Google nadal zmaga się z trzymaniem niebezpiecznych aplikacji z dala od Sklepu Play. Tym razem specjaliści natrafili na złośliwe aplikacje gamingowe wzbogacone o malware z rodziny HiddenAds. Aplikacje pobrano 8 milionów razy… Tak, zdecydowanie – Google wciąż boryka się z bezpieczeństwem w swoim marketplace.
1. Botnet KashmirBlack atakuje systemy CMS – WordPress, Joomla, Drupal i inne
KashmirBlack, wyrafinowany botnet infekuje setki tysięcy witryn internetowych wykorzystując znane luki w systemach zarządzania treścią (CMS).
Badacze bezpieczeństwa z Imperva, stwierdzili, że głównym celem botnetu wydaje się infekowanie witryn internetowych, a następnie wykorzystanie ich serwerów do kopania kryptowalut. Innym jest przekierowywanie legalnego ruchu w witrynie na strony ze spamem oraz w mniejszym stopniu wymazywanie stron.
W 2019 roku, kiedy pojawił się po raz pierwszy, KashmirBlack był małym botnetem, który po kilku miesiącach przekształcił się w poważne zagrożenie, zdolne do atakowania tysięcy witryn dziennie. Obecnie jest zarządzany przez jeden serwer C&C i wykorzystuje ponad 60 niewinnych serwerów zastępczych jako część swojej infrastruktury. Obsługuje setki botów, z których każdy komunikuje się z C&C, aby otrzymywać nowe cele, przeprowadzać ataki typu brute force, instalować backdoory i zwiększać rozmiar botnetu.
KashmirBlack rozwija się skanując Internet w poszukiwaniu witryn używających nieaktualnego oprogramowania, a następnie wykorzystuje exploity dla znanych luk w zabezpieczeniach, aby zainfekować witrynę i jej serwer. Luki te dotyczą platform CMS takich jak WordPress, Joomla!, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart i Yeager, a także ich wewnętrznych komponentów i bibliotek.
Specjaliści z Imperva twierdzą, że botnet jest dziełem hakera nazywanego Exect1337, członka indonezyjskiej grupy hakerskiej, PhantomGhost.
Źródło: ZDNet
2. HiddenAds malware znaleziony w 21 aplikacjach z 8 milionami pobrań z Google Play
Pomimo starań Google’a o bezpieczeństwo użytkowników Androida, malware od czasu do czasu prześlizgnie się system zabezpieczeń Google Play Store. Potwierdzili to specjaliści z Avast, którzy ostatnio znaleźli w nim 21 złośliwych aplikacji. Ze sklepu Google’a zniknęło już 15 z nich.
Mowa tu o apkach gamingowych, które zawierały ukryte złośliwe oprogramowanie reklamowe (ang. adware) z rodziny HiddenAds. Łącznie mają blisko 8 milionów pobrań!
HiddenAds malware udaje zabawną i użyteczną apkę, która w rzeczywistości wyświetla natrętne reklamy poza aplikacją. Unika wykrycia i usunięcia udając bezpiecznie wyglądające reklamy i chowając ikony aplikacji. W tym przypadku zagrożenie było zamaskowane jako gra obiecująca użytkownikom angażującą rozrywkę.
Jak się chronić? Zawsze sprawdzajmy aplikacje, które chcemy zainstalować na urządzeniu, nawet jeśli pochodzą z legalnego źródła, jakim jest Google Play Store. Warto sprawdzić opinie, rating i zwrócić uwagę na uprawnienia jakich wymaga appka do instalacji. Jeżeli coś wydaje nam się podejrzane, lepiej zrezygnować niż narazić się na utratę danych.
3. Nowy wariant TrickBot krąży już w sieci i przejmuje podatne urządzenia Linux
Niespełna dwa tygodnie temu Microsoft wspólnie z FS-ISAC, ESET, Black Lotus Labs, NTT oraz Symantec podjął się próby wyłączenia infrastruktury command&control botneta TrickBot. Ostatecznie Microsoft był w stanie wyłączyć:
- 120 z 128 serwerów składających się na infrastrukturę TrickBot,
- 62 z 69 oryginalnych serwerów C&C – aktywne pozostały tylko te, które są urządzeniami IoT (o zabezpieczaniu urządzeń Internetu Rzeczy przeczytacie więcej w raporcie, który można pobrać tutaj),
- 58 z 59 serwerów, które operatorzy TrickBot próbowali po raz kolejny uruchomić.
Czy to dobry wyniki? I tak, i nie. Według najświeższego raportu udostępnionego przez firmę Netscout, operatorzy TrickBot zaczęli już wykorzystywać nowy wariant swojego malware. Ich głównym celem są na ten moment serwery Linux.
Specjaliści byli już w stanie przeanalizować model komunikacji pomiędzy botem a serwerem C&C. Klient przesyła do serwera C&C komunikat „c2_command 0” wraz z informacjami nt. systemu operacyjnego przejętego urządzenia oraz ID bota. W odpowiedzi serwer odsyła wiadomością „signal /1/”. Po jej otrzymaniu, bot zwraca taki sam komunikat do serwera, który w następnym kroku przesyła już właściwe instrukcje dla zainfekowanego hosta.
Złożoność komunikacji C&C, którą zaobserwowano w przypadku malware Anchor, pokazuje nie tylko możliwości botneta ale również zdolność jego operatorów do wprowadzania ciągłych innowacji, czego dobrym dowodem jest przejście na systemy Linux – czytamy w raporcie.
Po wykonaniu polecenia, bot wysyła potwierdzenie jego wykonania na serwer C&C.
4. Popularne aplikacje do przesyłania wiadomości mogą stanowić zagrożenie dla bezpieczeństwa ich użytkowników…
Po raz kolejny. Tym razem problem leży po stronie funkcji odpowiedzialnej za wyświetlanie podglądu linków.
Jak się okazuje komunikatory i chaty mogą nastręczać wielu problemów – spowodować wyciek adresów IP, ujawnić linki przesyłane za pośrednictwem szyfrowanych kanałów i aplikacji, a nawet niepotrzebnie pobierać gigabajty danych w tle. Do tej listy można już śmiało dopisać kolejną pozycję. Duża liczba tego typu aplikacji wykorzystuje do generowania podglądu linków zewnętrzne serwery.
Podgląd linków to powszechna funkcja w większości aplikacji. Niektóre – jak Signal i Wire – dają użytkownikom możliwość włączania / wyłączania tej opcji. Kilka innych, takich jak Threema, TikTok i WeChat, w ogóle nie generuje podglądu linkowań.
Te które jednak to umożliwiają, robią to po stronie nadawcy lub odbiorcy albo przy użyciu zewnętrznego serwera, który jest następnie odsyłany odpowiednie dane zarówno do nadawcy, jak i odbiorcy. Podglądy linków po stronie nadawcy – używane w Apple iMessage lub WhatsApp Facebooka – działają poprzez pobranie łącza, a następnie utworzenie podglądu, który następnie zostaje przesłany do użytkowników w formie załącznika.
Kolejny problem
Komunikator po otrzymaniu wiadomości z linkiem automatycznie otwiera adres URL, aby utworzyć podgląd, ujawniając adres IP telefonu w żądaniu wysłanym do serwera. Atakujący jest więc w stanie uzyskać informacje o przybliżonej lokalizacji użytkownika bez dodatkowych działań po stronie odbiorcy, zwyczajnie wysyłając link na serwer znajdujący się pod jego kontrolą.
I jeszcze jeden…
Czy serwer użyty do wygenerowania podglądu zachowuje kopię tych danych, a jeśli tak, to jak długo i do czego jej używa? Wiele aplikacji narzuca limit 15-50 MB, jeśli chodzi o pliki pobierane przez ich serwery. Slack przechowuje podgląd linków przez około 30 minut. Udało się ustalić, że Facebook Messenger i Instagram pobierają całe pliki, nawet jeśli liczą one gigabajty danych. Czy taki serwer jest backupowany? Co w sytuacji jeśli przestępcy naruszą urządzenie i będą w stanie wykraść przechowywane na nim dane?
A teraz na sam koniec, odpowiedz na pytanie: czy kiedykolwiek udostępniłeś swojemu rozmówcy w ten sposób jakieś ważne dokumenty, faktury lub cokolwiek co zawiera ważne lub nawet poufne informacje?