Rzadko kiedy możemy podzielić się z wami newsami dotyczącymi poprawy bezpieczeństwa użytkownika w internecie… Ostatnia aktualizacja Chrome 80 dała się odczuć twórcom AZORult. W jaki sposób? Nie chcemy zdradzać zbyt wiele, ale w ciągu jednego tygodnia ilość wykradanych danych uwierzytelniających zmalała o 35%. Mozilla również szykuje „niespodziankę”, która ma szanse wyeliminować część cyberataków. W tym zestawieniu również: Kr00k – niebezpieczna podatność w chipach Wi-Fi, Raccoon nowy malware-as-a-service, Cerberus zagraża 2FA oraz nieautoryzowane transakcje PayPal.
1. Ciężka jest dola cyberprzestępcy… przez Chrome 80
Genesis Store, jeden z najpopularniejszych marketplace’ów dla cyberprzestępców ma poważny problem. Tylko w ciągu ostatniego tygodnia, liczba wykradzionych nowych danych uwierzytelniających zmalała o 35%.
Ledwie dostrzegalna zmiana w Chrome w wersji 80 uderzyła w dochodowy biznes twórców malware’a AZORult. Dotąd do zabezpieczania haseł Google wykorzystywał Microsoft Data Protection API. Jednak wraz z lutową aktualizacją wszystkie przechowywane lokalnie dane uwierzytelniające, są szyfrowane za pomocą algorytmu AES 256. Specjaliści z firmy Kela uważają, że „problemów” AZORult należy doszukiwać się po stronie jego twórców. Wiele wskazuje, że projekt ma już za sobą najlepszy okres świetności. AZORult w odróżnieniu od innych data stealers – jak Raccoon czy Kpot – nie jest już tak innowacyjnie rozwijany. W ciągu ostatniego tygodnia liczba wystawionych na sprzedaż tzw. fingerprints spadła z 335 tys. do około 230 tys.
Czym są fingerprints? Genesis Store oferuje wykradzione dane uwierzytelniające, ale w odróżnieniu od konkurencji nie sprzedaje do nich dostępu, a fingerprints – wirtualny obraz tożsamości online użytkownika.
Podstawowe dane nt. konta użytkownika jak login, hasło ale także wcześniej wykorzystywane adresy IP, pliki cookies, user-agent strings oraz informacje dotyczące systemu OS.
Nie tylko Chrome. Z możliwości szyfrowania lokalnie przechowywanych haseł skorzystają wszyscy użytkownicy przeglądarek opartych na silniku Chromium – w tym Microsoft Edge, Opery oraz Brave.
2. Kr00k, niebezpieczna podatność w chipach Wi-Fi
Kr00k, nowa podatność wykryta przez firmę ESET dotyczy chipów FullMAC WLAN produkowanych przez Broadcom i Cypress. Problem dotyka najpopularniejsze typy urządzeń: komputery, telefony oraz Smart Devices.
Oznaczona jako CVE-2019-15126, nowa podatność stanowi poważne zagrożenie dla ponad miliarda urządzeń. Poniżej pełna lista PRZETESTOWANYCH przez ESET modeli:
Amazon Echo 2nd gen, Amazon Kindle 8th gen, Apple iPad mini 2, Apple iPhone 6, 6S, 8, XR, Apple MacBook Air Retina 13-inch 2018, Google Nexus 5, Google Nexus 6, Google Nexus 6S, Raspberry Pi 3, Samsung Galaxy S4 GT-I9505, Samsung Galaxy S8, Xiaomi Redmi 3S.
Podatne są również niektóre access pointy:
Asus RT-N12, Huawei B612S-25d, Huawei EchoLife HG8245H, Huawei E5577Cs-321.
Czym dokładnie jest Kr00k?
Kr00k to usterka w szyfrowaniu, która umożliwia podejrzenie ruchu sieciowego. Co ważne, przestępcy nie muszą być podłączeni do naszej sieci Wi-Fi. Zagrożone urządzenia wykorzystują WPA2 (Wi-Fi Protected Access). Przestępcy czekają na moment kiedy użytkownik odłączy urządzenie od sieci Wi-Fi (lub wymuszają je sami). Dlaczego? Podczas dezasocjacji klucz sesyjny przechowywany w chipie WiFi jest zerowany. W tym momencie można odszyfrować nawet kilka kilobajtów danych. A po kolejnym odłączeniu ofiary następne, następne, i tak dalej…
Specjaliści z ESET badając Kr00k nie weryfikowali innych protokołów. Dlatego na ten moment nie wiadomo na ile nadal bezpieczne są WEP, WPA-TKIP czy WPA3. Jest jednak prawie pewne, że ten ostatni jest nadal pewny. Na atak jest podatna warstwa Wi-Fi. Wszelka komunikacja w ramach TSL pozostaje bezpieczna – w tym usługi bankowe czy przeglądanie serwisów zabezpieczonych za pomocą HTTPS.
3. Mozilla testuje nowy mechanizm, który ma szansę wyeliminować część cyberataków
Nowoczesne przeglądarki, to koszmar dla specjalistów od bezpieczeństwa… Przeglądarki internetowe korzystają w bibliotek dzięki którym m.in. są w stanie wydajnie renderować pliki multimedialne. Niestety wiele z nich posiada podatności, które mogą zostać wykorzystane przez przestępców do przeprowadzenia ataków.
Ponura prawda jest taka, że bogactwo dostępnych funkcji oznacza zawsze sporą liczbę błędów. A każdy z nich stanowi furtkę dla cyberprzestępców. Aby uchronić się przed takim scenariuszem badacze – z University of Texas, University of California San Diego, Stanford University oraz Mozilla – zaproponowali wdrożenie mechanizmu WebAssembly. Pierwotnie rozwiązanie miało przyspieszyć działanie aplikacji webowych oraz umieszczenie ich w tzw. „secure sandbox” w celu uniknięcia przejęcie urządzenia przez złośliwe oprogramowanie. Korzystają już z niego niektóre platformy gierkowe oraz serwisy streamujące muzykę.
Jednak zanim WebAssemly na stałe zagości w naszych przeglądarkach, czeka nas jeszcze okres testów. Na początek Mozilla planuje wypuszczenie wersji dla systemów Linux, która będzie zabezpieczać jedną bibliotekę odpowiadającą za renderowanie niektórych czcionek. Jeśli testy zakończą się pomyślnie, użytkownicy otrzymają stabilną pełną wersję. W dalszej kolejności trafi ona również na urządzenia działające w systemie Windows oraz MacOS. Najprawdopodobniej będzie to jednak dopiero druga połowa roku.
4. Raccoon atakuje wszystkie znane Ci przeglądarki by wykraść dane i kryptowaluty
Raccoon, znany również jako Racealer może wykradać dane aż z 60 aplikacji i 35 przeglądarek – prawdopodobnie z większości, o których słyszałeś. Ten data stealer dystrybuowany w modelu Malware-as-a-Service (MaaS, malware jako usługa) przyciągnął fanów agresywnym marketingiem, szerokim zakresem możliwości i łatwością obsługi. Można go nabyć na dark forum w modelu subskrypcyjnym za 200 USD miesięcznie. A w pakiecie: wsparcie techniczne, poprawki błędów i aktualizacje. Całkiem atrakcyjna oferta dla cyberprzestępców próbujących kraść dane i kryptowaluty.
Dystrybucja tego oprogramowania odbywa się poprzez kampanie phishingowe i zestawy exploitów. Fałszywe wiadomości e-mail wysyłane do potencjalnych ofiar zawierają załączniki Microsoft Office ze złośliwymi makrami, a zestawy exploitów są zwykle przechowywane na stronach internetowych. Serwer C&C ma ukryty adres za pomocą kilku warstw szyfrowania.
Raccoon kradnie informacje finansowe, dane uwierzytelniające, dane urządzenia – takie jak typy i wersje systemu operacyjnego, używany język i zainstalowane listy aplikacji, portfele kryptowalut oraz informacje o przeglądarce, w tym pliki cookie, dzienniki historii i treść autouzupełniania.
“Szop pracz” (ang. Raccoon) zagraża Mozilli oraz całej rodzinie przeglądarek opartych na silniku Chromium (w tym: Google Chrome, Microsoft Edge, Opera). Problem dotyczy również programów pocztowych ThunderBird, Outlook, Foxmail. Nie omija kryptowalut – przestępcy mogą zdobyć poświadczenia do portfela Electrum, Ethereum, Exodus, Jaxx, Monero i Bithe.
Jak działa Raccoon? Pobiera określone biblioteki DLL dla aplikacji, aby wyodrębnić i odszyfrować dane uwierzytelniające. URL, z którego pobierane są te biblioteki zawarty jest w config JSON. Następnie zapisuje zawartość w osobnym pliku archiwum .zip i wysyła do serwera C&C. Poza kradzieżą danych, zagrożenie może działać również jako dropper innych szkodliwych programów. Z pewnością więc jeszcze o nim usłyszymy…
5. Korzystasz z 2FA? Cerberus może wykraść Twoje kody
Specjaliści bezpieczeństwa z ThreatFabric twierdzą, że odkryli szczep złośliwego oprogramowania na Androida, które może wyodrębnić i wykraść jednorazowe hasła (OTP, one-time-password) generowane za pomocą Google Authenticator. Aplikacja ta jest stosowana jako warstwa uwierzytelniania dwuskładnikowego (2FA) dla wielu kont internetowych. Generuje jednorazowe, unikalne kody, będące alternatywą uwierzytelniania SMS, które użytkownicy wprowadzają w formularzach logowania do swoich kont i potwierdzania tożsamości. Programem tym miałby być Cerberus, stosunkowo nowy trojan bankowy na Androida, który pojawił się w czerwcu 2019 roku.
Obecna wersja tego oprogramowania posiada możliwości charakterystyczne dla trojanów zdalnego dostępu (RAT). Te funkcje umożliwiają operatorom Cerberus zdalne łączenie się z zainfekowanym urządzeniem, korzystanie z poświadczeń bankowych ofiary i uzyskanie dostępu do konta bankowego online, a następnie użycie funkcji kradzieży OTP Authenticator w celu ominięcia zabezpieczeń 2FA na koncie – jeśli są one dostępne.
Cerberus zagraża nie tylko bankowości internetowej. Zagrożone mogą być wszystkie typy kont – skrzynki mailowe, media społecznościowe, aplikacje.
Według ThreatFabric nowa funkcja nie jest jeszcze dostępna w wersji Cerberus reklamowanej i sprzedawanej na forach hakerskich. Zapewne jej pojawienie się tam to wyłącznie kwestia czasu…
6. Nieautoryzowane transakcje PayPal – użytkownicy stracili już dziesiątki tysięcy euro
Hakerzy znaleźli błąd w integracji PayPala z Google Pay i wykorzystali go do przeprowadzania nieautoryzowanych transakcji. Od kilku dni użytkownicy na różnych forach zgłaszają, że w ich historii PayPal pojawiają się tajemnicze transakcje pochodzące z konta Google Pay. Większość ofiar to niemieccy użytkownicy, a najwięcej transakcji ma miejsce w sklepach w USA, głównie sieci Target w Nowym Jorku.
Szkody szacuje się w dziesiątkach tysięcy euro, a niektóre transakcje znacznie przekraczają kwotę 1000 euro.
Niemiecki specjalista ds. bezpieczeństwa – Markus Fenske – na Twitterze twierdzi, że sytuacja przypomina mu błąd zgłaszany przez niego do PayPala w lutym 2019 r., który niestety nie został potraktowany priorytetowo. Wynaleziony przez niego problem wynika z faktu, że po połączeniu PayPal z Google Pay, ten pierwszy tworzy wirtualną kartę z własnym numerem, datą ważności i CVC. Być może nie byłoby problemu, gdyby karta była wykorzystywana wyłącznie do transakcji POS, ale może być ona użyta również w płatnościach online. Hakerzy najwidoczniej znaleźli sposób na poznanie szczegółów tych “wirtualnych kart”.
To jednak jedna, z kilku teorii, którą w ramach własnego śledztwa bada PayPal. Rzecznik Google nie udzielił mediom komentarza.