Malware GriftHorse / Nowy backdoor w domenach Windows / Błąd w iPhone Apple Pay i Visa

Witamy w Centrum Bezpieczeństwa! Naszym cotygodniowym przeglądzie precyzyjnie wyselekcjonowanych newsów o najbardziej niszczycielskich cyberatakach, krytycznych lukach i najgłośniejszych wyciekach danych. 

Nie przegap tego i rozpocznij tydzień cyber-bezpiecznie! Zapisz się na newsletter, a w każdy poniedziałek dostarczymy go na Twoją skrzynkę mailową. Dodatkowo otrzymasz porcję najgorętszych wiadomości firmowych oraz dostęp do wybranych artykułów technicznych przygotowanych przez naszych ekspertów z poradami i trikami dla skutecznego zabezpieczenia Twojej infrastruktury IT.

Malware GriftHorse trafił już na 10 milionów urządzeń z systemem Android w 70 krajach

Cyberprzestępcy wykorzystują zupełnie nowy trojan o nazwie GriftHorse. Jak przebiega atak? Po zainfekowaniu urządzenia aplikacja bombarduje telefon alertami, oferując za ich pomocą darmowy prezent. Jeśli użytkownik kliknie w jeden z nich, zostanie przekierowany na witrynę o określonej geolokalizacji gdzie jest następnie proszony o podanie numeru telefonu w celu weryfikacji. W rzeczywistości jednak zapisuje się on do usługi sms premium, która obciąży jego rachunek telefoniczny na około $ 42, czyli mniej więcej 160 zł miesięcznie.  

Oszuści stworzyli około 200 autentycznie wyglądających aplikacji dla różnych grup odbiorców, m.in. aplikacje lifestyle’owe, rozrywka, różnego typu narzędzia (np. tłumacz), apki randkowe lub takie które służą do personalizacji urządzenia. Skala jest naprawdę ogromna, co czyni tę kampanię największym oszustwem finansowym 2021 roku.

Dowiedz się więcej

Nobelium wykorzystuje ‘customowy’ malware do tworzenia backdoorów w domenach Windows

Firma Microsoft odkryła nowy malware wykorzystywany przez grupę hakerską Nobelium – tę samą, która stoi za zeszłorocznym głośnym atakiem SolarWinds – do wdrażania dodatkowych payloads i kradzieży poufnych danych z serwerów Active Directory Federation Services (AD FS). Złośliwe oprogramowanie, nazwane FoggyWeb, jest pasywnym i wysoce ukierunkowanym backdoorem, który wykorzystuje token SAML (Security Assertion Markup Language). Malware został zaprojektowany w taki sposób, aby pomóc przestępcom w zdalnym eksfiltrowaniu poufnych informacji przez skonfigurowanie odbiorników HTTP dla identyfikatorów URI zdefiniowanych przez atakujących w celu przechwycenia żądań GET/POST wysyłanych do serwera AD FS.

Organizacjom, które podejrzewają, że mogły paść ofiarą ataku zaleca się przeprowadzenie audytu infrastruktury lokalnej i tej chmurowej. Administratorzy powinni zwrócić uwagę na konfigurację ustawień użytkownika i aplikacji, reguł przekazywania i innych zmian wprowadzonych przez atakujących w celu zachowania dostępu do naruszonej infrastruktury. Zaleca się również usunięcie dostępów użytkowników i aplikacji, ich weryfikację i ponowne nadanie. Na koniec Microsoft proponuje również wdrożenie w firmie hardware security mode (HSM).

Dowiedz się więcej

Błąd w iPhone Apple Pay i Visa pozwala na wykonywanie płatności zbliżeniowych bez wiedzy użytkownika

Z pomocą wykrytej niedawno podatności, atakujący są w stanie ominąć ekran blokady Apple iPhone, aby uzyskać dostęp do usług płatniczych i dokonywać transakcji zbliżeniowych. Luka występuje, gdy karta Visa została skonfigurowana w trybie Express Transit w funkcji portfela iPhone’a. Tryb ekspresowy został zaprojektowany z myślą o dojeżdżających do pracy, którzy mogą chcieć szybko skorzystać z funkcji „dotknij i zapłać”, aby np. nie wstrzymywać kolejki.

Błąd w zabezpieczeniach to efekt wykorzystywania unikalnego kodu – nazywanego „magicznymi bajtami” – który jest nadawany przez bramki tranzytowe w celu odblokowania Apple Pay. Atak może zostać wywołany przez przechwycenie i rozesłanie wspomnianych „magicznych bajtów”, a następnie zmodyfikowanie zestawu zmiennych.

Dowiedz się więcej

Pozostałe newsy ze świata IT

  1. BloodyStealer: Advanced New Trojan Targets Accounts of Popular Online Gaming Platforms (Dark Reading)
  2. Urgent Chrome security update released to patch widely exploited 0-day (Hack Read)
  3. ERMAC, a new banking Trojan that borrows the code from Cerberus malware (Security Affairs)
  4. Scalper bots are now targeting graphics card vendors (ZDNet)
  5. A New Jupyter Malware Version is Being Distributed via MSI Installers (The Hacker News)
  6. New Tomiris Backdoor Found Linked to Hackers Behind SolarWinds Cyberattack (The Hacker News)
  7. Defend against zero-day exploits with Microsoft Defender Application Guard (Microsoft Blog)
  8. Fortinet, Shopify and more report issues after root CA certificate from Lets Encrypt expires (ZDNet)
  9. Update Google Chrome ASAP to Patch 2 New Actively Exploited Zero-Day Flaws (The Hacker News)
  10. QNAP fixes bug that let attackers run malicious commands remotely (Bleeping Computer)