Android po raz kolejny znalazł się pod ostrzałem. Urządzeniom mobilnym zagraża zarówno ulepszony wariant trojana bankowego BianLian jak i combo złośliwego oprogramowania WannaHydra. W tym tygodniu również nt. podatności systemów MacOS oraz Windows, a także lukach bezpieczeństwa w produktach IBM’a. Miłej lektury.
1. IBM łata krytyczną podatność w Spectrum Protect
IBM wydał aktualizację usuwającą siedem luk bezpieczeństwa w narzędziach IBM Analytics Planning, Daeja ViewONE oraz Security Guardium.
Najpoważniejsza z tych podatności (CVE-2019-4087) miała wpływ na pamięć masową oraz serwery chronione przez IBM Spectrum Protect. Jest to platforma bezpieczeństwa umożliwiającą centralizację tworzenia kopii zapasowych oraz odzyskiwania danych.
Błąd przepełnienia bufora (ang. buffer overflow) uzyskał ocenę istotności na poziomie 9,8. Wynikał z niewłaściwego sprawdzania ograniczeń serwerów oraz pamięci. Podatność ta występowała w wersjach 7.1 oraz 8.1 platformy.
2. W Firefoxie można wykraść dane z komputera przy pomocy pliku HTML
Za sprawą „wiekowego” bo aż 17-letniego problemu przeglądarki Firefox, cyberprzestępcy są w stanie wykraść pliki przechowywane na komputerach ofiar.
Problem: Firefox implementuje zasady same origin dla schematu file://URI (Uniform Resource Identifiers) w sposób umożliwiający każdemu plikowi w tym folderze na uzyskanie dostępu do innych danych.
Barak Tawily zajmujący się testowaniem bezpieczeństwa aplikacji opracował exploita, którego następnie wykorzystał do kontrolowanego ataku na przeglądarkę. Najpierw we wspomnianej lokalizacji zapisał złośliwy kod html. Następnie bez większych problemów pobrał pliki znajdujących się w zagrożonym folderze. Tawily mógł w ten sposób przeglądać zgromadzone tam dane oraz przesłać interesujące go pliki na zdalny serwer za pomocą protokołu HTTP.
Zagrożenie: atak wymaga wiedzy z zakresu socjotechnik, mimo to wielu użytkowników może łatwo paść jego ofiarą. Tym bardziej, że Mozilla nie zamierza zająć się rozwiązaniem problemu w najbliższym czasie.
3. Sodin ransomware wykorzystuje lukę w zabezpieczeniach systemu Windows
Sodin ransomware (znany również jako Sodinokibi i REvil), który w czerwcu 2019 roku uderzył w dostawców usług zarządzanych (ang. Managed Service Provider – więcej tutaj) rozprzestrzenia się po świecie wykorzystując lukę CVE-2018-8453 w celu podniesienia uprawnień w systemie Windows (rzadko spotykanym wśród oprogramowania ransomware). Złośliwy program wykorzystuje również architekturę procesora do obejścia rozwiązań bezpieczeństwa.
Nowy ransomware uderza obecnie głównie w ofiary z Tajwanu, Hongkongu, Korei Południowej, Japonii, Malezji, Wietnamu, Niemiec, Włoch, Hiszpanii oraz Stanów Zjednoczonych.
Sodin wykorzystuje opisaną w 2000 roku, czyli rzec by można starożytną technikę “Niebiańskiej Bramy” (ang. Heaven’s Gate) w celu obejścia rozwiązań zabezpieczających, takich jak zapory sieciowe i programy antywirusowe. Technika wykorzystuje błąd w systemach 64-bitowych Windows. 32-bitowe aplikacje działające w systemie 64-bitowym mogą nakłonić system operacyjny do wykonania 64-bitowego kodu, pomimo początkowego zadeklarowania się jako procesy 32-bitowe. “Niebiańska Brama” chętnie wykorzystywana była przez cyberprzestępców w pierwszej dekadzie XXI wieku. Jej popularność spadła na skutek wprowadzenia przez Microsoft funkcji Control Flow Guard w systemie Windows 10. Starsze wersje Windowsa nadal są wrażliwe na tę technikę, co wykorzystują twórcy Sodina.
Złośliwy program posiada klucz szkieletowy (ang. skeleton key) w swoim kodzie, który stanowi backdoora procesu szyfrowania. Pozwala on twórcom Sodina na przywrócenie zaszyfrowanych przez program plików bez znajomości klucza. Sugerować to może, że program ten dystrybuowany jest w modelu ransomware-as-a-service.
4. Ulepszony wariant trojana bankowego BianLian atakuje urządzenia Android
BrianLian początkowo był tylko dropper’em złośliwych programów, które atakowały urządzenia z systemem Android. Jednak dzięki systematycznym aktualizacjom stał się „pełnoprawnym” trojanem bankowym. Do tego niebezpiecznym.
Dzięki dodatkowym komponentom wysyła, odbiera oraz rejestruje SMS-y, uruchamia dowolne kody USSD i wykonuje połączenia. Blokuje ekrany zaatakowanych urządzeń, wstrzykuje powiadomienia push oraz przeprowadza ataki typu overlay umożliwiające kradzież danych uwierzytelniających.
Najnowszy wariant rozbudowano o możliwość rejestrowania ekranów zainfekowanych urządzeń. Jest również w stanie tworzyć serwery SSH, które ukrywają jego kanały komunikacji.
Nowe funkcjonalności, nawet jeżeli nie są nowatorskie, czynią go niebezpiecznie skutecznym. Co stawia BrianLian na równi z innymi dużymi graczami w obszarze złośliwego oprogramowania bankowego.
5. Magento z groźnymi podatnościami pozwalającymi na przejęcie witryny internetowej
Wykryte podatności umożliwiają przejęcie sesji administracyjnej, a w efekcie pełnej kontroli nad sklepem internetowym.
Cyberprzestępcy wykorzystują cross-site-scripting w celu osadzenia kodu JavaScript w panelu administracyjnym Magento. Po przejęciu sesji i wykonaniu remote code execution mogą przejąć kontrolę nad zaatakowanym sklepem. Wtedy są już w stanie przekierowywać płatności klientów na własne konta, jak również kraść informacje nt. podpiętych kart kredytowych.
Zagrożone są sklepy, które korzystają z bramki płatności Authorize.Net. Problem kryje się bowiem w błędnej implementacji tego rozwiązania. Niestety jest to bardzo popularny moduł, wykorzystywany przez sporą grupę użytkowników.
6. 111 złośliwych aplikacji z ponad 9 mln pobrań z Google Play
W ostatnich dniach znów stało się głośno o Google Play. Wszystko za sprawą trwającej od 2018 roku kampanii adware, dystrybuowanej przez aż 111 aplikacji, które łącznie wygenerowały 9 349 000 pobrań.
Analiza pakietów, etykiet, czasów publikacji, a także struktur i funkcji kodów wszystkich tych programów ujawniła, że choć teoretycznie stworzone zostały przez różnych programistów to wszystkie stanowiły część tej samej złośliwej kampanii.
Po zainstalowaniu, aplikacje działały zgodnie z przeznaczeniem. Natarczywe reklamy pojawiały się dopiero po pewnym czasie. Były aktywne nawet wtedy, gdy sama aplikacja nie była wykorzystywana. Przycisk umożliwiający ich zamknięcie pojawiał się dopiero po pewnym czasu. Programy ukrywały swoje ikonki co miało utrudnić ich odinstalowanie.
Żadna ze złośliwych aplikacji nie jest już dostępna w sklepie Google Play.
7. WannaHydra – nowe zagrożenie dla urządzeń Android OS
Najnowszy wariant WannaLocker jest zarówno trojanem bankowym, narzędziem szpiegujących jak i ransomware.
WannaHydra wykorzystywany jest obecnie przez cyberprzestępców w kampanii wymierzonej w klientów czterech brazylijskich banków. Wchodzący w skład WannaHydry trojan bankowy wyświetla na urządzeniach z Androidem fałszywy interfejs aplikacji bankowej i nakłania klientów do zalogowania się w celu rozwiązania problemu z kontem. Po zainstalowaniu szkodliwe oprogramowanie zbiera informacje o producencie urządzenia, numerze telefonu, dziennikach połączeń, wiadomościach tekstowych, zdjęciach, liście kontaktów, czy lokalizacji GPS. Na koniec, ransomware wchodzący w skład pakietu szyfruje pliki.
WannaHydra znajduje się obecnie w fazie rozwoju. Niewykluczone, że docelowo przestępcy “wzbogacą” go o dodatkowe funkcje. Brazylijski atak wydaje się być tylko testem bojowym. Jeśli zakończy się sukcesem, program może zagrozić użytkownikom urządzeń z systemem Android na dużo szerszą skalę.
8. Nowe złośliwe oprogramowanie wymierzone w komputery Mac
CrescentCore to koń trojański, który udaje aktualizację Flash Playera. Użytkownicy Mac’a mogą się na niego “nadziać” odwiedzając odpowiednio spreparowane strony. Po uruchomieniu fałszywej paczki instalacyjnej, wirus sprawdza czy działają programy antywirusowe oraz czy nie jest instalowany na maszynie wirtualnej. W obu przypadkach automatycznie się zamknie, aby nie zdradzić swojej prawdziwej natury. Jeżeli użytkownik nie korzysta z dobrego antywirusa, CrescentCore zainstaluje złośliwy program Advanced Mac Cleaner oraz wtyczkę do Safari.
Inne realne zagrożenie dla użytkowników Mac’ów stanowi niezałatana przez Apple podatność w MacOS Gatekeeper. Narzędzie to w swoich założeniach miało zapewnić, że na komputerach Mac uruchamiane będą wyłącznie aplikacje, wtyczki oraz pakiety instalacyjne pochodzące z zaufanych i sprawdzonych źródeł. W narzędziu odkryto jednak lukę, dzięki której Gatekeeper „przepuści” m.in. złośliwą aplikację zapisaną na dysku sieciowym.