Keylogger HawkEye w nowej odsłonie / Nansh0u / Problemy z DuckDuckGo na Androida

Kto bronią wojuje od broni ginie… o prawdzie tego przysłowia przekonali się na własnej skórze operatorzy nielegalnych forów DarkWebu. Ataki denial of service, które zostały w nich wymierzone stały się jednym z powodów dla których rozważać zaczęli migracje swoimi przestępczych platform z Tora do sieci I2P. Więcej w tym temat znajdziecie w opracowanym zestawieniu newsów z branży IT.
Zachęcamy do lektury.

1. HawkEye uderza w klientów biznesowych

Nie jest to zarys fabuły kolejnej części kinowego hitu o Avengersach, gdzie HawkEye znający tajniki sztuk walki oraz rażący swoich wrogów strzałami, jest jednym z wiodących marvelowskich superbohaterów. Pod tym imieniem kryje się szkodliwy Keylogger, który choć powstał w 2013 roku, cały czas jest rozwijany i oferowany chętnym do jego zakupienia na przestępczych forach DarkWebu.

Najnowszy jego wariant – HawkEye Reborn v9 ostrza swoich strzał wymierzył w firmy zajmujące się transportem i logistyką, opieką zdrowotną, rolnictwem czy marketingiem. Ataki nastąpiły w kwietniu oraz maju 2019 r. na firmy z całego świata, a w szczególności posiadające swoje siedziby w Hiszpanii, Stanach Zjednoczonych oraz Zjednoczonych Emiratach Arabskich.

Keylogger rozpowszechniano za pośrednictwem złośliwych wiadomości mailowych rozsyłanych rzekomo przez banki lub znane i rozpoznawalne firmy. W załączniku – jak można się spodziewać – znajdowała się fałszywa faktura. Jej otwarcie inicjowało proces infekcji, w którym wykorzystywano złośliwe skrypty PowerShella łączące się z serwerami C&C cyberprzestępców. Poza wykradaniem poufnych informacji HawkEye mógł więc dodatkowo pobierać inne złośliwe oprogramowanie na zainfekowane urządzenia.

Źródło: 1 | 2

2. 50 tysięcy serwerów zainfekowanych w wyniku działania Nansh0u

Nansh0u do tej pory zainfekował 50 tysięcy serwerów na całym świecie. Rootkit to klasyczny przykład ataku określanego jako APT (ang. Advanced Threat Persistence).

Ataki na publicznie dostępne serwery Windows MS-SQL i PHPMyAdmin przeprowadzono za pomocą brutalnego wymuszenia i w oparciu o skaner portów. Po udanym uwierzytelnieniu i uzyskaniu uprawnień administratora, cyberprzestępcy wykonywali sekwencję komend MS-SQL, by pobrać i uruchomić szkodliwe oprogramowanie. Przestępcy następnie instalowali na zainfekowanych serwerach program do wydobywania kryptowaluty TurtleCoin oraz zaawansowany rootkit, którego głównym celem było niedopuszczenie do przerwania kopania nowych kryptowalut.

O przeprowadzenie tej kampanii podejrzewa się chińskie ugrupowania hakerskie.

Źródło

3. Luka bezpieczeństwa w przeglądarce DuckDuckGo na Androida

Przeglądarka DuckDuckGo Privacy Browser dla systemu Android, którą zainstalowało na swoich urządzeniach przeszło 5 milionów użytkowników, posiada podatność ukrytą w zabezpieczeniach paska adresu.

Luka ta pozwala cyberprzestępcom zmienić adres URL wyświetlany w pasku adresu przeglądarki. Ofiara takiego ataku nie jest świadoma, że zamiast na stronę logowania swojego banku, trafia na bardzo dobrze spreparowany jej odpowiednik – i nieświadome ujawna swoje loginy i hasła. Skradzione w ten sposób dane uwierzytelniające mogą zostać wykorzystywane przez oszustów do dalszych ataków, bądź też sprzedane na przestępczych forach DarkWebu.

Podatność została zgłoszona zespołowi ds. bezpieczeństwa DuckDuckGo przy pomocy programu bug bounty zarządzanego przez platformę HackerOne. Początkowo błąd oznaczony został jako wysoki, a jego odkrywca zgarnął nagrodę pieniężną. Po trwającej jednak przeszło 7 miesięcy dyskusji pod koniec maja 2019 roku zmieniono klasyfikację błędu oznaczając go jako informacyjny. Podatność nie została do chwili obecnej załatana.

Źródło

4. Kradzież danych 139 milionów użytkowników Canva

Canva to bardzo popularne narzędzie umożliwiające proste tworzenie projektów graficznych. W połowie maja platforma została zhakowana, a dane 139 milionów jej użytkowników naruszone. Wśród wykradzionych informacji znajdowały się m.in. imiona i nazwiska użytkowników, adresy – zarówno te mailowe, jak i zamieszkania – oraz 61 milionów haseł. Warto podkreślić, że hasła zaszyfrowane były bcryptem, który uznawany jest za jeden z najbezpieczniejszych algorytmów do haszowania haseł. Ich odszyfrowanie nie będzie więc proste.

Za kradzież danych odpowiada grupa przestępcza lub haker o nicku Gnosticplayers, znany z wystawienia na sprzedaż gigantycznej bazy danych około 932 milionów użytkowników, które wykradł łącznie 44 firmom.

Źródło: 1 | 2

5. Trzymajcie się z daleka od aplikacji Bitcoin Collector

Reklamy Bitcoin Collector podkreślają, że aplikacja ta jest szansą na zarobienie równowartości 45 dolarów w bitcoinach dziennie. W rzeczywistości jest to oszustwo mające na celu skłonienie użytkowników do zainstalowania wirusa infekującego system programem ransomware lub trojanem kradnącym dane uwierzytelniające, a w konsekwencji pieniądze znajdujące się w portfelach użytkowników.

Wariant wirusa z programem ransomware szyfruje pliki ofiar i wysyła wiadomość z żądaniem okupu oraz instrukcjami jak odzyskać dane. Wariant z trojanem wykrada dane logowania, historię przeglądania użytkowników, umożliwia robienie zrzutów ekranów oraz kradzież plików.

Ciekawostka: w celu przekonania potencjalnych ofiar o tym, że aplikacja Bitcoin Collector jest bezpieczna, cyberprzestępcy udostępnili link do serwisu internetowego VirusTotal umożliwiającego przeskanowanie plików w poszukiwaniu szkodliwego oprogramowania.

Źródło

6. Kolejne podatności we wtyczkach WordPress

W ostatniej prasówce opisaliśmy błąd w popularnej wtyczce Slimstat Analytics (więcej tutaj). Przed 2 tygodniami informowaliśmy o podatności we wtyczce Live Chat Support (więcej tutaj). Niestety także tym razem mamy złą informację dla osób korzystających z WordPress.

Convert Plus to popularny plugin wykorzystywany do generowania leadów. Szacuje się, że został pobrany i zainstalowany już ponad 100 000 razy. Odkryta podatność pozwala nieuwierzytelnionemu atakującemu stworzyć konto z uprawnieniami administratora.

Jak przebiega atak? Formularz do obsługi nowych subskrybentów pozwala definiować uprawnienia – z listy nie można wybrać roli administratora, jednak istnieje obejście, które to umożliwia. Dzieje się tak ponieważ podczas tworzenia subskrypcji nie stosuje się filtrowania. Cyberprzestępcy mogą więc przesłać formularz z wartością cp_set_user ustawioną na administratora i wtyczka Concert Plus utworzy nowego użytkowanika, przypisując mu najwyższe z możliwych uprawnień. Z nowym kontem kojarzone jest losowe hasło, ale możliwe jest wygenerowanie nowego przy wykorzystaniu funkcji resetowania hasła.

Administratorzy stron powinni możliwie jak najszybciej zaktualizować wtyczkę do wersji 3.4.3 w której opisana podatność została już załatana.

Źródło

7. Wtyczki w Google Chrome z nową polityką prywatności

Google właśnie ogłosił nowe zasady ochrony prywatności, które dotyczą wtyczek udostępnianych poprzez Chrome Web Store. Dodatkowo firma planuje wprowadzić nowe zasady dla Google Drive API oraz ograniczyć dostęp do Google Drive aplikacjom tworzonym przez zewnętrzne firmy. Wedle wczesnych informacji, tylko aplikacje „określonego typu” (zapewne szczegóły poznamy już wkrótce) będą posiadać pełny dostęp do konta użytkownika.

Celem wszystkich tych działań jest poprawa zarówno prywatności jak i bezpieczeństwa danych użytkowników giganta. Wszystkie wtyczki zobowiązane będa do korzystania z minimalnego pułapu uprawnień przy dostępie do danych użytkownika. Obecnie wymóg ten obowiązuje tylko te, które mają dostęp do danych osobistych i poufnych. Począwszy od jesieni wymóg dotyczyć będzie również wtyczek obsługujących komunikację osobistą, a także treści dostarczane przez użytkowników.

Gigant z Doliny Krzemowej będzie wymagał również, by wszystkie posiadały politykę prywatności opisującą sposób, w jaki dane użytkowników są przechowywane i do czego są wykorzystywane.

Google planuje prześwietlić wszystkie wtyczki przeglądarki Chrome. W przypadku stwierdzenia nieprawidłowości, ich twórcy otrzymają 90 dni na wprowadzenie stosownych korekt. Jeżeli w tym terminie ich nie wdrożą, wtyczki zostaną wyłączone a następnie usunięte z Google Web Store.

Źródło

8. Przestępcy migrują z Tora do sieci I2P

Sukcesy organów ścigania, które zamknęły w tym roku przestępcze fora Wall Street Market (więcej tutaj), Valhalla czy Dream Market sprawiły, że grupy przestępcze zaczęły rozważać możliwość przeniesienia swojej działalności do sieci znanej jako Invisible Internet Project (I2P).

Jako pierwszy na taki krok zdecydował się Libertas Market. Jego administratorzy uzasadnili decyzję o przenosinach stwierdzeniem, że Tor posiada luki, które pozwalają na inwigilację sieci przez organy ścigania oraz ustalenie prawdziwych adresów IP witryn Tora. Drugim z podanych powodów jest podatność Tora na ataki typu denial of service. W ubiegłym miesiącu przez przestępcze fora przeszła fala takich ataków. Hakerzy stojący za nimi zażądali od operatorów nielegalnych rynków okupów sięgających 400 000 dolarów.

Jak widać człowiek, człowiekowi wilkiem, zwłaszcza gdy para się przestępczością cybernetyczną… Na złodziejski kodeks honorowy w tym środowisku nie ma co liczyć, o czym przekonali się operatorzy nielegalnych forów DarkWebu.

Źródło