Хакер #305. Многошаговые SQL-инъекции
Журналисты издания ZDNet привлекли внимание инженеров Mozilla к многочисленным злоупотреблениям сервисом Firefox Send, который активно использовался для распространения малвари. В настоящее время работа сервиса временно приостановлена (на время проведения расследования), и разработчики обещают улучшить его и добавить кнопку «Сообщить о нарушении».
Firefox Send был запущен в марте 2019 года. Сервис представляет собой приватный файловый хостинг и позволяет пользователям Firefox обмениваться файлами. Все файлы, загруженные и переданные через Firefox Send, хранятся в зашифрованном виде, и пользователи могут сами установить срок хранения файлов на сервере, а также задать допустимое количество загрузок до истечения этого «срока годности». Сервис был доступен всем пользователям по адресу send.firefox.com.
Хотя инженеры Mozilla планировали Firefox Send, думая о конфиденциальности и безопасности своих пользователей, начиная с конца 2019 года сервис стал весьма популярен не у простых людей, а у разработчиков малвари.
В большинстве случаев хакеры эксплуатируют сервис очень простым способом: загружают полезные нагрузки малвари в Firefox Send, где файл сохраняется в зашифрованном виде, а затем вставляют ссылки на этот файл, к примеру, в свои фишинговые письма.
ZDNet пишет, что в последние несколько месяцев Firefox Send использовался для хранения пейлоадов самых разных кампаний, от вымогателей до финансово ориентированной малвари, от банковских троянов до спайвари, атаковавшей правозащитников. Сервисом злоупотребляли такие известные хак-группы, как FIN7, REVil (Sodinokibi), Ursnif (Dreambot) и Zloader.
Британский ИБ-эксперт Колин Харди объясняет, какие именно факторы привлекают авторов вредоносных программ в сервисе Firefox Send. Так, URL-адреса Firefox считаются надежными во многих организациях, то есть спам-фильтры фильтры не обнаруживают и не блокируют их. К тому же злоумышленникам не приходится вкладывать время и деньги в создание и поддержание собственной инфраструктуры, если они используют серверы Mozilla. И, как уже было упомянуто выше, Firefox Send шифрует файлы, что препятствует работе защитных решений, а ссылки на скачивание малвари могут быть настроены таким образом, чтобы срок их действия истекал через определенное время или количество скачиваний, что затрудняет работу ИБ-экспертов.
Растущее количество вредоносных операций, связанных Firefox Send, не ускользнуло и от внимания ИБ-сообщества. Из-за этого в течение нескольких последних месяцев эксперты регулярно жаловались на отсутствие механизма сообщения о злоупотреблениях или кнопки «Пожаловаться на файл», которые могли бы использоваться для пресечения вредоносных операций.
Готовя публикацию об этих проблемах, журналисты ZDNet обратились к Mozilla за комментарием, желая узнать позицию организации по поводу размещения вредоносного ПО, а также статус разработки механизма сообщения о нарушениях.
Ответ Mozilla удивил и журналистов и ИБ-специалистов, так как организация немедленно приостановила работу сервиса Firefox Send и сообщила, что работает над его улучшением.
«Мы временно переведем Firefox Send в автономный режим, пока будем улучшать продукт. Перед повторным запуском [сервиса] мы добавим механизм подачи отчетов о нарушениях, чтобы дополнить существующую форму обратной связи, а также будем требовать от всех пользователей, желающих поделиться контентом с помощью Firefox Send, войти в систему с помощью учетной записи Firefox», — заявили представители Mozilla.
В настоящее время сроки возвращения Firefox Send в онлайн неизвестны. Все ссылки на Firefox Send перестали работать, а значит все вредоносные кампании, использовавшие сервис, тоже временно выведены из строя.