Ten tydzień rozpoczynamy naprawdę sporą ilością nowych wiadomości. Sami zobaczcie… Czy z powodu problemów AMD, premiera Xbox Series X zostanie przesunięta w czasie? Windows z aż dwoma poważnymi zero-day. Grupa TrickBot atakuje nowym trojanem, który jest w stanie ominąć zabezpieczenia 2FA. Czy przestępcy zafundowali PwndLocker rebranding? Zebraliśmy dla was również najciekawsze newsy związane z aktualnie prowadzonymi korona-atakami. Zestawienie kończymy pozytywną informacją – Advanced Protection Program od Google okazał się sukcesem. A więc, do dzieła!
1. Trojan bankowy TrickBot omija zabezpieczenia 2FA
Przestępcy z grupy TrickBot wykorzystują złośliwą aplikację mobilną do omijania uwierzytelniania dwuskładnikowego.
Jeśli użytkownik zainstaluje do swoim urządzeniu aplikację TrickMo jest ona w stanie przechwytywać uwierzytelnienia dla prawie wszystkich transakcji. Korzystasz z kodów jednorazowych (TAN), pushTAN, mobileTAN czy jednorazowych haseł? Żadna z tych metod nie będzie już bezpieczna.
Na ślad nowego zagrożenia specjaliści natrafili kilka miesięcy temu – we wrześniu 2019. Posiadacze zainfekowanych komputerów z systemem Windows byli proszeni o podanie numeru telefonu oraz/lub typu bankowości online. Jaki był tego cel? Skłonienie ofiar do zainstalowania fałszywej aplikacji bezpieczeństwa.
Na ten moment kampania jest prowadzona wyłącznie na terenie Niemiec. Aplikacja udaje dwa popularne produkty: Avast Security Control oraz narzędzie Deutsche Bank Security Control. Aplikacja przekazuje wiadomości zawierające numery mTAN do operatorów TrickBot, a ci z kolei wykorzystują je do finalizacji własnych transakcji finansowych.
Na ten moment, ofiary nie są w stanie odinstalować zagrożenie ze swojego telefonu. TrickMo zmienia ustawienie urządzenia, staje się domyślną aplikacją do wysyłania i odbierania SMS-ów, a także monitoruje działanie innych programów. I ofiary nic nie podejrzewają? Przed długi czas nie. TrickMo jest w stanie wykasowywać wiadomości z kodami, tak więc użytkownik nie jest nawet świadom, że otrzymał kod uwierzytelniający z banku.
2. PwndLocker zmienia się w ransomware ProLock i jest „w końcu” groźny…
PwndLocker był aktywny tylko przez chwilę. Przestępcy obrali sobie za cel rozbudowane infrastruktury, dlatego większość ataków dotknęła duże firmy oraz samorządy (więcej na ten temat przeczytacie tutaj). Haracz za dane oscylował w granicach 175-660 tys. dolarów amerykańskich. Jednak przestępczy proceder bardzo szybko przerwał błąd w kodzie zagrożenia, dzięki któremu ofiary były w stanie „samodzielnie” odszyfrować dane.
Teraz jednak wszystko się zmienia. Przestępcy naprawili błąd, uzbroili ransomware na nowo, a także… zmienili jego nazwę. Wszyscy lubimy wypierać niepowodzenia z pamięci – cyberprzestępca też człowiek.
ProLock działa dokładnie w taki sam sposób jak PwndLocker, z tą tylko różnicą że zaszyfrowane dane otrzymują rozszerzenie .proLock. Zdaniem specjalistów z firmy Sophos zagrożenie rozprzestrzenia się za pomocą pliku .BMP. Co ciekawe, obraz otwiera się prawidłowo, aczkolwiek ofiara zobaczy wyłącznie czarny ekran z kilkoma białymi punktami.
Specjaliści nie wiedzą jeszcze w jaki sposób przestępom udaje się umieścić plik .BMP na docelowym urządzeniu. Być może atakujący wykorzystują do tego nadal niezabezpieczony RDP lub wykorzystują inne niezałatane podatności.
3. Przegląd korona-przekrętów tygodnia
Pamiętacie, jak mili przestępcy obiecali, że z uwagi na panującą pandemię COVID-19 nie będą atakować sektora medycznego? Grupa odpowiedzialna za ransomware Maze zmieniła jednak zdanie i zaatakowała w ostatnich dniach laboratoria Hammersmith Medicines Research. HMR przez ostatnie tygodnie intensywnie pracował m.in. nad stworzeniem szczepionki na nowego koronawirusa. Operatorzy ransomware Ryuk również nie odpuszczają szpitalom – w ostatnim miesiącu odnotowano jeszcze większą liczbę ataków na sektor medyczny.
Przestępcy przeprowadzili atak na Światową Organizację Zdrowia. Na szczęście, był on nieudany. Od czasu wybuchu pandemii, liczba ataków na WHO się podwoiła. Przestępcy podszywają się również pod Organizację w celu kradzieży wrażliwych danych oraz pieniędzy.
Z powodu pandemii i społecznej izolacji, Netflix daje darmowy dostęp do swojej platformy. Nie dajcie się nabrać, to kolejny przekręt.
Nie ma szczepionki na koronawirusa, ale na nasze szczęście przestępcy odkryli Corona-antivirus software. Co dokładnie to magiczne oprogramowanie robi? Po zainstalowaniu na komputerze, chroni użytkownika przed złapaniem wirusa w realu… Absurd, ale najciekawsze w tym wszystkim jest to, że znaleźli się ludzie, którzy zafundowali sobie taką terapię.Po zamknięciu sklepów i galerii handlowych, sprzedaż przeniosła się internetu. Jednak w obecnej sytuacji firmy kurierskie walczą z licznymi problemami, a czas oczekiwania na zamówione towary się wydłużył. Ludzie wyczekują potwierdzenia, że ich przesyłka wyruszyła w drogę… Przestępcy z tego skorzystali. Uważajcie na dziwne wiadomości, wymóg weryfikacji adresu dostawy lub informacje o nadaniu przesyłki, za której dostawę będzie trzeba zapłacić przy odbiorze – tylko 15 zł.
4. Kody źródłowe dla Xbox Series X i nowych PC skradzione. Haker żąda 100 mln $
Jakiś czas temu pojawiły się spekulacje, że gigant technologiczny AMD padł ofiarą ataku i kradzieży danych związanych z układami graficznymi. Chodzi o kody źródłowe dla takich GPU jak Navi 10, Navi 21 oraz Arden. Ten ostatni miał znaleźć się w Xbox Series X. Firma wreszcie wydała oficjalne oświadczenie, w którym przyznała się do włamania na jeden z komputerów firmy, które miało miejsce w grudniu 2019 roku.
Sprawa nabrała jednak rozpędu dopiero w minionym tygodniu, gdy użytkownik GitHub o pseudonimie xxXsoullessXxx opublikował na niej zbiór materiałów o nazwie “ADM-navi-GPU-HARDWARE-SOURCE”. Według niego dane zostały pobrane z zupełnie niechronionego serwera. Teraz żąda okupu w wysokości 100 mln dolarów, grożąc, że opublikuje w sieci wszystkie materiały, którymi dysponuje.
AMD w oświadczeniu tłumaczy, że haker wykradł pliki testowe. W dodatku wykradzione graficzne IP nie jest kluczowe dla konkurencyjności ani bezpieczeństwa produktów graficznych firmy. Zapewnia klientów, że traktuje bezpieczeństwo danych i ochronę własności priorytetowo i współpracuje z organami ścigania w celu zidentyfikowania sprawcy.
Xbox Series X i nowoczesne PC – jaka jest skala problemu?
Cała sprawa jest o tyle poważna, że w następnych latach podzespoły te trafią na miliony urządzeń – chodzi nie tylko o konsole Xbox Series X, ale i karty graficzne na nowe komputery PC. Możliwe więc, że AMD robi dobrą minę do złej gry – ujawnienie kodu źródłowego produktu może przecież prowadzić do łatwego wykrycia w nim słabych punktów. A jak pokazał nam chociażby przypadek Intela, podatności sprzętowe są znacznie trudniejsze do załatania niż aktualizacja sterowników czy firmware’u.
5. Dwie luki 0-day zagrażają wszystkim systemom Windows
Microsoft poinformował o odkryciu dwóch krytycznych podatności zero-day w Adobe Type Manager umożliwiających zdalne wykonanie kodu. Wpływają na wszystkie wersje systemu operacyjnego Windows. Zarówno te obsługiwane, jak i poza wsparciem firmy.
Adobe Type Manager to narzędzie do zarządzania fontami, które pomaga systemowi Windows obsługiwać i renderować fonty. Błędy wynikają z niepoprawnego obsługiwania przez Windows Adobe Type Manager Library specjalnie spreparowanego fontu – formatu Adobe Type 1 PostScript.
Istnieje kilka sposobów wykorzystania błędu – m.in. w wyniku otwarcia przez użytkownika odpowiednio przygotowanego dokumentu lub obejrzenia go w okienku podglądu systemu Windows.
Luki dotyczą wszystkich wspieranych wersji systemu, w tym Windows 10 oraz nieobsługiwanych – w szczególności Windows 7. Ponadto komputery z wycofanym wsparciem nie otrzymają aktualizacji nawet po jej udostępnieniu – chyba że właściciele są zarejestrowani w programie Microsoft Extended Security Updates (ESU).
Co zrobić? Dopóki nie wyjdzie poprawka dla wspieranych systemów, wszyscy użytkownicy (nie tylko Ci bez wsparcia) powinni wprowadzić kilka tymczasowych środków zaradczych. Obejmują one wyłączenie okienka podglądu i okienka szczegółów w eksploratorze Windows oraz zmianę nazwy biblioteki (atmfd.dll). Wskazówki krok po kroku są dostępne w poradniku firmy.
6. Sukces Google APP – żadne konto nie zostało przejęte przez hakerów
Google chwali się efektami swojego programu bezpieczeństwa Advanced Protection Program (APP). Przypominamy: APP zapewnia dodatkowe zabezpieczenia, niedostępne dla zwykłych użytkowników Gmaila. Początkowo (w 2017 r.) został udostępniony użytkownikom wysokiego ryzyka – politykom, dziennikarzom, znanym przedsiębiorcom. Stał się jednak szeroko dostępny i dziś każdy użytkownik Google Account i G Suite może zarejestrować się w programie. Warunkiem jest posiadanie sprzętowego klucza bezpieczeństwa lub smartfona (od tego roku można wykorzystać też iPhona – więcej tutaj), który za niego posłuży.
Specjalna grupa Google’a – Threat Analysis Group (TAG) – twierdzi, że do tej pory, a więc w ciągu trzech lat, żadne konto korzystające z APP nie zostało przejęte przez hakerów. Udostępnia również wyniki swoich działań. W 2019 roku wysłała ponad 40 tys. ostrzeżeń o próbach phishingu lub ataków grup wspieranych przez państwa. Stanowi to spadek o 25% w stosunku do poprzedniego roku, co firma argumentuje większą skutecznością swoich rozwiązań.
Sukcesu upatruje również w bieżącym monitoringu działań ugrupowań hakerskich wspieranych przez rządy. Udało im się odkryć, że 50 na 270 śledzonych grup wykorzystuje ten sam schemat i podszywa się pod media i dziennikarzy, co pozwoliło zablokować próby ataków.
Grupa śledzi również wykorzystanie przez przestępców luk zero-day w popularnych systemach – Android, Chrome, iOS, Internet Explorer i Windows.
Jeżeli jeszcze tego nie robisz, zachęcamy do korzystania z programu zaawansowanej ochrony – tutaj.