Czy słyszeliście już o nowym wirusie szyfrującym NamPoHyu, złośliwej kampanii, której celem byli użytkownicy iPhonów oraz o wysiłkach Googla zmierzających do wyeliminowania złośliwych aplikacji ze sklepu Google Play? Szczegóły poniżej.
1.NamPoHyu – ransomware inny niż wszystkie
Co nowatorskiego jest w odkrytym programie szyfrującym? Sposób w jaki atakuje ofiary. W standardowym ataku ransomware infekcja instaluje się na komputerze lokalnie np. po kliknięciu w złośliwy załącznik e-mail czy włamaniu się do komputera lub sieci. NamPoHyu wyszukuje dostępne serwery Samby, wymusza hasła za pomocą ataków typu brute-force, a zamiast wykonywalnego pliku na komputerze ofiary, atakujący lokalnie uruchamia oprogramowanie i zdalnie szyfruje dostępne pliki na serwerach Samba.
Wyszukiwarka Shodan identyfikująca urządzenia podłączone do internetu pokazuje, że istnieje przeszło 500.000 (!) nieuwierzytelnionych i publicznie dostępnych serwerów Samby. Liczba ta obrazuje skalę możliwego zagrożenia.
Po raz pierwszy aktywność nowej rodziny złośliwego oprogramowania odnotowano w marcu 2019 r. Wirus MegaLocker zaszyfrował wówczas NASy swoich ofiar. Z początkiem kwietnia program zmienił swoją nazwę na NamPoHyu. Za przywrócenie plików cyberprzestępcy żądają od użytkowników indywidualnych równowartości 250 dolarów amerykańskich w bitcoinach. Przedsiębiorcy zapłacić muszą 4-krotnie więcej. Na uregulowanie płatności hakerzy dają 10 dni. Wniesienie okupu nie daje jednak ŻADNEJ gwarancji na odzyskanie plików i dokumentów…
Trwają pracę nad sposobem przywracania danych zaszyfrowanych przez NamPoHyu. Warto jednak chronić się “na zapas”. W jaki sposób? Chociażby tworząc kopie zapasowe.
2. Wymierzona w ukraińskie władze kampania phishingowa
Ukraiński rząd oraz wojsko są celami nieustającej kampanii phishingowej trwającej od wybuchu konfliktu zbrojnego w Donbasie, czyli od 2014 roku. Ataki te są stałym elementem działań dezinformacyjnych oraz szpiegowskich prowadzonych na szkodę Ukrainy przez Rosję oraz wspieranych przez nią separatystów.
Najnowszy incydent miał miejsce w styczniu 2019 roku i był tzw. atakiem ukierunkowanym (z ang. spear phishing). Celem były osoby odpowiedzialne w imieniu władz ukraińskich za współpracę z firmą Armtrac, brytyjskim producentem sprzętu wojskowego. Przestępcy podszywając się pod tę firmę umieszczali w wiadomościach dwa szkodliwe pliki: MS Word oraz LNK. Ich otwarcie uruchamiało złośliwy skrypt PowerShella, który z serwera C&C pobierał na komputery ofiar backdoora o nazwie RATVERMIN.
Atak przypisuje się wspieranym przez Rosję separatystom z samozwańczej Ługańskiej Republiki Ludowej.
3. Złośliwa kampania wycelowana w użytkowników iPhonów
Nowa złośliwa kampania wykorzystuje lukę Chrome’a w przeglądarce mobilnej systemu iOS. Jej celem jest przekierowanie użytkowników iPhonów i iPadów na strony adware i phishingowe.
Podatność Chrome’a pozwala złośliwemu kodowi ukrytemu w reklamach złamać ograniczenia atrybutu sandbox i przekierować użytkownika na inną stronę lub wyświetlać kolejne natrętne pop up’y.
Za kampanią stoi grupa eGobbler, której aktywność można obserwować zwłaszcza przed większymi świętami. W przeszłości atakowała m.in.: w przeddzień Święta Dziękczynienia. Działania grupy wymierzone są w głównej mierze w użytkowników amerykańskich. Ostatnia fala złośliwych reklam wykorzystujących podatność Chrome’a zanotowała 500 milionów wyświetleń. Większość z nich miała miejsce między 6 a 10 kwietnia 2019 roku.
4. Chipset Broadcom ma groźne podatności
Sterowniki chipsetu Broadcom WiFi zawierają luki bezpieczeństwa pozwalające cyberprzestępcom na zdalne wykonywanie kodu oraz ataki DoS. Układy te są niezwykle popularne. Występują w smartfonach, laptopach, telewizorach Smart oraz wielu innych urządzeniach IoT. Korzysta z nich aż 166 producentów, w tym tak znani jak: Apple, Cisco, Blackberry, Dell, HTC, Huawei, Intel, Lenovo, Microsoft, Nokia, Phillips, Samsung, Sony czy Toshiba. Pełna lista producentów tutaj.
Przy pomocy odkrytych podatności (m.in: błędu przepełnienia buffora) zdalni i nieuwierzytelnieni napastnicy mogą wysłać złośliwie spreparowane pakiety WiFi w celu wykonania dowolnego kodu na zagrożonych urządzeniach lub przeprowadzenia za ich pośrednictwem ataków DoS.
5. Podatności Microsoft Office głównym narzędziem ataków cyberprzestępców
Cyberprzestępcy w 70% ataków wykorzystują słabe punkty pakietu Microsoft Office, co czyni z niego główne narzędzie w ich rękach. Wyprzedza tym samym przeglądarki internetowe i Adobe Flash, które jeszcze 3 lata temu znajdowały się na szczycie zestawienia.
Zdaniem ekspertów ds. cyberbezpieczeństwa najczęściej wykorzystywane w atakach słabe strony nie znajdują się w samym pakiecie MS Office, lecz w powiązanych z nim przestarzałych komponentach. Dwie najczęściej wykorzystywane podatności ukryte są w edytorze równań obecnym we wszystkich wersjach popularnego Worda wydanych w ciągu ostatnich 17 lat. Dzięki stworzeniu exploita, który podatności te potrafi wykorzystać hakerzy dotrzeć mogą do bardzo licznej grupy ofiar. Zdają sobie oni również sprawę z faktu, że Microsoft prawdopodobnie nie usunie tych komponentów w najbliższym czasie, ponieważ negatywnie wpłynęłyby to na kompatybilność programów wchodzących w skład pakietu.
6. Google walczy z atakami man-in-the-middle
Jakiś czas temu Google zaczęło wymagać włączenia JavaScript przy korzystaniu z przeglądarki. Teraz firma idzie o krok dalej ogłaszając aktualizację zabezpieczeń systemu logowania użytkowników. Celem tej zmiany jest ochrona przed atakami phishingowymi typu man-in-the-middle (MitM). Wszelkie próby logowania użytkowników przy wykorzystaniu wbudowanych technologii przeglądarek będą blokowane (począwszy od czerwca 2019 r.). Wliczając w to próby uwierzytelniania za pomocą takich narzędzi jak Chromium Embedded Framework (CEF), XULRunner i inne.
Skąd taki pomysł? W ostatnim roku cyberprzestępcy nadużywali tego typu narzędzi do przeprowadzania ataków MitM. Użytkownik wprowadzał dane uwierzytelniające na stronie phishingowej, a hakerzy używali wbudowanej struktury przeglądarki do automatyzacji operacji logowania na prawdziwym serwerze Google’a.
Google zaleca developerom, którzy wykorzystują CEF aby stosowali uwierzytelnienie OAuth. Jest nie tylko bezpieczniejsze, ale także umożliwia userowi wyświetlenie pełnego adresu url strony, na której podają swoje dane.
7. Przychody tysięcy sklepów widoczne za sprawą podatności w API Shopify
Luka bezpieczeństwa w API jednej z najbardziej znanych i prężnie rozwijających się platform sklepowych na świecie mogła zostać wykorzystana do uzyskania danych o przychodach tysięcy sklepów. Shopify, bo o nim mowa, obsługuje przeszło 800 000 handlowców w 175 krajach na całym świecie.
Podatność odkrył Ayoub Fathi, inżynier ds. bezpieczeństwa aplikacji oraz łowca bug’ów. Przeprowadził kontrolę na skalę masową by sprawdzić, czy i jakie informacje wyciekają przez API Shopify. Na podstawie przeprowadzonych testów odkrył wyciek danych, za który odpowiada aplikacja Shopify Exchange. Luka bezpieczeństwa pozwoliła badaczowi uzyskać informacje o miesięcznych przychodach 11 100 sklepów.
Informacje o odkrytej podatności przekazał platformie e-commerce. Jego ustalenia zostały przez firmę potwierdzone po upływie zaledwie trzech dni od zgłoszenia i natychmiast naprawione.
Shopify uznało wadę swojego oprogramowania za istotną, ale zdecydowało nie wypłacać nagrody za to odkrycie. Firma uznała bowiem, że przeprowadzanie samodzielnych testów narusza politykę bezpieczeństwa, a tym samym zasady przyznawania nagród za wskazanie błędów w oprogramowaniu.
8. Google zaprzestaje gry w kotka i myszkę z niegrzecznymi programistami Androida
Do tej pory efekty walki z autorami złośliwych aplikacji w Google Play były wysoce niesatysfakcjonujące. Przypominały znaną z kreskówek rywalizację Toma & Jerrego. Kot pozostawał wobec pomysłowości rezolutnej myszy bezradny… Podobnie było również w przypadku internetowego giganta. O złośliwych programach dostępnych w aplikacjach dystrybuowanych za pośrednictwem sklepu Google Play pisaliśmy m.in. tutaj.
Google w końcu postanowił przechylić szalę w swoim kierunku. W jaki sposób? Aktualizując API oraz zasady bezpieczeństwa – część programistów utraciła możliwość dystrybucji swoich aplikacji za pośrednictwem sklepu Google Play. W tym celu zablokowano również część kont twórców aplikacji, którzy mieli na sumieniu naruszenie zasad chroniących użytkowników Androida.
Google zapowiedział poddanie programistów bardziej rygorystycznym procesom weryfikacji. Dotyczyć one będą w szczególności developerów nie posiadających historii publikacji. Ma to na celu ukrócenie otwierania przez autorów niebezpiecznych aplikacji nowych kont lub przejmowania kont innych programistów w celu publikowania zainfekowanych aplikacji.
Internetowy gigant przyznał, że mogą pojawić się pomyłki w ocenie twórców, choć szanse na ich wystąpienie szacuje na 1%. Niewinnym, których rykoszetem zablokuje, pozostawił ścieżkę odwoławczą, prowadzącą do przywrócenia konta.
Użytkownicy telefonów domagają się, by Google zwiększył kontrolę wykorzystywania ich danych osobowych przez aplikacje działające na Androidzie. Odpowiedzią są zmiany w polityce Google Play. m.in. wymóg ujawniania przez twórców aplikacji danych, które będą zbierać, a także ograniczenie im dostępu do wybranych funkcji telefonów.
Z początkiem sierpnia, Google zacznie wymagać również, aby aplikacje współpracowały z najnowszym, bezpieczniejszym dla użytkowników API systemem Android.