Witajcie w kolejnym przeglądzie Centrum Bezpieczeństwa Xopero. W tym tygodniu robimy przerwę od tematu MS Exchange i exploitów ProxyLogon. Choć musimy wam donieść, że wedle ustaleń Microsoft, już około 92 procent podatnych serwerów zostało załatanych. To świetny wynik. Środowiska Windows są jednak atrakcyjnym celem, dlatego przestępcy poszukują coraz to nowszych metod ich infekowania. Dlatego tym razem opisujemy dla was malware Purple Fox. Niektórzy zapewne go już znają – pierwszy raz dał o sobie znać w 2018 roku. Jednak teraz atakujący wyposażyli go w zupełnie nową funkcję robaka, dzięki czemu jest w stanie znacznie sprawniej infekować kolejne podatne serwery Windows. Szczegóły ataku oraz listę podatnych systemów znajdziecie poniżej.
Malware Purple Fox z funkcją robaka sprawnie infekuje podatne systemy Windows
Purple Fox to malware, który wcześniej rozpowszechniał się głównie za pośrednictwem zestawów exploitów i wiadomości phishingowych. Teraz zyskał jednak moduł robaka, który umożliwia skanowanie i infekowanie podatnych systemów Windows wykrytych Internecie.
Złośliwe oprogramowanie zostało po raz pierwszy zaobserwowane w 2018 r. Jednak od maja 2020 r. ataki malware Purple Fox znacznie się nasiliły, osiągając łącznie wartość 90 000 ataków. Czyli ponad 600% więcej infekcji.
Po wykryciu podatnego systemu Windows, Purple Fox łamie zabezpieczenia za pomocą ataku brute force. Do tej pory malware wszczepił swoje droppery i dodatkowe moduły prawie 2000 tysiącom serwerów, tworząc groźny już botnet. Usidlone w nim urządzenia to głównie Windows Server z usługami IIS w wersji 7.5 i Microsoft FTP, a także serwery z Microsoft RPC, Microsoft SQL Server 2008 R2, Microsoft HTTPAPI httpd 2.0 oraz Microsoft Terminal Service.
Purple Fox wykorzystuje również kampanie phishingowe i luki w przeglądarkach internetowych do wdrażania swoich payloads. Malware instaluje również moduł rootkita, który wykorzystuje ukryty inny rootkit typu open source do ukrywania wrzuconych plików i folderów oraz wpisów w rejestrze na zainfekowanych urządzeniach.
Po wdrożeniu rootkita i ponownym uruchomieniu urządzenia, złośliwe oprogramowanie zmieni nazwę DLL payloads, aby pasował do nazwy biblioteki DLL systemu Windows. Następnie konfiguruje go w taki sposób, aby uruchamiał się przy każdym starcie systemu.
Przy każdym ponownym starcie urządzenie skanuje Internet w poszukiwaniu innych celów, próbując przejąć je i dodać do botnetu.
Fleeceware scam – uważaj żeby niewinna aplikacja twojego dziecka nie kosztowała Cię 3.4 tyś. dolarów rocznie
Fleeceware scam nie jest w żadnym razie nową formą oszustwa. Jednak w ostatnich miesiącach o wiele łatwiej paść jej ofiarą. Do tej pory oszuści za pośrednictwem Apple App Store i Google Play wygenerowali około 400 mln dolarów przychodów. Mała nieuwaga może Cię to kosztować nawet 3.4 tyś. dolarów rocznie, co rok…
Czym są aplikacje Fleeceware?
Aplikacje Fleeceware zazwyczaj oferują użytkownikom bezpłatną wersję próbną, aby „przetestować” produkt przed rozpoczęciem płatności automatycznych – nie przesadzimy piszą, że mogą być one wygórowane. Analiza przeprowadzona przez Avast wskazuje, że niektóre z tych subskrypcji mogą osiągnąć 3400 USD rocznie… lub jeszcze więcej. Często użytkownicy są obciążani kolejnymi kosztami nawet po usunięciu produktu.
Badanie
Avast przeanalizował ponad 200 aplikacji mobilnych – a następnie zgłosił je Apple i Google – i ustalił, że większość z nich to aplikacje instrumentalne, czytniki dłoni, edytory obrazów, filtry fotograficzne, przepowiadające przyszłość, czytniki kodów QR, programy otwierajace pliki PDF oraz coś, co nazywa się „symulatorem śluzu”. Oczywiście łatwo się domyślić, że większość z nich jest przeznaczona dla dzieci. Oszuści docierają do nich głównie za pośrednictwem reklam w popularnych serwisach społecznościowych. Na takie kompanie specjaliści natknęli się m.in. na Facebooku, Instagramie, Snapchacie i Tik Tok. Naciągacze mamią obietnicą „bezpłatnej instalacji” lub „bezpłatnego pobierania”.
Według badań większość aplikacji odkrytych przez firmę Avast oferuje bezpłatną trzy dniową wersję próbną. Potem modele biznesowe się już różnią. Większość aplikacji kosztuje użytkownika od 4 do 12 USD tygodniowo, co odpowiada 208 i 624 USD rocznie. Ale inni pobierają nawet 66 USD tygodniowo, co daje łącznie 3432 USD rocznie.
Odinstalowanie jest opcją, ale niewiele daje
Aplikacje Fleeceware nie są złośliwym oprogramowaniem, ale w tym przypadku użytkownicy mają do czynienia z quasi-trwałym stanem „infekcji”. Zarówno Google, jak i Apple nie są odpowiedzialne za zwrot kosztów subskrypcji po określonym czasie, pozostawiając ofiary na łasce twórców produktów. A jak wiemy, oszuści zwykle nie współpracują z ofiarami – to niepisana zasada. Wygląda więc na to, że ofiary niewiele mogą zrobić poza skontaktowaniem się z bankiem i zażądaniem zwrotu przelanych środków..
Aplikacje Fleeceware pozostaną z nami jeszcze przez czas, więc bądź ostrożny
Ze styczniowego badania Sophos wynika, że tego typu aplikacje zostały zainstalowane prawie 600 milionów razy na ponad 100 milionach urządzeń. Dane te pochodzą wyłącznie z Google Play, tak więc liczby są znacznie większe. Ten model biznesowy przyciąga także coraz więcej programistów. Jest to szansa na duże pieniądze, nawet jeśli tylko niewielki procent użytkowników padnie ofiarą fleeceware.
Uwaga – PILNA aktualizacja – aktywne ataki na krytyczną wadę F5 BIG-IP
Atakujący celują w niezaktualizowane urządzenia F5 Networks. Krytyczna luka CVE-2021-22986 (9,8/10 pkt CVSS) to błąd pozwalający na zdalne wykonanie poleceń (RCE – remote code execution). Występuje w infrastrukturach sieci korporacyjnych F5 BIG-IP i BIG-IQ i może umożliwić atakującym przejęcie pełnej kontroli nad podatnym systemem. Warto zauważyć, że F5 BIG-IP jest pożądanym celem, ponieważ może przetwarzać bardzo wrażliwe dane.
F5 wydało poprawkę w marcu, która jest dostępna w interfejsie iControl REST. Po jej wydaniu kilku badaczy opublikowało kod exploita typu proof-of-concept (PoC) po przeprowadzeniu inżynierii wstecznej poprawki oprogramowania Java w BIG-IP.
W minionym tygodniu badacze zauważyli masowe skanowanie i eksploatację wady.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wezwała firmy do pilnego załatania krytycznej luki w F5. Skłania również do śledzenia innego błędu CVE-2021-22987 (ocena 9,9), który wpływa na interfejs Traffic Management User Interface (TMUI).
Scenariusz ten jest szczególnie pilny. Z usług F5 korzystają największe na świecie przedsiębiorstwa, usługodawcy, instytucje finansowe i edukacyjne, jednostki administracji rządowej i marki konsumenckie, m.in. Facebook, Microsoft, Oracle oraz wiele firm z listy Fortune 500.
Ataki na nową lukę typu zero-day w systemie Android
Google ujawnił, że obecnie łatana luka w zabezpieczeniach urządzeń z Androidem korzystających z chipsetów Qualcomm jest wykorzystywana do przeprowadzania ukierunkowanych ataków.
Błąd, śledzony jako CVE-2020-11261 (ocena: 8,4 CVSS), dotyczy problemu z „niewłaściwą walidacją danych wejściowych” w komponencie graficznym Qualcomm. Może zostać wykorzystany do wywołania uszkodzenia pamięci, gdy aplikacja zaprojektowana przez osobę atakującą zażąda dostępu do ogromnej części pamięci urządzenia.
Usterka została wykryta i zgłoszona przez zespół Google Android Security w lipcu 2020. Qualcomm wydał poprawkę w styczniu 2021 r.
Warto zauważyć, że aby skutecznie przeprowadzić atak, atakujący musi albo mieć fizyczny dostęp do podatnego smartfona, albo użyć innych środków – np. watering hole – w celu dostarczenia złośliwego kodu i rozpoczęcia łańcucha ataków.
Szczegółowe informacje na temat ataków, tożsamości atakujących i targetowanych ofiar nie zostały ujawnione. Jeżeli nie chcesz znaleźć się na tej liście – lepiej zainstaluj aktualizację natychmiast!