورودی باید بررسی شود که آیا حاوی کد اسکریپت یا کد HTML است. اگر کد حاوی هر اسکریپت خاص یا براکت های HTML باشد، باید بررسی گردد- <script></script>, <html></html>

•    تست امنیتی خوب، به کمک اسکنر یا بصورت دستی، نیز بخشی از پیشگیری است.

منابع و مراجع

چندین آسیب‌پذیری در افزونه Ninja Forms وردپرس کشف و شناسایی شده است که می‌تواند توسط مهاجمان برای سرقت داده‌های حساس و افزایش سطح دسترسی مورد سوءاستفاده قرار گیرد. این آسیب‌پذیری‌ها با شناسه‌های CVE-2023-37979، CVE-2023-38386 و CVE-2023-38393 ردیابی شده‌اند که نسخه‌های 3.6.25 و پایین‌تر این افزونه را تحت تاثیر قرار می‌دهند. Ninja Forms در بیش از 800,000 سایت نصب شده است.
آسیب‌پذیری با شناسه CVE-2023-37979 و شدت 7.1، یک نقص XSS بازتابی POST-based است که می‌تواند به کاربر احراز هویت نشده اجازه دهد تا با فریب دادن کاربران با دسترسی بالا برای بازدید از یک وب‌سایت جعلی، دسترسی‌های خود را در سایت وردپرس هدف، افزایش دهد. آسیب‌پذیری‌های CVE-2023-38386 و CVE-2023-38393 مربوط به نقص‌های کنترل دسترسی می‌باشند که مهاجم با استفاده از آن می‌تواند کلیه فرم‌ها را روی سایت وردپرس بفرستد.
همچنین یک نقص امنیتی مهم توسط شرکت امنیتی وردپرس در افزونه HT Mega با شناسه CVE-2023-37999 در نسخه‌های 2.2.0 و پایین‌تر کشف شده است که به کاربر احراز هویت نشده این امکان را خواهد داد تا سطح دسترسی خود را به نقش دلخواهش در سایت وردپرس افزایش دهد.
نسخه‌های 3.6.25 و پایین‌تر افزونه Ninja Forms تحت تاثیر این آسیب‌پذیری‌ها قرار خواهند گرفت. به مدیران سایت‌های وردپرس توصیه می‌شود مراقب باشند و به‌روزرسانی‌ها و وصله‌های امنیتی منتشر شده را جهت محافظت از وب‌سایت‌ خود در برابر خطرات امنیتی احتمالی اعمال کنند. آسیب‌پذیری مذکور در نسخه نسخه 3.6.26 وردپرس رفع شده است.

 منابع خبر

یک آسیب پذیری در پلاگین InstaWP Connect وردپرس کشف شده است و به عنوان بحرانی طبقه بندی شده است. این آسیب پذیری تابع events_receiver از کامپوننت Setting Handler را تحت تاثیر قرار می دهد. 
این آسیب پذیری بحرانی با شناسه CVE-2023-3956 و امتیاز 9.8 ارزیابی شده است. مهاجم تاییدهویت نشده، با استفاده از این آسیب پذیری می تواند پست و طبقه بندی را اضافه، اصلاح یا حذف کند، همچنین، افزونه را نصب، فعال یا غیرفعال کند. علاوه بر این، تنظیمات  را تغییر دهد، کاربر و مدیر را اضافه یا تغییر دهد و یا حذف کند. 
 پلاگین  InstaWP Connectوردپرس، این امکان را فراهم می کند تا وب سایت های وردپرسی برای آزمایش، توسعه و مرحله بندی در چند ثانیه ایجاد شوند. با استفاده از این پلاگین، سایت های وردپرس، در هر نقطه از اینترنت به InstaWP متصل می شوند. پس از اتصال سایت، وب سایت های مرحله بندی با یک کلیک از داخل پنال مدیریت WP ایجاد می شوند. 
InstaWP Connect در برابر دسترسی غیرمجاز به داده ها، تغییر داده ها و از دست دادن داده ها به دلیل بررسی قابلیت از دست رفته، در عملکرد events_receiver آسیب پذیر است.
هنگامی که یک مهاجم تلاش می کند به یک منبع دسترسی پیدا کند یا اقدامی را انجام دهد، نرم افزار بررسی مجوز را انجام نمی دهد و بر محرمانگی، یکپارچگی و دسترس پذیری تاثیر می گذارد. 

آسیب پذیری در پلاگین InstaWP Connect در نسخه های 0.0.9.18 و بالاتر تاثیرگذار است.

 منابع خبر

عوامل مخرب ناشناس از یک ویژگی جستجوی قانونی ویندوز برای دانلود پیلودهای دلخواه از سرورهای راه دور سوء استفاده می‌کنند و سیستم‌های هدف را با تروجان های دسترسی از راه دور مانند AsyncRAT و Remcos RAT آلوده می‌کنند.

به گفته شرکت Trellix، تکنیک حمله جدید، از کنترل‌کننده پروتکل «search-ms:» URI  بهره می‌برد که به برنامه‌ها و پیوندهای HTML امکان اجرای جستجوهای محلی دلخواه را می‌دهد. همچنین با استفاده از این ویژگی می‌توان پروتکل اپلیکیشن «search:» را فراخوانی کرد. محققین امنیتی Mathanraj Thangaraju و Sijo Jacob در روز پنجشنبه گفتند: مهاجمان، کاربران را به وب‌سایت‌هایی هدایت می‌کنند که از قابلیت search-ms با استفاده از جاوا اسکریپت میزبانی شده در صفحه استفاده می‌کنند. این تکنیک حتی به پیوست‌های HTML نیز گسترش یافته است و سطح حمله را گسترش می‌دهد.
در چنین حملاتی، عوامل تهدید مشاهده شده‌اند که ایمیل‌های فریبنده‌ای را ایجاد می‌کنند که لینک‌ها یا پیوست‌های HTML حاوی URL که کاربران را به وب‌سایت‌های در معرض خطر هدایت می‌کند، جاسازی می‌کنند. این باعث اجرای جاوا اسکریپت می‌شود که از کنترل‌کننده‌های پروتکل URI برای انجام جستجو در سرور تحت کنترل مهاجم استفاده می‌کند.

شایان ذکر است که با کلیک بر روی پیوند، هشداری نمایش داده می‌شود که "Windows Explorer را باز کنم؟"، با زدن دکمه تأیید، نتایج جستجوی فایل‌های میانبر مخرب میزبانی شده از راه دور در Windows Explorer به صورت فایل‌های PDF یا سایر نمادهای قابل اعتماد نمایش داده می‌شوند، درست مانند نتایج جستجوی محلی.
با استفاده از این تکنیک زیرکانه، کاربر متوجه نمی‌شود که فایل‌های ارائه شده به او، فایل‌های راه دور هستند. در نتیجه، کاربر احتمال بیشتری دارد که فایل را با فرض اینکه از سیستم خودش است باز کند و ناآگاهانه آن را اجرا کند.
اگر قربانی روی یکی از فایل‌های میانبر کلیک کند، منجر به اجرای یک کتابخانه پیوند پویا (DLL)  با استفاده از ابزار regsvr32.exe می‌شود. در گونه دیگری از این کمپین، از فایل‌های میانبر برای اجرای اسکریپت‌های PowerShell استفاده می‌شود که به نوبه خود، پیلودهای اضافی را در پس‌زمینه دانلود می‌کنند در حالی که یک سند PDF فریبنده را به قربانیان نمایش می‌دهند.
صرف نظر از روش مورد استفاده، آلودگی‌ها منجر به نصب AsyncRAT و Remcos RAT می‌شود که مسیری را برای عوامل تهدید ارائه می‌دهد تا از راه دور میزبان‌ها را کنترل کنند، اطلاعات حساس را سرقت کنند و حتی دسترسی را به مهاجمان دیگر بفروشند.
برای جلوگیری از این حملات، ضروری است که از کلیک کردن روی URLهای مشکوک یا دانلود فایل از منابع ناشناخته خودداری شود.

منبع

https://thehackernews.com/2023/07/hackers-abusing-windows-search-feature.html

محققان امنیت سایبری Aqua یک کمپین جدید کشف کردند که با پیکربندی نادرست سرورهایApache Tomcat، بدافزارهای بات‌نت Mirai را انتشار داده و یا از این طریق به استخراج ارز دیجیتال می‌پردازند. Apache Tomcat، یک سرور رایگان و منبع باز می‌باشد که از فناوری‌های Jakarta Servlet، Expression Language و WebSocket پشتیبانی کرده و یک محیط وب سرور “pure Java” HTTP  را ارائه می‌کند و به طور گسترده در Cloud، Big data وWebsite استفاده می‌شود. Aqua  طی دو سال، بیش از 800 حمله به هانی‌پات‌های سرور Tomcat خود شناسایی کرد که 96 درصد این حملات از طریق بات‌نت Mirai صورت گرفته‌ است؛ از بین این حملات،20 درصد (152مورد) آن‌ها از شل اسکریپت " neww" و 24 آی‌پی استفاده کرده‌اند و 68 درصد نیز از آی‌پی 104.248.157[.]218. حملات خود را انجام داده‌اند. بدافزار مذکور از هاست‌های آلوده، جهت سازماندهی حملات منع سرویس توزیع شده (DDoS) استفاده می‌کند.

مهاجم پس از ورود موفقیت‌آمیز، یک فایل WAR را با وب‌شل cmd.jsp مستقر کرده و از این طریق اجرای فرمان از راه دور را در سرور Tamcat که در معرض خطر است، امکان‌پذیر می‌کند. کل زنجیره حمله شامل دانلود و اجرای شل اسکریپتneww  می‌باشد که سپس با استفاده از دستور rm –rf حذف خواهد شد. در تصویر زیر، جریان حمله را مشاهده می‌کنید:

فایل WAR حاوی فایل‌های ضروری برنامه‌های کاربردی تحت‌وب از جمله HTML، CSS، Servlets و Classes می‌باشد.
در این حملات مهاجم با مجوز معتبر، به مدیریت برنامه وب نفوذ می‌کند، وب‌شل پنهان شده را در فایل WAR آپلود کرده و دستورات را از راه دور اجرا و حمله را آغاز می‌کند. شایان ذکر است که یافته‌ها حاکی از استخراج ارزهای دیجیتال با افزایش 399 درصدی و 332 میلیون حمله cryptojacking  در سراسر جهان در نیمه اول سال 2023 می‌باشد.
این بدافزار سرورهای Apache Tomcat و به تبع آن Cloud، Big data و Website را تحت تأثیر خود قرار می‌دهد.
تحلیلگران امنیت سایبری رعایت نکات زیر را جهت کاهش چنین حملاتی توصیه می‌کنند:
•    اطمینان از پیکربندی صحیح تمام محیط‌ها و ابزارها
•    اطمینان از اسکن مکرر محیط‌های خود در برابر تهدیدات ناشناخته
•    توانمندسازی توسعه‌دهندگان، DevOps و تیم‌های امنیتی با ابزارهای ابری (cloud-native) جهت اسکن آسیب‌پذیری‌ها و بررسی پیکربندی‌های نادرست 
•    استفاده از راه‌حل‌ها و تشخیص مناسب در زمان اجرا و پاسخ به موقع به آن‌ها
منبع خبر

https://gbhackers.com/hackers-attack-apache-tomcat-servers/

دو خانواده بدافزار جدید اندرویدی به نام‌های CherryBlos و FakeTrade در Google Play کشف شدند که هدفشان سرقت اعتبارنامه ارزهای دیجیتال و سرقت وجوه یا کلاهبرداری بود. گونه‌های بدافزار جدید توسط Trend Micro کشف شدند که هر دو را با استفاده از زیرساخت‌های شبکه و گواهی‌های مشابه مشاهده کردند که نشان می‌دهد عوامل تهدید یکسانی آنها را ایجاد کرده‌اند. برنامه‌های مخرب از کانال‌های توزیع مختلف، از جمله رسانه‌های اجتماعی، سایت‌های فیشینگ و برنامه‌های خرید فریبنده در Google Play، فروشگاه برنامه رسمی اندروید استفاده می‌کنند.
بدافزار CherryBlos برای اولین بار در آوریل 2023، در قالب یک فایل APK (بسته اندرویدی) که در تلگرام، توییتر و یوتیوب تبلیغ شده بود، تحت پوشش ابزارهای هوش مصنوعی یا استخراج‌کننده سکه توزیع شد.
ویدیوی YouTube در حال تبلیغ یک برنامه حامل CherryBlos (Trend Micro)

نام‌های مورد استفاده برای APKهای مخرب GPTalk، Happy Miner، Robot999، و SynthNet هستند که از وب‌سایت‌های زیر با نام‌های دامنه منطبق دانلود شده‌اند:

یک برنامه مخرب Synthnet نیز در فروشگاه Google Play آپلود شد، و قبل از آنکه گزارش و حذف شود، تقریباً هزار بار دانلود شد. CherryBlos یک دزد ارز دیجیتال است که از مجوزهای سرویس Accessibility برای دریافت دو فایل پیکربندی از سرور C2، تأیید خودکار مجوزهای اضافی و جلوگیری از کشتن برنامه تروجان شده توسط کاربر سوء استفاده می‌کند.
CherryBlos از طیف وسیعی از تاکتیک‌ها برای سرقت اعتبار و دارایی‌های ارزهای دیجیتال استفاده می‌کند که تاکتیک اصلی آن بارگذاری رابط‌های کاربری جعلی است که از برنامه‌های رسمی تقلید می‌کنند تا با استفاده از فیشینگ، اعتبارنامه دریافت کنند. 
اما یک ویژگی جالب‌تر، استفاده از OCR است. به عنوان مثال، هنگام راه‌اندازی کیف پول‌های ارز دیجیتال جدید به کاربران عبارت/رمز عبور بازیابی شامل ۱۲ کلمه یا بیشتر داده می‌شود که می‌تواند برای بازیابی کیف پول در رایانه استفاده شود. برخی کاربران از این رمز، عکس می‌گیرند، هر چند این کار توصیه نمی‌شود. این بدافزار می‌تواند با استفاده از OCR، رمز را از این عکس‌ها استخراج کند.
تحلیلگران Trend Micro اتصالاتی به یک کمپین در Google Play پیدا کردند که در آن 31 برنامه کلاهبرداری که مجموعاً "FakeTrade" نامیده می‌شود از زیرساخت‌ها و گواهی‌های شبکه C2 یکسان با برنامه‌های CherryBlos استفاده می‌کردند. این برنامه‌ها از تم‌های خرید یا فریب‌های پول‌سازی استفاده می‌کنند که کاربران را فریب می‌دهد تا تبلیغات تماشا کنند، با اشتراک‌های ممتاز موافقت کنند، یا کیف پول درون‌برنامه‌ای خود را پر کنند و هرگز به آن‌ها اجازه دریافت پاداش‌های مجازی را ندهند.
این برنامه‌ها از رابط کاربری مشابهی استفاده می‌کنند و عموماً کاربران مالزی، ویتنام، اندونزی، فیلیپین، اوگاندا و مکزیک را هدف قرار می‌دهند در حالی که بیشتر آنها بین سال‌های 2021 تا 2022 در Google Play آپلود شده‌اند. گوگل به BleepingComputer گفت: «ما ادعاهای امنیتی و حریم خصوصی علیه برنامه‌ها را جدی می‌گیریم و اگر اپلیکیشنی سیاست‌های ما را نقض کرده باشد، اقدام مناسب را انجام خواهیم داد». اما از آنجا که تا به حال هزاران کاربر این اپ‌ها را دانلود کرده‌اند، پاک کردن دستی آنها از روی دستگاه لازم است.

منبع:

https://www.bleepingcomputer.com/news/security/new-android-malware-Uses-ocr-to-steal-credentials-fr…

یک آسیب‌پذیری bypass تایید هویت در Ivanti EPMM به کاربران غیرمجاز اجازه می‌دهد تا بدون تایید هویت مناسب، به عملکرد یا منابع محدود برنامه دسترسی داشته باشند. این آسیب پذیری با شناسه CVE-2023-35078 و امتیاز 10.0 که رویIvanti Endpoint Manager Mobile تاثیر می گذارد، اکسپلویت شده است.
در صورت اکسپلویت موفق آسیب پذیری، مهاجم تایید هویت نشده و راه دور می تواند به اطلاعات شخصی کاربران دسترسی داشته باشد و تغییرات محدودی در سرور ایجاد کند. CVE-2023-35078  یک آسیب‌پذیری bypass احراز هویت است که اجازه می‌دهد API احراز هویت نشده از راه دور، به مسیرهای خاص دسترسی داشته باشد. مهاجم با دسترسی به این مسیرهای API  می‌تواند به اطلاعات شناسایی شخصی (PII) مانند نام، شماره تلفن و سایر جزئیات دستگاه تلفن همراه کاربران در یک سیستم آسیب‌پذیر دسترسی داشته باشد. مهاجم همچنین می‌تواند پیکربندی را از طریق bypass تایید هویت تغییر دهد و از طریق ایجاد یک حساب اداریEPMM ، تغییرات بیشتری در یک سیستم آسیب‌پذیر ایجاد کند.
3    محصولات تحت تأثیر
آسیب‌پذیری CVE-2023-35078 همه نسخه‌های پشتیبانی‌شده، از جمله نسخه‌های 11.4، 11.10،11.9 ، 11.8 و نسخه های قدیمی تر را تحت تأثیر قرار می‌دهد. 
وصله های امنیتی برای رفع آسیب پذیری Ivanti EPMM (MobileIron) منتشر شده است. با ارتقاء به نسخه-های 11.8.1.1، 11.9.1.1،  11.10.00,02این آسیب پذیری رفع خواهد شد. 
منابع خبر