Przez ostatnie miesiące xHelper uprzykrzał życie wielu użytkownikom. Wszystko jednak wskazuje na to, że specjaliści opracowali metodę na skuteczne usunięcie złośliwego oprogramowania. W tym tygodniu także: hackerzy posłużyli się fałszywym ProtonVPN aby zebrać większe żniwo infekcji AZORult oraz rośnie liczba malware wykorzystująca szyfrowane kanały komunikacji. Dodatkowo: Google usuwa ze Sklepu Play 600 aplikacji (dlaczego, dowiecie się poniżej), Microsoft ma problemy z zarządzaniem tysiącami subdomen a także wielki wyciek danych klientów hoteli MGM.
1. xHelper już nie tak groźny – malware można odinstalować
Na temat xHelper pisaliśmy po raz pierwszy w listopadzie 2019. Program po zdobyciu dostępu do urządzenia, instaluje się jako oddzielna i niezależna usługa. Odinstalowywanie nic nie daje, ponieważ zagrożenie nadal jest na urządzeniu i jest w stanie kontynuować wyświetlanie reklam oraz powiadomień. Jednak po dziesięciu miesiącach prac, specjaliści odkryli metodę na usunięcie xHelper.
W jaki sposób odinstalować xHelper?
- Zainstaluj z Google Play menadżera plików. Ważne żeby aplikacja była w stanie wyświetlać katalogi oraz wyszukiwać pliki.
- Tymczasowo dezaktywuj Google Play.
- Uruchom skaner – specjaliści wykorzystali do tej operacji soft Malwarebytes – następnie przeszukaj fireway, xHelper oraz ustawienia.
- Wyszukaj w menadżerze plików com.mufc.
- Następnie usuń z urządzenia wszystkie pliki com.mufc.
- Po zakończeniu usuwania wszystkich groźnych elementów malware, możesz ponownie aktywować Google Play.
Czy to działa? Specjaliści są przekonani, że rozwiązanie sprawdzi się w praktyce. Kolejne tygodnie pokażą, czy mają rację. Jest jednak spora szansa, że xHelper przestanie być utrapieniem wielu użytkowników…
2. Fałszywy ProtonVPN wykorzystany do infekowania malwarem AZORult
Jednym z najskuteczniejszych sposobów nakłonienia użytkowników do instalowania złośliwego oprogramowania jest podszywanie się pod popularne i rozpoznawalne rozwiązania. Grupa stojąca za malware AZORult często sięga po taką taktykę – tym razem wykorzystali ProtonVPN, z którego korzysta ponad 2 mln użytkowników.
AZORult i kolonowanie
Hakerzy za pomocą HTTrack sklonowali oficjalną stronę jProtonVPN (protonvpn [.] Com), następnie uzbroili instalator w złośliwe oprogramowanie AZORult. Nieprawdziwa domena ProtonVPN została zarejestrowana w listopadzie 2019 poprzez jedną z rosyjskich usług rejestracyjnych. Po zakończeniu instalacji, program zbiera wszelkie dostępne wrażliwe dane, jak hasła, informacje finansowe, historię przeglądarki, pliki cookies oraz znacznie więcej. Następnie przesyła je na serwer C&C (accounts[.]protonvpn[.]store).
Dodatkowo AZORult wykrada kryptowaluty – z każdego portfela, który został zainstalowany lokalnie na urządzeniu. Nie zapominajmy o kradzieży danych uwierzytelniających do WinSCP, messenger’a Pidgin itp.
Od pewnego czasu hackerzy wykorzystują także w swoich atakach złośliwe kampanie reklamowe, a dokładniej sieci banerów afiliacyjnych.
3. Malware i HTTPS, niepokojąco doskonały duet
Mamy rok 2020 i HTTP stało się zdecydowanie passe. Niezabezpieczone serwisy pozycjonują się znacznie gorzej w wyszukiwarkach internetowych. Przeglądarki ostrzegają użytkowników, że dana wejście na witryna HTTP może stanowić zagrożenie.
Nowy, bezpieczniejszy świat? Niekoniecznie. Można było przewidzieć, że cyberprzestępcy również porzucą HTTP na rzecz HTTPS. Nie tylko strony pobierania oraz serwisy phishingowe komunikują się teraz za pomocą TLS. Bardzo duża liczba malware wykorzystuje szyfrowanie HTTPS – prawie jedna czwarta!
Zbliżamy się do momentu, gdy całkowite blokowanie HTTP nie będzie już uchodziło za niezawodny sposób na cyberbezpieczeństwo.
Dobra wiadomość: porównując ruch malware przez port 80 (zwykle dozwolony przez zapory ogniowe i prawie w całości wykorzystywany do połączeń HTTP) z ruchem poprzez port 443 (port TCP, który jest powszechnie używany do ruchu HTTPS), ten drugi jest nadal dużo rzadszy. Zła wiadomość – stanowi już jednak jedną czwartą komunikacji.
Malware zwykle wykorzystuje standardowe połączenia internetowe m.in. do:
- Pobierania dodatkowych modułów oraz aktualizacji. Większość badanych przez specjalistów próbek zagrożeń posiada wbudowaną funkcję automatycznych aktualizacji. Po sprzedaży dostępu do zainfekowanych urządzeń, przestępcy są z ich pomocą wykonać „upgrade” do nowej infekcji.
- Pobieranie instrukcji z serwerów C&C. W ten sposób przestępcy zarządzają m.in. botnetami.
- Wysyłania skradzionych danych. Przestępcy maskują te działania udając normalne surfowanie po internecie. W ten sposób utrudniają także wyłapanie swojej aktywności przez skanery.
W jaki sposób najlepiej chronić firmową infrastrukturę przed zakusami cyberprzestępców? Stosując wielopoziomowe zabezpieczenia: NGFW, rozwiązania łączące analizę behawioralną ze zdobyczami uczenia maszynowego, DLP oraz backup. Więcej na ten temat przeczytacie w naszym raporcie Cyberbezpieczeństwo: Trendy 2020.
4. Google wypowiada wojnę reklamom spoza aplikacji – wyrzuca 600 appek i banuje deweloperów
Google opracowało plan wyeliminowania deweloperów aplikacji na Androida, którzy łamią zasady Play Store, wyświetlając reklamy spoza aplikacji. Mowa tu o takich, które pochodzą z jednej appki, ale wyświetlają się nad innymi lub na ekranie głównym urządzenia, a ich pochodzenie nie jest oczywiste dla użytkowników.
W czwartek Google wyrzucił z Play Store 600 aplikacji i zbanował odpowiedzialnych z nie deweloperów. Ten zakaz monetyzacji reklam dotyczy ich również na innych platformach, takich jak Google AdMob i Google Ad Manager. Może się okazać, że nie będą już w stanie zarabiać na swoich programach. Jednym z zablokowanych deweloperów jest Cheetah Mobile – jeden z największych producentów aplikacji na Androida na świecie.
Specjalista Google twierdzi, że interwencja nastąpiła zaraz po tym, jak dowiedzieli się o nowych technikach, których używają programiści do wyświetlania reklam poza aplikacją. Pozwoliło im na to nowe narzędzie oparte na uczeniu maszynowym, które wykrywa takie działania.
Wojna z reklamami spoza aplikacji to jeden z punktów trzyetapowego planu uzdrowienia Play Store, który przygotował Google. Drugim z nich jest publikacja lepszych narzędzi dla twórców aplikacji, które pomogą im w osiągnięciu zgodności ze standardami branży reklamowej. Na koniec, firma planuje zmienić sposób działania samego Androida. Szczegóły nie są jednak na ten moment znane.
5. Microsoft: możliwe przejęcie tysiąca subdomen
Michel Gaschet, specjalista bezpieczeństwa z NIC.gp. w wywiadzie dla ZDNet zdradza, że Microsoft ma problemy z zarządzaniem tysiącami subdomen. Według niego wiele z nich można przejąć i wykorzystać do ataków na użytkowników i pracowników lub do wyświetlania spamerskich treści. W rozmowie zdradza, że w ciągu ostatnich trzech lat zgłosił Microsoftowi blisko 300 subdomen ze źle skonfigurowanymi DNS, ale firma zignorowała raporty lub po cichu zabezpieczała tylko wybrane z nich – od 5 do 10%. Naprawione zostały duże subdomeny takie jak cloud.microsoft.com, account.dpedge.microsoft.com. Te mniejsze wciąż narażone są na przejęcie.
Winne DNS. Według Gascheta większość poddomen Microsoft jest podatna na podstawowe błędne konfiguracje w odpowiednich wpisach DNS. Przyczyną jest zapomniany wpis DNS wskazujący na coś, co już nie istnieje lub nigdy nie istniało, jak literówka w treści wpisu – tłumaczy.
Czym to grozi? W hipotetycznym scenariuszu osoba atakująca może przejąć jedną z tych subdomen i hostować na niej strony phishingowe w celu zebrania danych logowania pracowników Microsoft, partnerów biznesowych, czy użytkowników. Na szczęście nie wykryto jeszcze śladów wykorzystania błędów w ten sposób.
Gaschet zauważył jednak, że co najmniej jedna grupa spamowa przejęła i wykorzystała podatność. Mowa o reklamach indonezyjskich kasyn pokerowych, które pojawiły się na czterech legalnych subdomenach Microsoftu – portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com i blog-ambassadors.microsoft.com.
Według niego jednym z powodów, dla których Microsoft nie traktuje priorytetowo naprawiania tych problemów, jest to, że „przejęcia subdomeny” nie są częścią programu premiowania błędów firmy. To oznacza z kolei, że żadne raporty nie są traktowane priorytetowo, nawet pomimo powagi zgłaszanych w nich problemów.
6. Wyciek danych 10,6 mln gości hotelowych MGM Resorts
Prawdopodobnie już o tym słyszałeś, ale nie mogliśmy pominąć tego tematu. Dane osobowe ponad 10,6 miliona użytkowników, którzy przebywali w hotelach i kasynach MGM Resorts, zostały opublikowane w ubiegłym tygodniu na forum hakerskim.
Oprócz informacji o turystach i podróżnikach, znajdują się również dane osobowe i kontaktowe do celebrytów, dyrektorów technicznych, reporterów, urzędników państwowych i pracowników niektórych największych światowych firm technologicznych. Wśród pokrzywdzonych jest m.in. CEO Twitter’a Jack Dorsey czy piosenkarz Justin Bieber.
W plikach znajdują się takie dane osobowe jak: imię i nazwisko, adresy domowe, numery telefonów, e-maile i daty urodzenia. Dane finansowe i płatnicze według zapewnień hotelu są bezpieczne.
Rzecznik MGM Resorts potwierdził, że do wycieku doszło w wyniku incydentu za pośrednictwem poczty elektronicznej, który miał miejsce ponad rok temu, o czym poinformował poszkodowanych.
Ponadto sieć hoteli i kasyn deklaruje, że zaangażowała już dwie firmy zajmujące się kryminalistyką cyfrową, aby przeprowadzić wewnętrzne dochodzenie w sprawie narażenia serwerów z zeszłego roku i wzmocnienia zabezpieczeń.
Według Iriny Niestierowskiej, szefa działu badań w firmie KELA zajmującej się zagrożeniami, dane gości hotelowych MGM Resorts były udostępniane na niektórych zamkniętych forach hakerskich od co najmniej lipca ubiegłego roku. Uważa się, że haker, który opublikował te informacje, ma powiązanie lub jest członkiem GnosticPlayers, grupy, która udostępniła ponad miliard rekordów użytkowników w 2019 r. Sprawę jako pierwszą zbadał ZDNet.
Przypominamy tylko, że MGM to nie jedyny hotel, który ucierpiał w wyniku ataku czy incydentu bezpieczeństwa. Wcześniej dane zostały wykradzione z Mandarin Oriental i Trump Hotels. Wciąż jednak trudno “przebić” Marriotta, z którego wyciekły setki milionów danych, a sama sieć dwa lata zbierała się do poinformowania o tym klientów.