Twój cotygodniowy przegląd newsów

Już 15 kwietnia rusza ostatni sezon Gry o Tron. Wszystkim fanom serialu (do których i siebie zaliczamy) zalecamy unikanie pirackich torrentów. Dlaczego? O tym między innymi w naszym najnowszym przeglądzie newsów prasy IT.

1.Pirackie odcinki “Gry o tron” nośnikami złośliwego oprogramowania

Na premierę pierwszego odcinka ostatniego, ósmego już sezonu Gry o Tron czekają setki milionów fanów na całym świecie. Olbrzymie zainteresowanie serialem HBO i zarazem niechęć do wykupienia abonamentu na platformie VOD sprawia, że miliony osób (jak miało to miejsce we wcześniejszych latach) sięga po nielegalną alternatywę i śledzi dalsze losy bohaterów korzystając np. z pirackich serwisów torrentowych.

Takiej okazji nie zwykli przepuszczać cyberprzestępcy…

Sięgnięcie po piracką wersję może mieć niezwykle przykre konsekwencje. Kara wymierzona zostanie nie przez producentów serialu, a przez hakerów, którzy przysporzyć mogą użytkownikom niemałych problemów.

Cyberprzestępcy infekują bowiem torrenty udające tytułem i wielkością odcinki produkcji HBO. Bardziej zaawansowani użytkownicy zreflektują się, że z pobranym plikiem coś jest nie tak, gdyż ma np. inne niż tradycyjne rozszerzenie. Mniej ostrożni wraz z odpaleniem takiego odcinka otworzą przysłowiową puszkę Pandory, która zawierać może aż 33 plagi i nieszczęścia. Tyle bowiem typów złośliwych plików znaleziono analizując pirackie serwisy posiadające w swoich zasobach Grę o tron.

Rodzi się pytanie czy warto, aż tak ryzykować?

Firmy Kaspersky Lab przeanalizowała pod kątem zagrożeń 31 najpopularniejszych w zeszłym roku produkcji filmowych (bazując na rankingach IMDB, Rotten Tomatoes, czy TorrentFreak). Ze sporządzonego raportu wynika, że 3 najchętniej wykorzystywane przez hakerów, jako nośniki złośliwego oprogramowania, produkcje to seriale: Gra o tron, The Walking Dead oraz Arrow. W samym 2018 roku za pośrednictwem pirackich serwisów zawirusowanych zostało 126 340 urządzeń na całym świecie. 17% tej liczby, czyli blisko 21 tysięcy urządzeń przypada na zajmującą pierwsze miejsce na tej liście produkcję HBO. I to pomimo faktu, że w zeszłym roku nie ukazał się żaden nowy odcinek tego serialu (!)

Pełną listę seriali oraz szczegółowe dane znajdziecie w cytowanym raporcie dostępnym w serwisie securelist.com.

Źródło

2. Nvidia łata 13 podatności w procesorach Tegra

Nvidia Corporation, producent układów scalonych, opublikował poprawki 13 luk bezpieczeństwa (8 z nich sklasyfikowanych zostało jako istotne) w pakietach sterowników Tegra dla systemu Linux. Podatności umożliwiały ujawnienie informacji, ataki DoS oraz zdalne wykonanie kodu w systemach dotkniętymi usterkami.

Aktualizacje oprogramowania usprawniły pracę płyt Nvidia Jetson TX1 i TX2 wyposażonych w procesor Tegra. Są to systemy o małej mocy zaprojektowane by przyspieszyć uczenie maszynowe obsługiwanych urządzeń. Płyty stosowane są w robotach, dronach, inteligentnych kamerach oraz przenośnych urządzeniach medycznych.

Użytkownicy urządzeń z płytami Jetson Nvidia winni się upewnić, czy ich oprogramowanie zostało zaktualizowane do wersji R28.3.

Źródło

3. Farmaceutyczny koncern Bayer ofiarą cyberataku

Niemiecki producent leków poinformował, że na początku 2018 roku wykrył w swoich systemach złośliwe oprogramowanie. Firma postanowiła przyjrzeć mu się bliżej by odkryć cel ataku oraz stojących za nim napastników.

Złośliwe oprogramowanie zostało usunięte z końcem marca 2019 r., kładąc kres tajnym działaniom diagnostycznym Bayera we własnym systemie. Trwa szacowanie strat.

Przedstawiciele farmaceutycznego giganta uważają, że nie ma żadnych dowodów na kradzież danych firmowych. Producent poinformował, że za atakiem stoi powiązana z władzami chińskimi grupa hakerów Winnti. Grupa ta kojarzona jest m.in.: z mającym znamiona szpiegostwa przemysłowego cyberatakiem na ThyssenKrupp. Celem ataku była bowiem kradzież informacji oraz własności intelektualnej tego niemieckiego giganta technologicznego.

Czy podobny cel przyświecał również atakowi na farmaceutyczny koncern? Tego przedstawiciele firmy Bayer nie precyzują i nie podają żadnych dalszych informacji na temat celów oraz zakresu przeprowadzonego ataku.

Źródło

4. Skrypty sczytują dane kart płatniczych z tysięcy stron z płatnościami online

Pod wspólną nazwą JS-Sniffer kryje się aż 38 unikalnych rodzin skryptów ze złośliwym kodem JavaScript. Wykorzystywane są one przez grupy Magecart, czyli wyspecjalizowanych cyberprzestępców gromadzących dane finansowe z niedostatecznie zabezpieczonych systemów płatności online. JS-Sniffer to na ogół kilka linijek kodu, które hakerzy wprowadzają do stron internetowych w celu przechwycenia danych podawanych przez użytkowników w trakcie internetowych płatności kartami, takich jak numery kart, nazwiska, adresy oraz hasła.

Obecność tego typu złośliwych kodów stwierdzono na blisko 2,5 tys. witryn internetowych. Szacuje się, że codziennie odwiedza je blisko 1,5 miliona unikalnych użytkowników (!)

Na podziemnych forach DarkWebu można kupić lub wynająć takie kody. Ich cena nie jest wygórowana i waha się w przedziale od 250 do 5000 dolarów. Skradzione przy ich pomocy dane przestępcy odsprzedać mogą w tym samym miejscu za stawkę od 1 do 5 dolarów za sztukę. Choć trafiają się i takie dochodzące do 15 dolarów za sztukę. Innym sposobem spieniężenia przestępczego procederu jest zakup towarów na koszt ofiar i późniejsza ich odsprzedaż po atrakcyjnych cenach.

Niestety, jako kupujący jesteśmy wobec tego typu ataków praktycznie bezbronni. Nie sposób bowiem przestudiować setek kilobajtów kodu JavaScriptu, aby sprawdzić, czy ktoś na stronie danego sklepu internetowego nie czyha na nasze dane. Uniknięcie tego rodzaju ataków leżeć winno w gestii firm prowadzących sprzedaż online. Musiałyby one zrezygnować z zewnętrznych skryptów JS osadzanych na stronach oraz regularnie monitorować integralność stron. Łatwo powiedzieć, dużo trudniej zrealizować.

Czy widać jakieś światełko w tym tunelu? Owszem, bezpieczniejszym rozwiązaniem okaże się korzystanie z wirtualnych kart kredytowych.

Źródła: 1 | 2

5. Tuzin amerykańskich serwerów rozprzestrzenia 10 rodzin złośliwego oprogramowania

Na dwunastu serwerach zarejestrowanych w Stanach Zjednoczonych odkryto dziesięć różnych rodzin złośliwego oprogramowania, które dystrybuowane były za pośrednictwem kampanii phishingowych powiązanych z botnetem Necurs.

Na serwerach tych znajdowało się pięć rodzin trojanów bankowych (Dridex, Gootkit, IcedID, Nymaim i Trickbot), dwa warianty oprogramowania ransomware (Gandcrab i Hermes) oraz trzy programy odpowiedzialne za wykradanie informacji z zakażonych systemów (Fareit, Neutrino i Azorult).

Infrastruktura poczty elektronicznej i hostingu została oddzielona od serwerów C&C. Sugeruje to specjalizację i podział wśród grup stojących za atakami przeprowadzanymi z wykorzystaniem tej infrastruktury informatycznej. Inne grupy cyberprzestępców odpowiedzialne były za pocztę elektroniczną i hosting, a inne za zarządzanie złośliwym oprogramowaniem.

Przebieg ataków oraz wykorzystywane w ich trakcie taktyki zbieżne były zdaniem ekspertów z tymi stosowanymi przez operatorów botnetu Necurs.

Źródło

6. Wyciekły dane 540 milionów użytkowników Facebooka

Tydzień bez informacji o wycieku danych użytkowników społecznościowego giganta… to tydzień stracony. Winowajcami najnowszego są dwie firmy zewnętrzne, które zbierały dane o użytkownikach Facebooka za pośrednictwem swoich aplikacji. Firmy nienależycie zabezpieczyły dane przechowywane na serwerach chmurowych Amazona. Niemniej jednak, powtarzające się cyklicznie incydenty skłaniają do refleksji, na ile bezpieczne jest powierzanie swoich danych Facebookowi?

Pierwsza z niewłaściwie zabezpieczonych baz danych ważyła 146 GB i zawierała nazwy użytkowników, identyfikatory, komentarze oraz polubienia 540 milionów ludzi. Administratorem tej bazy była meksykańska “Cultura Colectiva”. Firma poinformowana o nieprawidłowo zabezpieczonym serwerze, wyciek danych uszczelniła… po upływie 3 miesięcy od zgłoszenia (!)

Drugi z serwerów należał do zintegrowanej z Facebookiem, niedziałającej od kilku lat, aplikacji “At the Pool”. W internecie nic nie ginie… z całą pewnością nie dane zbierane przez aplikacje. Wśród tych, zgromadzonych przez “At the Pool”, znajdowały się: informacje o ID i kontach użytkowników, listy znajomych, polubienia, multimedia (w tym zdjęcia) oraz hasła. Te ostatnie dotyczyły kont aplikacji, a nie samego Facebooka. 22 tys. haseł przechowywanych było jako plain text, bez żadnego szyfrowania i zabezpieczenia. Ciekawe ile z nich, było jednocześnie wykorzystywanych przy logowaniu do serwisu społecznościowego.

Źródło

7. Facebooka dał ciała… po raz kolejny

Społecznościowy gigant został przyłapany na pytaniu swoich użytkowników o hasła do kont mailowych. O tej bulwersującej praktyce, za pośrednictwem Twittera, poinformował użytkownik o pseudonimie “e-sushi”.

Przed dwoma tygodniami informowaliśmy o innej “wpadce” Facebooka, a mianowicie bazie blisko 600 milionów nie zaszyfrowanych haseł użytkowników znajdujących się na serwerze w wewnętrznej sieci firmy. Przypomnijmy, że dostęp do tych danych mieli tylko pracownicy… a dokładniej 20 000 pracowników (więcej tutaj). W tym tygodniu okazało się, że jeżeli chcecie założyć konto, portal może poprosić o Wasze hasło do konta mailowego. Monit ten pojawia się tylko dla kont mailowych od dostawców poczty elektronicznej, których Facebook uważa za podejrzanych. Niemniej nasuwa się pytanie do czego serwisowi potrzebne jest hasło do Waszego maila? Czy w celu autoryzacji nie wystarczy odebranie maila wysłanego na podany w procesie rejestracji adres i przepisanie zawartego w nim kodu?

Pamiętajcie by nigdy nie podawać swoich haseł. Nawet (lub, w świetle ostatnich informacji, zwłaszcza), gdy prosi o nie Facebook. Żaden serwis nie ma prawa domagać się podania hasła do jakiegokolwiek innego z Waszych kont, poza własnym.

Źródło

8. Kampanie phishingowe o tematyce podatkowej w USA

W Stanach Zjednoczonych trwa właśnie szczyt sezonu podatkowego. Fakt ten nie uszedł uwadze cyberprzestępców, którzy przygotowali i przeprowadzili w ostatnim czasie kilka kampanii phishingowych. Podejmowane przez nich działania mają na celu zachęcenie ofiar do pobrania złośliwego oprogramowania lub wyłudzenie informacji finansowo-podatkowych przy pomocy fałszywych strony Internal Revenue Service (IRS), czyli Amerykańskiego Urzędu Skarbowego.

Jedna z kampani skierowana została do biur księgowych. W rozesłanych mailach przestępcy zawarli informacje o zarobkach oraz ulgach przysługujących podatnikowi o imieniu Tymothy. Wiadomości zawierały złośliwe załączniki w postaci dokumentów udających wypełnione formularze podatkowe. Włączenie makr w tych dokumentach, przez nieświadomych zagrożeń odbiorców, inicjowało pobranie na komputer ofiar wirusa Remcos RAT. Przy jego pomocy przestępcy uzyskiwali dostęp do deklaracji podatkowych wszystkich podatników przechowywanych w zainfekowanym komputerze.

WiadomoścI mailowe innej kampanii phishingowej zawierały adresy URL, które przekierowywały ofiary do sfabrykowanego formularza online lub na fałszową stronę logowania IRS. Przy pomocy formularza przestępcy zbierali informacje finansowo-podatkowe, a przy pomocy strony logowania dane uwierzytelniające ofiar.

Koniec kwietnia się zbliża, a wraz z nim termin składania zeznań podatkowych w Polsce. Dodajmy pierwszy rok obowiązywania nowego, w swoich założeniach automatycznego, systemu rozliczania się z fiskusem. Czy faktycznie będzie automatyczny to już wkrótce zweryfikujemy. Zachowajmy czujność, gdyż nieznajomość systemu mogą chcieć wykorzystać w swoich kampaniach cyberprzestępcy… oby tak się nie stało.

Źródło