Hidden Cobra / KeePass Password Manager w groźnym pakiecie

Cyberprzestępcy ukradną w tym roku 2 bln dolarów! Do kosmicznych zysków cyberprzestępców cegiełkę swoją z pewnością dołożą nowe ataki Hidden Cobry, złośliwe oprogramowanie Xwo skanujące strony internetowe w poszukiwaniu podatności jak również nowy program ransomware MegaCortex infekujący sieci firmowe. Więcej przeczytacie w prasówce.

1. DHS i FBI ponownie ostrzegają przed Hidden Cobra

Departament Bezpieczeństwa Wewnętrznego Stanów zjednoczonych (DHS) oraz Federalne Biuro Śledcze (FBI) po raz kolejny w ostatnich tygodniach wydały wspólne ostrzeżenie. Przestrzegają w nim przed nowym, złośliwym oprogramowaniem stworzonym przez grupę Hidden Cobra. Ta, łączona z Koreą Północną grupa, znana również pod nazwami Lazarus i BlueNoroff, prowadzi w ostatnich tygodniach wzmożoną działalność. Informowaliśmy Was o atakach nowego trojana Hoplighta, jak również o działaniach wymierzonych w firmy zajmujące się kryptowalutami i w technologiczne startupy (więcej tutaj).

ElectricFish, przed którym obecnie ostrzegają DHS i FBI, to narzędzie wiersza poleceń do tunelowania ruchu z zainfekowanych urządzeń. W momencie, gdy hakerom uda się ustanowić sesję TCP pomiędzy źródłowym, a docelowym adresem IP to szkodliwe narzędzie wdroży niestandardowy protokół, który pozwoli na szybki i wydajny ruch między maszynami. Złośliwy program dostarczany jest jako 32-bitowy wykonywalny plik systemu Windows. Pozwala cyberprzestępcom skonfigurować serwer proxy i połączyć się z systemem znajdującym się wewnątrz niego pomijając wymagane uwierzytelnienie.

Źródło: 1 | 2

2. Xwo – program, który wyszukuje podatności w sieci

Złośliwe oprogramowanie Xwo skanuje strony i platformy internetowe w poszukiwaniu luk w zabezpieczeniach oraz domyślnych haseł, które mogą zostać wykorzystane przez cyberprzestępców.

Program łączy w sobie cechy różnych rodzin złośliwego oprogramowania, takich jak: ransomware , botnety, robaki oraz programy kopiące kryptowaluty.

Po wyszukaniu podatnego portalu Xwo gromadzi m.in.: dane uwierzytelniające w tym hasła do chronionych usług. Informacje przesyła na serwery C&C za pomocą żądań HTTP POST. Cyberprzestępcy mogą wykorzystać te dane do przekierowania ruchu z portali na złośliwe domeny (zwykle z rozszerzeniem .tk), których zadaniem jest kradzież danych. Za odzyskanie wykradzionych informacji przestępcy żądają od swoich ofiar zapłacenia okupu.

Źródło

3. KeePass Password Manager w pakiecie ze złośliwym oprogramowaniem

W internecie funkcjonuje wiele fałszywych stron stworzonych w celu promowania popularnego oprogramowania. W pakiecie z programami takimi jak np. 7zip, Inkscape, Gparted, Paint.Net, Scribus, Audacity, Stellarium, Celestia, CloneZilla, KeePass, Notepad2, UNetBootIn, Gimp, czy HandBrak instalują na komputerach ofiar złośliwe oprogramowanie.

Przykładem takiej strony jest odkryta w zeszłym tygodniu keepass.com, która wygląda jak oficjalna strona tego popularnego oprogramowania do zarządzania hasłami. Na stronie znajdują się 4 linki służące do pobrania wersji KeePass dla Windowsa, Windowsa Portable, Maca oraz Linuxa. Tylko ostatni z nich kieruje na legalną stronę keepass.info. Kliknięcie w pozostałe 3 linki uruchamia instalator, który poza właściwym programem instaluje także pakiet niechcianego i potencjalnie złośliwego oprogramowania. Podczas instalacji ujawnia również informacje o komputerach ofiar: posiadanym sprzęcie, lokalizacji, korzystaniu z VPN oraz weryfikuje czy użytkownik posiada uprawnienia administratora.

Przykład ten pokazuje jak ważne jest pobieranie i instalowanie programów wyłącznie z zaufanych stron. Pamiętajcie, aby zaprzestać instalacji, w momencie, gdy instalator wymusza na Was pobranie innego programu. Kontynuacja może skutkować zainfekowaniem Waszych komputerów.

Źródło

4. Nowy ransomware MegaCortex infekuje sieci firmowe

W zeszłym tygodniu wykryto 47 ataków nowego programu szyfrującego o nazwie MegaCortex infekującego sieci korporacyjne w Stanach Zjednoczonych, Kanadzie, Francji, Holandii, Irlandii oraz we Włoszech.

Na chwilę obecną nie wiadomo zbyt wiele na temat sposobów w jaki cyberprzestępcy uzyskują dostęp do sieci, z jakich algorytmów szyfrowania korzysta ich nowy program oraz jakie mają żądania finansowe.

Z analizy dotychczasowych infekcji wiadomo, że po przeniknięciu do sieci ofiar MegaCortex rozpowszechnia się przy pomocy kontrolerów domeny. Cyberprzestępcy uruchamiają w nich Cobalt Strike’a – oprogramowanie wykorzystywane w testach penetracji sieci. Ma to na celu wywołanie odwróconej powłoki (ang. reverse shell) do hosta atakującego. Używając jej przestępcy uzyskują zdalny dostęp do kontrolera i konfigurują go do dystrybucji kopii głównego pliku wykonywalnego PsExec złośliwego oprogramowania, a także pliku wsadowego do wszystkich komputerów w sieci. Następnie wykonują pliki wsadowe zdalnie za pośrednictwem PsExec.

Notatka o okupie pojawia się w katalogu głównym dysku twardego ofiary jako zwykły plik tekstowy. W treści notatki znajdują się odwołania i cytaty z kultowego filmu Matrix.

Ataki MegaCortexa zdają się być powiązane ze znanym złośliwym oprogramowaniem Emotet i Qbot, których obecność stwierdzono w zainfekowanych sieciach. Może to oznaczać, że twórcy nowego ransomware’a płacą operatorom trojanów za dostęp do zainfekowanych przez nie systemów.

Źródło: 1 | 2 | 3

5. Wyciek danych z popularnego internetowego rynku korepetytorów Wyzant

Wyzant, posiadający swoją siedzibę w Chicago w Stanach Zjednoczonych, to popularna internetowa platforma ułatwiająca uczniom oraz ich rodzicom znalezienie odpowiedniego nauczyciela-korepetytora z 250 przedmiotów oraz różnych dziedzin życia. Platforma posiada w swojej bazie danych ponad 2 miliony zarejestrowanych użytkowników i 76 tysięcy nauczycieli.

Wyzant w zeszłym tygodniu powiadomił za pośredniednictwem poczty elektronicznej swoich klientów, że nieznany napastnik mógł uzyskać dostęp do ich bazy danych.W wyniku incydentu wykradzione mogły zostać dane osobowe klientów, takie jak: imię, nazwisko, adres e-mail, kod pocztowy, a w przypadku klientów, którzy logują się do platformy za pomocą Facebooka, także ich profil na Facebooku.

W odpowiedzi na to zdarzenie Wyzant przeprowadził szeroko zakrojony audyt całej swojej infrastruktury bezpieczeństwa oraz wdrożył dodatkowe środki bezpieczeństwa mające na celu zapobieganie ponownemu wystąpieniu takiej sytuacji. Firma zapewniła, że ściśle współpracuje z organami ścigania w celu wyjaśnienia zdarzenia. Platforma ostrzegła również swoich klientów przed potencjalnymi ukierunkowanymi atakami phishingowymi, w których cyberprzestępcy mogą próbować wykorzystać wykradzione dane do nakłonienia ich do podania informacji o kartach kredytowych czy danych uwierzytelniających.

Źródło

6. Firefox z kolejnymi funkcjami Tora

Mozilla zapowiada, że zamierza zintegrować wybrane funkcje szyfrowanej sieci Tor z przeglądarką Firefox w celu udostępnienia trybu Super Private Browsing (super prywatnego przeglądania).

W tym celu Mozilla rozwiązać musi jednak problem nieefektywności Tora oraz zoptymalizować protokół by możliwe było jego wdrożenie na masową skalę. Doprowadziłoby to do zwiększenia liczby użytkowników korzystających z funkcji zapobiegających analizie ruchu sieciowego, co zapewniłoby im prywatność i anonimowość w internecie.

Na przestrzeni ostatnich kilku lat Mozilla wprowadziła już do Firefoxa szereg funkcji prywatności z przeglądarki Tor. Dla przykładu funkcję Cross-Origin Identifier Unlinkability, która po raz pierwszy dodana została do wydanego latem 2017 r. Firefoxa 55. Funkcja ta umożliwia blokowanie reklamodawców przed śledzeniem użytkowników tej przeglądarki w internecie.

Źródło

7. Jak duży jest Dark Web?

Przed tygodniem informowaliśmy, że niemiecka policja we współpracy z Europolem, policją holenderską oraz FBI zamknęły „Wall Street Market” – jeden z największych nielegalnych rynków internetowych na świecie (więcej tutaj).

Rodzi się pytanie ile pozostaje wciąż działających, nielegalnych platform umożliwiających handel narkotykami, skradzionymi danymi, fałszywymi dokumentami czy złośliwym oprogramowaniem? Odpowiedzi na to pytanie udziela raport firmy Recorded Future specjalizującej się w analizowaniu sieci, w tym jej ciemnej strony, w celu wykrywania zagrożeń i wyprzedzania ataków cyberprzestępców. Z ustaleń firmy wynika, że istnieje 55 828 domen .onion, z czego aktywnych jest 8 416. Domeny te dostępne są za pośrednictwem szyfrowanej sieci Tor, która zapobiega analizie ruchu sieciowego co zapewnia użytkownikom anonimowy dostęp do zasobów Internetu.
Ile spośród przeszło 8 tysięcy aktywnych domen .onion wykorzystywanych jest w działalności przestępczej? Zdaniem ekspertów Recorded Future tylko około 100. Ponadto utrzymują oni, że znaczna ich część inwigilowana jest przez organy ścigania, które zbierają dowody przeciwko działającym za ich pośrednictwem przestępcom.

Tezę tą zdają się potwierdzać ostatnie zatrzymania. W tym roku poza Wall Street Market zamknięte zostały bowiem również fińska Valhalla oraz amerykański Dream Market.

Źródło

8. Ilość oszustw phishingowych w social mediach wzrosła o 75%

Eksperci z Cisco Systems szacują, że w 2019 roku hakerzy ukradną 2 bln dolarów. W tym samym czasie 38 milionów Polaków wypracuje PKB… czterokrotnie niższy (!)

Przestępczy proceder kwitnie, a jedną z najchętniej wykorzystywanych metod oszustwa od lat pozostaje phishing. Wyniki raportu „Phishers Favorites” wskazują, że hakerzy w przeprowadzanych atakach phishingowych najchętniej wykorzystują wizerunek: Microsoftu, PayPala, Netflixa, Facebooka, DHL, Bank of America, Apple, Credit Agricole czy Dropboxa.

Najwyższą dynamikę wzrostu w pierwszych 3 miesiącach 2019 roku odnotowały oszustwa przeprowadzone za pośrednictwem mediów społecznościowych. Ogółem ich liczba zwiększyła się o blisko 75%. Na liście najczęściej używanych do działań phishingowych portali znalazły się Facebook, Linkedin oraz Instagram.

Skąd tak duży wzrost zainteresowania przestępców mediami społecznościowymi? Z ich rosnącej popularności. Z danych raportu “Digital 2019” wynika, że konta w social mediach posiada 45% całej populacji. Z trzech najchętniej używanych do ataków portali korzysta na co dzień 4,5 mld użytkowników (!). Spędzają oni w nich średnio 2 godziny i 16 minut dziennie. Warto również zauważyć, że co czwarty użytkownik wykorzystuje social media w swojej pracy. Ilość powstających profili firmowych oraz rosnącą rola social mediów w komunikacji sprawiają, że możemy być pewni, iż ilość czyhająca w nich zagrożeń będzie w dalszym ciągu sukcesywnie wzrastać.

Źródło