1. 1 mld telefon\u00f3w mo\u017ce by\u0107 szpiegowanych przez luki w kartach SIM iSMS<\/strong><\/h2>\n\n\nSimJacker to krytyczna luka w zabezpieczeniach kart SIM, kt\u00f3ra mo\u017ce zosta\u0107 wykorzystana do ataku na dowolny telefon i szpiegowania ofiar poprzez\u2026wys\u0142anie wiadomo\u015bci SMS. <\/p>\n\n\n\n
Podatno\u015b\u0107 odkryli badacze z firmy AdaptiveMobile Security. Karty SIM maj\u0105 ca\u0142kiem spor\u0105 pami\u0119\u0107 i prosty procesor. Mo\u017cliwe jest zatem wgranie na nie oprogramowania. Takiego jak np. \u201cdziurawy\u201d S@T Browser (SIMalliance Toolbox) – u\u017cywany do cel\u00f3w diagnostycznych. Wbudowany jest on w wi\u0119kszo\u015b\u0107 kart SIM u\u017cywanych przez operator\u00f3w telefonii kom\u00f3rkowej w co najmniej 30 krajach. Wed\u0142ug ekspert\u00f3w, wykorzystanie istniej\u0105cej w nim luki jest niezale\u017cne od modelu telefonu u\u017cywanego przez ofiar\u0119. Co wi\u0119cej, za jego pomoc\u0105 mo\u017cliwy jest atak na urz\u0105dzenia typu IoT wyposa\u017cone w karty SIM. <\/p>\n\n\n\n
Oprogramowanie S@T Browser do\u015b\u0107 stare i powszechnie nieznane. Jego pierwotnym celem by\u0142o umo\u017cliwienie us\u0142ug takich jak sprawdzenie salda konta. Globalnie jego funkcja zosta\u0142a w wi\u0119kszo\u015bci zast\u0105piona przez inne technologie, a jednak jest nadal u\u017cywana, dzia\u0142aj\u0105c w tle. <\/p>\n\n\n\n
Jak to dzia\u0142a? <\/strong>Atak SimJacker polega na wys\u0142aniu SMS-a zawieraj\u0105cego okre\u015blony rodzaj kodu typu spyware, kt\u00f3ry instruuje kart\u0119 SIM, aby \u201cprzej\u0119\u0142a\u201d telefon oraz pobra\u0142a i wykona\u0142a poufne polecenia. Przyk\u0142adowo, atakuj\u0105cy wysy\u0142a SMS-a do ofiary, a w odpowiedzi otrzymuje informacj\u0119 o jego geolokalizacji. Co ciekawe, ofiara nie widzi tej wiadomo\u015bci<\/p>\n\n\n Co mog\u0105 atakuj\u0105cy?<\/strong> <\/h6>\n\n\nPobra\u0107 nasz\u0105 lokalizacj\u0119, wysy\u0142a\u0107 fa\u0142szywe wiadomo\u015bci w imieniu ofiar, dokonywa\u0107 oszustwa wybieraj\u0105c numery o podwy\u017cszonej op\u0142acie, szpiegowa\u0107 otoczenie ofiar, otwiera\u0107 z\u0142o\u015bliwe strony internetowe i rozpowszechnia\u0107 wirusa czy wykonywa\u0107 ataki typu DoS. <\/p>\n\n\n\n
Raz, dwa, trzy\u2026szpiegowany jeste\u015b Ty. Eksperci ujawnili, \u017ce zaobserwowali ataki SimJacker na u\u017cytkownik\u00f3w najpopularniejszych urz\u0105dze\u0144 mobilnych produkowanych przez Apple, Google, Huawei, Motorol\u0119 i Samsunga. Zagro\u017conych jest ponad 1 mld u\u017cytkownik\u00f3w telefon\u00f3w na ca\u0142ym \u015bwiecie, w tym z dw\u00f3ch Ameryk, Europy, Bliskiego Wchodu i Afryki Zachodniej. <\/p>\n\n\n\n
AdaptiveMobile Security przekonuje, \u017ce exploit ten zosta\u0142 opracowany przez konkretn\u0105 prywatn\u0105 firm\u0119, kt\u00f3ra wsp\u00f3\u0142pracuje z rz\u0105dami w celu monitorowania os\u00f3b fizycznych. Co wi\u0119cej, robi to od co najmniej 2 lat\u2026<\/p>\n\n\n\n
A\u017c strach o tym my\u015ble\u0107\u2026<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n![\"Zapisz](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/09\/topy-mailing-endpoint.png\")
<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. LokiBot z now\u0105 kampani\u0105 malspam <\/strong><\/h2>\n\n\nLokiBot po raz kolejny da\u0142 o sobie zna\u0107. Badacze z Fortinet natrafili niedawno na kampani\u0119 malspam, wymierzon\u0105 w konkretn\u0105 ameryka\u0144sk\u0105 firm\u0119 produkcyjn\u0105.<\/p>\n\n\n\n
LokiBot jest nam dobrze znany \u2013 przeczytacie o nim wi\u0119cej tutaj<\/a>. Malware pozostaje aktywny od 2015 roku. Program wykrada informacje, st\u0105d jest wykorzystywany w wielu kampaniach spamowych. Atakuj\u0105cy zdobywaj\u0105 z jego pomoc\u0105 dane logowania z przegl\u0105darek, klient\u00f3w pocztowych, narz\u0119dzi administratora. Trojan pos\u0142u\u017cy\u0142 r\u00f3wnie\u017c do atak\u00f3w na posiadaczy portfeli z kryptowalutami. Z sukcesem oczywi\u015bcie.<\/p>\n\n\n\nNowy wariant LokiBot wykryto 21 sierpnia br. Analiza pr\u00f3bki wykaza\u0142a, \u017ce program zosta\u0142 skompilowany tego samego dnia. Wiadomo\u015bci phishing\u2019owe (z malware\u2019m ukrytym w pliku .exe gry o nazwie Dora The Explorer) trafi\u0142y na skrzynki pracownik\u00f3w dzia\u0142u sprzeda\u017cy. Nic w tym zaskakuj\u0105cego. Zwykle takie adresy pozyskuje si\u0119 naj\u0142atwiej. S\u0105 na wi\u0119kszo\u015bci stron firmowych. Dodatkowo znamy adres IP z kt\u00f3rego wys\u0142ano spam (IP 23[.]83[.]133[.]8.). Pos\u0142u\u017cy\u0142 on ju\u017c wcze\u015bniej do ataku na du\u017c\u0105 niemieck\u0105 piekarni\u0119 w czerwcu tego roku. Wtedy atakuj\u0105cy poprzez malspam chcieli sk\u0142oni\u0107 ofiary do pobrania elektronicznej faktury\u2026 po chi\u0144sku. <\/p>\n\n\n\n
Zagro\u017cenie. <\/strong>Program by\u0142 w stanie wykra\u015b\u0107 dane uwierzytelniaj\u0105ce r\u00f3\u017cnego typu. Przede wszystkim dane do FTP, has\u0142a do skrzynkach pocztowych oraz te zapisane w przegl\u0105darce i\u2026 wszystkie inne. Dlatego ten atak wydaje si\u0119 tak wyj\u0105tkowy.<\/p>\n\n\n\nBior\u0105c pod uwag\u0119 niewielk\u0105 liczb\u0119 wiadomo\u015bci malspam dostarczanych przy u\u017cyciu nowo zidentyfikowanego adresu IP, powi\u0105zany z nim serwer jest zapewne wykorzystywany przez jedn\u0105 grup\u0119 przest\u0119pcz\u0105. Mamy r\u00f3wnie\u017c do czynienia z bardzo ukierunkowanymi atakami.<\/p>\n\n\n\n
Ciekawostka<\/strong>. W odr\u00f3\u017cnieniu od wcze\u015bnie wykrytych wariant\u00f3w malware\u2019a Lokibot obecny nie wykorzystuje steganografii. <\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Zainstalowa\u0142e\u015b Latark\u0119 ze Sklepu Play? A czy wiesz do czego da\u0142e\u015b jej dost\u0119p?<\/strong><\/h2>\n\n\nCzasy kiedy aplikacja Latarka potrzebowa\u0142a wy\u0142\u0105cznie dost\u0119pu do kamery telefonu oraz lampy b\u0142yskowej mamy ju\u017c za sob\u0105. Przynajmniej takie niepokoj\u0105ce informacje p\u0142yn\u0105 z raportu przygotowanego przez firm\u0119 Avast.<\/p>\n\n\n\n
Producent antywirus\u00f3w przeanalizowa\u0142 937 aplikacji dost\u0119pnych w Google Play. Specjalist\u00f3w interesowa\u0142a ilo\u015b\u0107 zg\u00f3d, kt\u00f3re u\u017cytkownik musi wyrazi\u0107 aby aplikacji dzia\u0142a\u0142a \u201eprawid\u0142owo\u201d oraz ich rodzaj. Tak wi\u0119c\u2026<\/p>\n\n\n\n
- 408 aplikacji wymaga 10 lub mniejszej ilo\u015bci zg\u00f3d,<\/li>
- 237 potrzebuje 11-49,<\/li>
- 262 a\u017c 50-77 dost\u0119p\u00f3w.<\/li><\/ul>\n\n\n\n
Na co dok\u0142adnie zgadzaj\u0105 si\u0119 u\u017cytkownicy?<\/p>\n\n\n\n
180 aplikacji \u017c\u0105da dost\u0119pu do kontakt\u00f3w \u2013 zamawia\u0142\/a Pan\/Pani jaki\u015b spam? 131 potrzebuje dost\u0119pu do danych lokalizacji urz\u0105dzenia. 21 chce dodawa\u0107 za u\u017cytkownika kontakty. Tak, ci\u0105gle m\u00f3wimy o aplikacji Latarka, kt\u00f3ra ma w zasadzie pom\u00f3c nam znale\u017a\u0107 drog\u0119 w ciemno\u015bciach itp. <\/p>\n\n\n\n
Niekt\u00f3re ze zg\u00f3d s\u0105 bardzo niebezpieczne. KILL_BACKGROUND_PROCESSES mo\u017ce pos\u0142u\u017cy\u0107 do zmniejszenie zu\u017cycia energii\u2026 albo skutecznie u\u015bmierci\u0107 aplikacje zabezpieczaj\u0105ce urz\u0105dzenie.<\/p>\n\n\n\n
Szczeg\u00f3lnie niepokoi fakt, \u017ce zdobyte w ten spos\u00f3b dane mog\u0105 zosta\u0107 nast\u0119pnie sprzedane innym podmiotom \u2013 w ko\u0144cu u\u017cytkownik wyrazi\u0142 zgod\u0119. A \u017ce nie wczyta\u0142 si\u0119 w szczeg\u00f3\u0142y\u2026 <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n![\"Mechanizm](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/09\/ads-FB4-1024x536.png\")
<\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n4. Malware powi\u0105zany z Ryuk wykrada tajne dane armii, informacje finansowe…<\/strong><\/h2>\n\n\nBadaczom uda\u0142o si\u0119 namierzy\u0107 zupe\u0142nie nowy malware – w jaki\u015b spos\u00f3b powi\u0105zany z ransomware Ryuk – kt\u00f3ry namierza a potem kradnie poufne dane finansowe, wojskowe oraz organ\u00f3w \u015bcigania.<\/p>\n\n\n\n
Ryuk szyfruje pliki ofiary i nast\u0119pnie \u017c\u0105da okupu, jednak nie ma dowod\u00f3w na to, \u017ce wykrada tak\u017ce dane z zainfekowanych urz\u0105dze\u0144. Tymczasem nowa infekcja odkryta przez MalwareHunterTeam, robi dok\u0142adnie to. Program wyszukuj\u0105c poufne pliki a nast\u0119pnie przesy\u0142a je na FTP znajduj\u0105ce si\u0119 pod kontrol\u0105 atakuj\u0105cego.<\/p>\n\n\n\n
Jak dzia\u0142a file stealer? Program skanuje komputer ofiary w poszukiwaniu plik\u00f3w Word (.docx) i Excel (.xlsx). Ciekawostka: <\/strong>je\u015bli natrafi na folder spe\u0142niaj\u0105cy okre\u015blone kryteria, przejdzie do nast\u0119pnego – podobnie jak przy ataku ransomware.<\/p>\n\n\n\nKiedy malware zlokalizuje plik .docx lub .xlsx wykorzystuje funkcje libzip, zip_open oraz zip_trace aby sprawdzi\u0107, czy plik jest prawid\u0142owym dokumentem Word lub Excel. Je\u015bli ma do czynienia z w\u0142a\u015bciwym plikiem, por\u00f3wna jego nazw\u0119 z list\u0105 77 ci\u0105g\u00f3w zawartych w swoim kodzie. Poni\u017cej wyszczeg\u00f3lniamy tylko cz\u0119\u015b\u0107 z nich \u2013 zdecydowanie te, kt\u00f3re wydaj\u0105 si\u0119 najbardziej niepokoj\u0105ce. <\/p>\n\n\n\n
„marketwired”, „10-Q”, „fraud”, „hack”, „tank”, „defence”, „military”, „checking”, „classified”, „secret”, „clandestine”, undercover”, „federal” itp.<\/p>\n\n\n\n
Co ciekawe malware poszukuje tak\u017ce plik\u00f3w zawieraj\u0105cych w nazwie imiona takie jak „Emma”, „Liam”, „Olivia”,”Noah”, „William”, „Isabella”, „James”, „Sophia” oraz „Logan”. Szale\u0144stwo? Spisek? Nic bardziej mylnego. To jedne z najpopularniejszych imion nadawanych noworodkom w USA. Wszystkie zosta\u0142y opublikowane na stronie ameryka\u0144skiego Departament Ubezpiecze\u0144 Spo\u0142ecznych.<\/p>\n\n\n
Powi\u0105zania z ransomware\u2019m Ryuk<\/strong> <\/h6>\n\n\n1) Stealer pomija wszystkie pliki powi\u0105zane z Ryuk: RyukReadMe.txt, UNIQUE_ID_DO_NOT_REMOVE oraz wszystkie inne z rozszerzeniem .RYK.<\/p>\n\n\n\n
2) Stealer oraz Ryuk posiadaj\u0105 wsp\u00f3lne fragmenty kodu.<\/p>\n\n\n\n
3) Stealer skanuje zainfekowane urz\u0105dzenie w poszukiwaniu pliku o nazwie Ahnlab.<\/p>\n\n\n\n
Tak liczne podobie\u0144stwa nie oznaczaj\u0105 jednak, \u017ce mamy do czynienia z t\u0105 sam\u0105 grup\u0105 przest\u0119pcz\u0105. Istnieje spore szanse, \u017ce kto\u015b zdoby\u0142 kod Ryuk i wykorzysta\u0142 go we w\u0142asnym programie. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n5. Intel zn\u00f3w w tarapatach: luka NetCAT i zdalna kradzie\u017c danych z procesor\u00f3w <\/strong><\/h2>\n\n\nMia\u0142o by\u0107 lepiej, wysz\u0142o jak zwykle\u2026 – tak mo\u017cna by powiedzie\u0107 o kolejnym problemie Intela. Je\u017celi kto\u015b my\u015bla\u0142, \u017ce po ostatnich g\u0142o\u015bnych lukach, firma w ko\u0144cu odetchnie, grubo si\u0119 myli. NetCAT – bo tak\u0105 nazw\u0119 otrzyma\u0142a nowa podatno\u015b\u0107 najnowszych procesor\u00f3w Intela – mo\u017cna wykorzysta\u0107 zdalnie przez sie\u0107 bez konieczno\u015bci fizycznego dost\u0119pu lub instalacji z\u0142o\u015bliwego oprogramowania na komputerze ofiary. Aby by\u0142o do\u015b\u0107 ironicznie, luka, oznaczona jako CVE-2019-11184, dotyczy funkcji DIDO (skr\u00f3t od Data-Direct I\/O), kt\u00f3ra mia\u0142a przyspieszy\u0107 procesory tego producenta.<\/p>\n\n\n\n
Funkcja z za\u0142o\u017cenia pozwala podpi\u0105\u0107 urz\u0105dzenia sieciowe oraz peryferyjne bezpo\u015brednio do znajduj\u0105cej si\u0119 w CPU pami\u0119ci ostatniego poziomu. Jest domy\u015blnie w\u0142\u0105czona we wszystkich urz\u0105dzeniach Intela od 2012 roku, w tym w procesorach Intel Xeon E5, E7 i SP. <\/p>\n\n\n\n
Jak dzia\u0142a? NetCAT (skr\u00f3t od Network Cache ATtack) umo\u017cliwia zdalnemu atakuj\u0105cemu wykrycie poufnych danych w tym has\u0142o SSH, z pami\u0119ci podr\u0119cznej procesora Intela.<\/p>\n\n\n\n
DIDO pozwala na wsp\u00f3\u0142dzielenie dost\u0119pu do pami\u0119ci przez pod\u0142\u0105czone urz\u0105dzenia, nawet je\u017celi nie s\u0105 zaufane. Dzi\u0119ki temu mo\u017cna precyzyjne okre\u015bli\u0107 czas przesy\u0142ania pakiet\u00f3w danych, m.in. przez wykorzystanie SSH. To z kolei ju\u017c tylko krok do przeprowadzenia ataku z u\u017cyciem kana\u0142u bocznego i przej\u0119cie wpisywanych przez ofiar\u0119 znak\u00f3w. <\/p>\n\n\n\n
Wed\u0142ug naukowc\u00f3w atak z wykorzystaniem NetCAT mo\u017ce dzia\u0142a\u0107 podobnie jak Throwhammer i wysy\u0142a\u0107 wy\u0142\u0105cznie specjalnie spreparowane pakiety sieciowe do komputera docelowego z w\u0142\u0105czon\u0105 funkcj\u0105 Remote Direct Memory Access (RDMA).<\/p>\n\n\n\n
Jak si\u0119 broni\u0107? Najlepiej wy\u0142\u0105czy\u0107 zar\u00f3wno funkcj\u0119 DIDO jak i RDMA lub w inny spos\u00f3b zasugerowa\u0107 ograniczenie dost\u0119pu do serwer\u00f3w z nieznanych \u017ar\u00f3de\u0142. <\/p>\n\n\n\n
Co mog\u0105 atakuj\u0105cy?<\/strong> <\/h6>\n\n\nPobra\u0107 nasz\u0105 lokalizacj\u0119, wysy\u0142a\u0107 fa\u0142szywe wiadomo\u015bci w imieniu ofiar, dokonywa\u0107 oszustwa wybieraj\u0105c numery o podwy\u017cszonej op\u0142acie, szpiegowa\u0107 otoczenie ofiar, otwiera\u0107 z\u0142o\u015bliwe strony internetowe i rozpowszechnia\u0107 wirusa czy wykonywa\u0107 ataki typu DoS. <\/p>\n\n\n\n
Raz, dwa, trzy\u2026szpiegowany jeste\u015b Ty. Eksperci ujawnili, \u017ce zaobserwowali ataki SimJacker na u\u017cytkownik\u00f3w najpopularniejszych urz\u0105dze\u0144 mobilnych produkowanych przez Apple, Google, Huawei, Motorol\u0119 i Samsunga. Zagro\u017conych jest ponad 1 mld u\u017cytkownik\u00f3w telefon\u00f3w na ca\u0142ym \u015bwiecie, w tym z dw\u00f3ch Ameryk, Europy, Bliskiego Wchodu i Afryki Zachodniej. <\/p>\n\n\n\n
AdaptiveMobile Security przekonuje, \u017ce exploit ten zosta\u0142 opracowany przez konkretn\u0105 prywatn\u0105 firm\u0119, kt\u00f3ra wsp\u00f3\u0142pracuje z rz\u0105dami w celu monitorowania os\u00f3b fizycznych. Co wi\u0119cej, robi to od co najmniej 2 lat\u2026<\/p>\n\n\n\n
A\u017c strach o tym my\u015ble\u0107\u2026<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. LokiBot z now\u0105 kampani\u0105 malspam <\/strong><\/h2>\n\n\nLokiBot po raz kolejny da\u0142 o sobie zna\u0107. Badacze z Fortinet natrafili niedawno na kampani\u0119 malspam, wymierzon\u0105 w konkretn\u0105 ameryka\u0144sk\u0105 firm\u0119 produkcyjn\u0105.<\/p>\n\n\n\n
LokiBot jest nam dobrze znany \u2013 przeczytacie o nim wi\u0119cej tutaj<\/a>. Malware pozostaje aktywny od 2015 roku. Program wykrada informacje, st\u0105d jest wykorzystywany w wielu kampaniach spamowych. Atakuj\u0105cy zdobywaj\u0105 z jego pomoc\u0105 dane logowania z przegl\u0105darek, klient\u00f3w pocztowych, narz\u0119dzi administratora. Trojan pos\u0142u\u017cy\u0142 r\u00f3wnie\u017c do atak\u00f3w na posiadaczy portfeli z kryptowalutami. Z sukcesem oczywi\u015bcie.<\/p>\n\n\n\nNowy wariant LokiBot wykryto 21 sierpnia br. Analiza pr\u00f3bki wykaza\u0142a, \u017ce program zosta\u0142 skompilowany tego samego dnia. Wiadomo\u015bci phishing\u2019owe (z malware\u2019m ukrytym w pliku .exe gry o nazwie Dora The Explorer) trafi\u0142y na skrzynki pracownik\u00f3w dzia\u0142u sprzeda\u017cy. Nic w tym zaskakuj\u0105cego. Zwykle takie adresy pozyskuje si\u0119 naj\u0142atwiej. S\u0105 na wi\u0119kszo\u015bci stron firmowych. Dodatkowo znamy adres IP z kt\u00f3rego wys\u0142ano spam (IP 23[.]83[.]133[.]8.). Pos\u0142u\u017cy\u0142 on ju\u017c wcze\u015bniej do ataku na du\u017c\u0105 niemieck\u0105 piekarni\u0119 w czerwcu tego roku. Wtedy atakuj\u0105cy poprzez malspam chcieli sk\u0142oni\u0107 ofiary do pobrania elektronicznej faktury\u2026 po chi\u0144sku. <\/p>\n\n\n\n
Zagro\u017cenie. <\/strong>Program by\u0142 w stanie wykra\u015b\u0107 dane uwierzytelniaj\u0105ce r\u00f3\u017cnego typu. Przede wszystkim dane do FTP, has\u0142a do skrzynkach pocztowych oraz te zapisane w przegl\u0105darce i\u2026 wszystkie inne. Dlatego ten atak wydaje si\u0119 tak wyj\u0105tkowy.<\/p>\n\n\n\nBior\u0105c pod uwag\u0119 niewielk\u0105 liczb\u0119 wiadomo\u015bci malspam dostarczanych przy u\u017cyciu nowo zidentyfikowanego adresu IP, powi\u0105zany z nim serwer jest zapewne wykorzystywany przez jedn\u0105 grup\u0119 przest\u0119pcz\u0105. Mamy r\u00f3wnie\u017c do czynienia z bardzo ukierunkowanymi atakami.<\/p>\n\n\n\n
Ciekawostka<\/strong>. W odr\u00f3\u017cnieniu od wcze\u015bnie wykrytych wariant\u00f3w malware\u2019a Lokibot obecny nie wykorzystuje steganografii. <\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Zainstalowa\u0142e\u015b Latark\u0119 ze Sklepu Play? A czy wiesz do czego da\u0142e\u015b jej dost\u0119p?<\/strong><\/h2>\n\n\nCzasy kiedy aplikacja Latarka potrzebowa\u0142a wy\u0142\u0105cznie dost\u0119pu do kamery telefonu oraz lampy b\u0142yskowej mamy ju\u017c za sob\u0105. Przynajmniej takie niepokoj\u0105ce informacje p\u0142yn\u0105 z raportu przygotowanego przez firm\u0119 Avast.<\/p>\n\n\n\n
Producent antywirus\u00f3w przeanalizowa\u0142 937 aplikacji dost\u0119pnych w Google Play. Specjalist\u00f3w interesowa\u0142a ilo\u015b\u0107 zg\u00f3d, kt\u00f3re u\u017cytkownik musi wyrazi\u0107 aby aplikacji dzia\u0142a\u0142a \u201eprawid\u0142owo\u201d oraz ich rodzaj. Tak wi\u0119c\u2026<\/p>\n\n\n\n
- 408 aplikacji wymaga 10 lub mniejszej ilo\u015bci zg\u00f3d,<\/li>
- 237 potrzebuje 11-49,<\/li>
- 262 a\u017c 50-77 dost\u0119p\u00f3w.<\/li><\/ul>\n\n\n\n
Na co dok\u0142adnie zgadzaj\u0105 si\u0119 u\u017cytkownicy?<\/p>\n\n\n\n
180 aplikacji \u017c\u0105da dost\u0119pu do kontakt\u00f3w \u2013 zamawia\u0142\/a Pan\/Pani jaki\u015b spam? 131 potrzebuje dost\u0119pu do danych lokalizacji urz\u0105dzenia. 21 chce dodawa\u0107 za u\u017cytkownika kontakty. Tak, ci\u0105gle m\u00f3wimy o aplikacji Latarka, kt\u00f3ra ma w zasadzie pom\u00f3c nam znale\u017a\u0107 drog\u0119 w ciemno\u015bciach itp. <\/p>\n\n\n\n
Niekt\u00f3re ze zg\u00f3d s\u0105 bardzo niebezpieczne. KILL_BACKGROUND_PROCESSES mo\u017ce pos\u0142u\u017cy\u0107 do zmniejszenie zu\u017cycia energii\u2026 albo skutecznie u\u015bmierci\u0107 aplikacje zabezpieczaj\u0105ce urz\u0105dzenie.<\/p>\n\n\n\n
Szczeg\u00f3lnie niepokoi fakt, \u017ce zdobyte w ten spos\u00f3b dane mog\u0105 zosta\u0107 nast\u0119pnie sprzedane innym podmiotom \u2013 w ko\u0144cu u\u017cytkownik wyrazi\u0142 zgod\u0119. A \u017ce nie wczyta\u0142 si\u0119 w szczeg\u00f3\u0142y\u2026 <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n4. Malware powi\u0105zany z Ryuk wykrada tajne dane armii, informacje finansowe…<\/strong><\/h2>\n\n\nBadaczom uda\u0142o si\u0119 namierzy\u0107 zupe\u0142nie nowy malware – w jaki\u015b spos\u00f3b powi\u0105zany z ransomware Ryuk – kt\u00f3ry namierza a potem kradnie poufne dane finansowe, wojskowe oraz organ\u00f3w \u015bcigania.<\/p>\n\n\n\n
Ryuk szyfruje pliki ofiary i nast\u0119pnie \u017c\u0105da okupu, jednak nie ma dowod\u00f3w na to, \u017ce wykrada tak\u017ce dane z zainfekowanych urz\u0105dze\u0144. Tymczasem nowa infekcja odkryta przez MalwareHunterTeam, robi dok\u0142adnie to. Program wyszukuj\u0105c poufne pliki a nast\u0119pnie przesy\u0142a je na FTP znajduj\u0105ce si\u0119 pod kontrol\u0105 atakuj\u0105cego.<\/p>\n\n\n\n
Jak dzia\u0142a file stealer? Program skanuje komputer ofiary w poszukiwaniu plik\u00f3w Word (.docx) i Excel (.xlsx). Ciekawostka: <\/strong>je\u015bli natrafi na folder spe\u0142niaj\u0105cy okre\u015blone kryteria, przejdzie do nast\u0119pnego – podobnie jak przy ataku ransomware.<\/p>\n\n\n\nKiedy malware zlokalizuje plik .docx lub .xlsx wykorzystuje funkcje libzip, zip_open oraz zip_trace aby sprawdzi\u0107, czy plik jest prawid\u0142owym dokumentem Word lub Excel. Je\u015bli ma do czynienia z w\u0142a\u015bciwym plikiem, por\u00f3wna jego nazw\u0119 z list\u0105 77 ci\u0105g\u00f3w zawartych w swoim kodzie. Poni\u017cej wyszczeg\u00f3lniamy tylko cz\u0119\u015b\u0107 z nich \u2013 zdecydowanie te, kt\u00f3re wydaj\u0105 si\u0119 najbardziej niepokoj\u0105ce. <\/p>\n\n\n\n
„marketwired”, „10-Q”, „fraud”, „hack”, „tank”, „defence”, „military”, „checking”, „classified”, „secret”, „clandestine”, undercover”, „federal” itp.<\/p>\n\n\n\n
Co ciekawe malware poszukuje tak\u017ce plik\u00f3w zawieraj\u0105cych w nazwie imiona takie jak „Emma”, „Liam”, „Olivia”,”Noah”, „William”, „Isabella”, „James”, „Sophia” oraz „Logan”. Szale\u0144stwo? Spisek? Nic bardziej mylnego. To jedne z najpopularniejszych imion nadawanych noworodkom w USA. Wszystkie zosta\u0142y opublikowane na stronie ameryka\u0144skiego Departament Ubezpiecze\u0144 Spo\u0142ecznych.<\/p>\n\n\n
Powi\u0105zania z ransomware\u2019m Ryuk<\/strong> <\/h6>\n\n\n1) Stealer pomija wszystkie pliki powi\u0105zane z Ryuk: RyukReadMe.txt, UNIQUE_ID_DO_NOT_REMOVE oraz wszystkie inne z rozszerzeniem .RYK.<\/p>\n\n\n\n
2) Stealer oraz Ryuk posiadaj\u0105 wsp\u00f3lne fragmenty kodu.<\/p>\n\n\n\n
3) Stealer skanuje zainfekowane urz\u0105dzenie w poszukiwaniu pliku o nazwie Ahnlab.<\/p>\n\n\n\n
Tak liczne podobie\u0144stwa nie oznaczaj\u0105 jednak, \u017ce mamy do czynienia z t\u0105 sam\u0105 grup\u0105 przest\u0119pcz\u0105. Istnieje spore szanse, \u017ce kto\u015b zdoby\u0142 kod Ryuk i wykorzysta\u0142 go we w\u0142asnym programie. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n5. Intel zn\u00f3w w tarapatach: luka NetCAT i zdalna kradzie\u017c danych z procesor\u00f3w <\/strong><\/h2>\n\n\nMia\u0142o by\u0107 lepiej, wysz\u0142o jak zwykle\u2026 – tak mo\u017cna by powiedzie\u0107 o kolejnym problemie Intela. Je\u017celi kto\u015b my\u015bla\u0142, \u017ce po ostatnich g\u0142o\u015bnych lukach, firma w ko\u0144cu odetchnie, grubo si\u0119 myli. NetCAT – bo tak\u0105 nazw\u0119 otrzyma\u0142a nowa podatno\u015b\u0107 najnowszych procesor\u00f3w Intela – mo\u017cna wykorzysta\u0107 zdalnie przez sie\u0107 bez konieczno\u015bci fizycznego dost\u0119pu lub instalacji z\u0142o\u015bliwego oprogramowania na komputerze ofiary. Aby by\u0142o do\u015b\u0107 ironicznie, luka, oznaczona jako CVE-2019-11184, dotyczy funkcji DIDO (skr\u00f3t od Data-Direct I\/O), kt\u00f3ra mia\u0142a przyspieszy\u0107 procesory tego producenta.<\/p>\n\n\n\n
Funkcja z za\u0142o\u017cenia pozwala podpi\u0105\u0107 urz\u0105dzenia sieciowe oraz peryferyjne bezpo\u015brednio do znajduj\u0105cej si\u0119 w CPU pami\u0119ci ostatniego poziomu. Jest domy\u015blnie w\u0142\u0105czona we wszystkich urz\u0105dzeniach Intela od 2012 roku, w tym w procesorach Intel Xeon E5, E7 i SP. <\/p>\n\n\n\n
Jak dzia\u0142a? NetCAT (skr\u00f3t od Network Cache ATtack) umo\u017cliwia zdalnemu atakuj\u0105cemu wykrycie poufnych danych w tym has\u0142o SSH, z pami\u0119ci podr\u0119cznej procesora Intela.<\/p>\n\n\n\n
DIDO pozwala na wsp\u00f3\u0142dzielenie dost\u0119pu do pami\u0119ci przez pod\u0142\u0105czone urz\u0105dzenia, nawet je\u017celi nie s\u0105 zaufane. Dzi\u0119ki temu mo\u017cna precyzyjne okre\u015bli\u0107 czas przesy\u0142ania pakiet\u00f3w danych, m.in. przez wykorzystanie SSH. To z kolei ju\u017c tylko krok do przeprowadzenia ataku z u\u017cyciem kana\u0142u bocznego i przej\u0119cie wpisywanych przez ofiar\u0119 znak\u00f3w. <\/p>\n\n\n\n
Wed\u0142ug naukowc\u00f3w atak z wykorzystaniem NetCAT mo\u017ce dzia\u0142a\u0107 podobnie jak Throwhammer i wysy\u0142a\u0107 wy\u0142\u0105cznie specjalnie spreparowane pakiety sieciowe do komputera docelowego z w\u0142\u0105czon\u0105 funkcj\u0105 Remote Direct Memory Access (RDMA).<\/p>\n\n\n\n
Jak si\u0119 broni\u0107? Najlepiej wy\u0142\u0105czy\u0107 zar\u00f3wno funkcj\u0119 DIDO jak i RDMA lub w inny spos\u00f3b zasugerowa\u0107 ograniczenie dost\u0119pu do serwer\u00f3w z nieznanych \u017ar\u00f3de\u0142. <\/p>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\n2. LokiBot z now\u0105 kampani\u0105 malspam <\/strong><\/h2>\n\n\nLokiBot po raz kolejny da\u0142 o sobie zna\u0107. Badacze z Fortinet natrafili niedawno na kampani\u0119 malspam, wymierzon\u0105 w konkretn\u0105 ameryka\u0144sk\u0105 firm\u0119 produkcyjn\u0105.<\/p>\n\n\n\n
LokiBot jest nam dobrze znany \u2013 przeczytacie o nim wi\u0119cej tutaj<\/a>. Malware pozostaje aktywny od 2015 roku. Program wykrada informacje, st\u0105d jest wykorzystywany w wielu kampaniach spamowych. Atakuj\u0105cy zdobywaj\u0105 z jego pomoc\u0105 dane logowania z przegl\u0105darek, klient\u00f3w pocztowych, narz\u0119dzi administratora. Trojan pos\u0142u\u017cy\u0142 r\u00f3wnie\u017c do atak\u00f3w na posiadaczy portfeli z kryptowalutami. Z sukcesem oczywi\u015bcie.<\/p>\n\n\n\nNowy wariant LokiBot wykryto 21 sierpnia br. Analiza pr\u00f3bki wykaza\u0142a, \u017ce program zosta\u0142 skompilowany tego samego dnia. Wiadomo\u015bci phishing\u2019owe (z malware\u2019m ukrytym w pliku .exe gry o nazwie Dora The Explorer) trafi\u0142y na skrzynki pracownik\u00f3w dzia\u0142u sprzeda\u017cy. Nic w tym zaskakuj\u0105cego. Zwykle takie adresy pozyskuje si\u0119 naj\u0142atwiej. S\u0105 na wi\u0119kszo\u015bci stron firmowych. Dodatkowo znamy adres IP z kt\u00f3rego wys\u0142ano spam (IP 23[.]83[.]133[.]8.). Pos\u0142u\u017cy\u0142 on ju\u017c wcze\u015bniej do ataku na du\u017c\u0105 niemieck\u0105 piekarni\u0119 w czerwcu tego roku. Wtedy atakuj\u0105cy poprzez malspam chcieli sk\u0142oni\u0107 ofiary do pobrania elektronicznej faktury\u2026 po chi\u0144sku. <\/p>\n\n\n\n
Zagro\u017cenie. <\/strong>Program by\u0142 w stanie wykra\u015b\u0107 dane uwierzytelniaj\u0105ce r\u00f3\u017cnego typu. Przede wszystkim dane do FTP, has\u0142a do skrzynkach pocztowych oraz te zapisane w przegl\u0105darce i\u2026 wszystkie inne. Dlatego ten atak wydaje si\u0119 tak wyj\u0105tkowy.<\/p>\n\n\n\nBior\u0105c pod uwag\u0119 niewielk\u0105 liczb\u0119 wiadomo\u015bci malspam dostarczanych przy u\u017cyciu nowo zidentyfikowanego adresu IP, powi\u0105zany z nim serwer jest zapewne wykorzystywany przez jedn\u0105 grup\u0119 przest\u0119pcz\u0105. Mamy r\u00f3wnie\u017c do czynienia z bardzo ukierunkowanymi atakami.<\/p>\n\n\n\n
Ciekawostka<\/strong>. W odr\u00f3\u017cnieniu od wcze\u015bnie wykrytych wariant\u00f3w malware\u2019a Lokibot obecny nie wykorzystuje steganografii. <\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Zainstalowa\u0142e\u015b Latark\u0119 ze Sklepu Play? A czy wiesz do czego da\u0142e\u015b jej dost\u0119p?<\/strong><\/h2>\n\n\nCzasy kiedy aplikacja Latarka potrzebowa\u0142a wy\u0142\u0105cznie dost\u0119pu do kamery telefonu oraz lampy b\u0142yskowej mamy ju\u017c za sob\u0105. Przynajmniej takie niepokoj\u0105ce informacje p\u0142yn\u0105 z raportu przygotowanego przez firm\u0119 Avast.<\/p>\n\n\n\n
Producent antywirus\u00f3w przeanalizowa\u0142 937 aplikacji dost\u0119pnych w Google Play. Specjalist\u00f3w interesowa\u0142a ilo\u015b\u0107 zg\u00f3d, kt\u00f3re u\u017cytkownik musi wyrazi\u0107 aby aplikacji dzia\u0142a\u0142a \u201eprawid\u0142owo\u201d oraz ich rodzaj. Tak wi\u0119c\u2026<\/p>\n\n\n\n
- 408 aplikacji wymaga 10 lub mniejszej ilo\u015bci zg\u00f3d,<\/li>
- 237 potrzebuje 11-49,<\/li>
- 262 a\u017c 50-77 dost\u0119p\u00f3w.<\/li><\/ul>\n\n\n\n
Na co dok\u0142adnie zgadzaj\u0105 si\u0119 u\u017cytkownicy?<\/p>\n\n\n\n
180 aplikacji \u017c\u0105da dost\u0119pu do kontakt\u00f3w \u2013 zamawia\u0142\/a Pan\/Pani jaki\u015b spam? 131 potrzebuje dost\u0119pu do danych lokalizacji urz\u0105dzenia. 21 chce dodawa\u0107 za u\u017cytkownika kontakty. Tak, ci\u0105gle m\u00f3wimy o aplikacji Latarka, kt\u00f3ra ma w zasadzie pom\u00f3c nam znale\u017a\u0107 drog\u0119 w ciemno\u015bciach itp. <\/p>\n\n\n\n
Niekt\u00f3re ze zg\u00f3d s\u0105 bardzo niebezpieczne. KILL_BACKGROUND_PROCESSES mo\u017ce pos\u0142u\u017cy\u0107 do zmniejszenie zu\u017cycia energii\u2026 albo skutecznie u\u015bmierci\u0107 aplikacje zabezpieczaj\u0105ce urz\u0105dzenie.<\/p>\n\n\n\n
Szczeg\u00f3lnie niepokoi fakt, \u017ce zdobyte w ten spos\u00f3b dane mog\u0105 zosta\u0107 nast\u0119pnie sprzedane innym podmiotom \u2013 w ko\u0144cu u\u017cytkownik wyrazi\u0142 zgod\u0119. A \u017ce nie wczyta\u0142 si\u0119 w szczeg\u00f3\u0142y\u2026 <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n4. Malware powi\u0105zany z Ryuk wykrada tajne dane armii, informacje finansowe…<\/strong><\/h2>\n\n\nBadaczom uda\u0142o si\u0119 namierzy\u0107 zupe\u0142nie nowy malware – w jaki\u015b spos\u00f3b powi\u0105zany z ransomware Ryuk – kt\u00f3ry namierza a potem kradnie poufne dane finansowe, wojskowe oraz organ\u00f3w \u015bcigania.<\/p>\n\n\n\n
Ryuk szyfruje pliki ofiary i nast\u0119pnie \u017c\u0105da okupu, jednak nie ma dowod\u00f3w na to, \u017ce wykrada tak\u017ce dane z zainfekowanych urz\u0105dze\u0144. Tymczasem nowa infekcja odkryta przez MalwareHunterTeam, robi dok\u0142adnie to. Program wyszukuj\u0105c poufne pliki a nast\u0119pnie przesy\u0142a je na FTP znajduj\u0105ce si\u0119 pod kontrol\u0105 atakuj\u0105cego.<\/p>\n\n\n\n
Jak dzia\u0142a file stealer? Program skanuje komputer ofiary w poszukiwaniu plik\u00f3w Word (.docx) i Excel (.xlsx). Ciekawostka: <\/strong>je\u015bli natrafi na folder spe\u0142niaj\u0105cy okre\u015blone kryteria, przejdzie do nast\u0119pnego – podobnie jak przy ataku ransomware.<\/p>\n\n\n\nKiedy malware zlokalizuje plik .docx lub .xlsx wykorzystuje funkcje libzip, zip_open oraz zip_trace aby sprawdzi\u0107, czy plik jest prawid\u0142owym dokumentem Word lub Excel. Je\u015bli ma do czynienia z w\u0142a\u015bciwym plikiem, por\u00f3wna jego nazw\u0119 z list\u0105 77 ci\u0105g\u00f3w zawartych w swoim kodzie. Poni\u017cej wyszczeg\u00f3lniamy tylko cz\u0119\u015b\u0107 z nich \u2013 zdecydowanie te, kt\u00f3re wydaj\u0105 si\u0119 najbardziej niepokoj\u0105ce. <\/p>\n\n\n\n
„marketwired”, „10-Q”, „fraud”, „hack”, „tank”, „defence”, „military”, „checking”, „classified”, „secret”, „clandestine”, undercover”, „federal” itp.<\/p>\n\n\n\n
Co ciekawe malware poszukuje tak\u017ce plik\u00f3w zawieraj\u0105cych w nazwie imiona takie jak „Emma”, „Liam”, „Olivia”,”Noah”, „William”, „Isabella”, „James”, „Sophia” oraz „Logan”. Szale\u0144stwo? Spisek? Nic bardziej mylnego. To jedne z najpopularniejszych imion nadawanych noworodkom w USA. Wszystkie zosta\u0142y opublikowane na stronie ameryka\u0144skiego Departament Ubezpiecze\u0144 Spo\u0142ecznych.<\/p>\n\n\n
Powi\u0105zania z ransomware\u2019m Ryuk<\/strong> <\/h6>\n\n\n1) Stealer pomija wszystkie pliki powi\u0105zane z Ryuk: RyukReadMe.txt, UNIQUE_ID_DO_NOT_REMOVE oraz wszystkie inne z rozszerzeniem .RYK.<\/p>\n\n\n\n
2) Stealer oraz Ryuk posiadaj\u0105 wsp\u00f3lne fragmenty kodu.<\/p>\n\n\n\n
3) Stealer skanuje zainfekowane urz\u0105dzenie w poszukiwaniu pliku o nazwie Ahnlab.<\/p>\n\n\n\n
Tak liczne podobie\u0144stwa nie oznaczaj\u0105 jednak, \u017ce mamy do czynienia z t\u0105 sam\u0105 grup\u0105 przest\u0119pcz\u0105. Istnieje spore szanse, \u017ce kto\u015b zdoby\u0142 kod Ryuk i wykorzysta\u0142 go we w\u0142asnym programie. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n5. Intel zn\u00f3w w tarapatach: luka NetCAT i zdalna kradzie\u017c danych z procesor\u00f3w <\/strong><\/h2>\n\n\nMia\u0142o by\u0107 lepiej, wysz\u0142o jak zwykle\u2026 – tak mo\u017cna by powiedzie\u0107 o kolejnym problemie Intela. Je\u017celi kto\u015b my\u015bla\u0142, \u017ce po ostatnich g\u0142o\u015bnych lukach, firma w ko\u0144cu odetchnie, grubo si\u0119 myli. NetCAT – bo tak\u0105 nazw\u0119 otrzyma\u0142a nowa podatno\u015b\u0107 najnowszych procesor\u00f3w Intela – mo\u017cna wykorzysta\u0107 zdalnie przez sie\u0107 bez konieczno\u015bci fizycznego dost\u0119pu lub instalacji z\u0142o\u015bliwego oprogramowania na komputerze ofiary. Aby by\u0142o do\u015b\u0107 ironicznie, luka, oznaczona jako CVE-2019-11184, dotyczy funkcji DIDO (skr\u00f3t od Data-Direct I\/O), kt\u00f3ra mia\u0142a przyspieszy\u0107 procesory tego producenta.<\/p>\n\n\n\n
Funkcja z za\u0142o\u017cenia pozwala podpi\u0105\u0107 urz\u0105dzenia sieciowe oraz peryferyjne bezpo\u015brednio do znajduj\u0105cej si\u0119 w CPU pami\u0119ci ostatniego poziomu. Jest domy\u015blnie w\u0142\u0105czona we wszystkich urz\u0105dzeniach Intela od 2012 roku, w tym w procesorach Intel Xeon E5, E7 i SP. <\/p>\n\n\n\n
Jak dzia\u0142a? NetCAT (skr\u00f3t od Network Cache ATtack) umo\u017cliwia zdalnemu atakuj\u0105cemu wykrycie poufnych danych w tym has\u0142o SSH, z pami\u0119ci podr\u0119cznej procesora Intela.<\/p>\n\n\n\n
DIDO pozwala na wsp\u00f3\u0142dzielenie dost\u0119pu do pami\u0119ci przez pod\u0142\u0105czone urz\u0105dzenia, nawet je\u017celi nie s\u0105 zaufane. Dzi\u0119ki temu mo\u017cna precyzyjne okre\u015bli\u0107 czas przesy\u0142ania pakiet\u00f3w danych, m.in. przez wykorzystanie SSH. To z kolei ju\u017c tylko krok do przeprowadzenia ataku z u\u017cyciem kana\u0142u bocznego i przej\u0119cie wpisywanych przez ofiar\u0119 znak\u00f3w. <\/p>\n\n\n\n
Wed\u0142ug naukowc\u00f3w atak z wykorzystaniem NetCAT mo\u017ce dzia\u0142a\u0107 podobnie jak Throwhammer i wysy\u0142a\u0107 wy\u0142\u0105cznie specjalnie spreparowane pakiety sieciowe do komputera docelowego z w\u0142\u0105czon\u0105 funkcj\u0105 Remote Direct Memory Access (RDMA).<\/p>\n\n\n\n
Jak si\u0119 broni\u0107? Najlepiej wy\u0142\u0105czy\u0107 zar\u00f3wno funkcj\u0119 DIDO jak i RDMA lub w inny spos\u00f3b zasugerowa\u0107 ograniczenie dost\u0119pu do serwer\u00f3w z nieznanych \u017ar\u00f3de\u0142. <\/p>\n\n\n\n
Nowy wariant LokiBot wykryto 21 sierpnia br. Analiza pr\u00f3bki wykaza\u0142a, \u017ce program zosta\u0142 skompilowany tego samego dnia. Wiadomo\u015bci phishing\u2019owe (z malware\u2019m ukrytym w pliku .exe gry o nazwie Dora The Explorer) trafi\u0142y na skrzynki pracownik\u00f3w dzia\u0142u sprzeda\u017cy. Nic w tym zaskakuj\u0105cego. Zwykle takie adresy pozyskuje si\u0119 naj\u0142atwiej. S\u0105 na wi\u0119kszo\u015bci stron firmowych. Dodatkowo znamy adres IP z kt\u00f3rego wys\u0142ano spam (IP 23[.]83[.]133[.]8.). Pos\u0142u\u017cy\u0142 on ju\u017c wcze\u015bniej do ataku na du\u017c\u0105 niemieck\u0105 piekarni\u0119 w czerwcu tego roku. Wtedy atakuj\u0105cy poprzez malspam chcieli sk\u0142oni\u0107 ofiary do pobrania elektronicznej faktury\u2026 po chi\u0144sku. <\/p>\n\n\n\n
Zagro\u017cenie. <\/strong>Program by\u0142 w stanie wykra\u015b\u0107 dane uwierzytelniaj\u0105ce r\u00f3\u017cnego typu. Przede wszystkim dane do FTP, has\u0142a do skrzynkach pocztowych oraz te zapisane w przegl\u0105darce i\u2026 wszystkie inne. Dlatego ten atak wydaje si\u0119 tak wyj\u0105tkowy.<\/p>\n\n\n\n Bior\u0105c pod uwag\u0119 niewielk\u0105 liczb\u0119 wiadomo\u015bci malspam dostarczanych przy u\u017cyciu nowo zidentyfikowanego adresu IP, powi\u0105zany z nim serwer jest zapewne wykorzystywany przez jedn\u0105 grup\u0119 przest\u0119pcz\u0105. Mamy r\u00f3wnie\u017c do czynienia z bardzo ukierunkowanymi atakami.<\/p>\n\n\n\n Ciekawostka<\/strong>. W odr\u00f3\u017cnieniu od wcze\u015bnie wykrytych wariant\u00f3w malware\u2019a Lokibot obecny nie wykorzystuje steganografii. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Czasy kiedy aplikacja Latarka potrzebowa\u0142a wy\u0142\u0105cznie dost\u0119pu do kamery telefonu oraz lampy b\u0142yskowej mamy ju\u017c za sob\u0105. Przynajmniej takie niepokoj\u0105ce informacje p\u0142yn\u0105 z raportu przygotowanego przez firm\u0119 Avast.<\/p>\n\n\n\n Producent antywirus\u00f3w przeanalizowa\u0142 937 aplikacji dost\u0119pnych w Google Play. Specjalist\u00f3w interesowa\u0142a ilo\u015b\u0107 zg\u00f3d, kt\u00f3re u\u017cytkownik musi wyrazi\u0107 aby aplikacji dzia\u0142a\u0142a \u201eprawid\u0142owo\u201d oraz ich rodzaj. Tak wi\u0119c\u2026<\/p>\n\n\n\n Na co dok\u0142adnie zgadzaj\u0105 si\u0119 u\u017cytkownicy?<\/p>\n\n\n\n 180 aplikacji \u017c\u0105da dost\u0119pu do kontakt\u00f3w \u2013 zamawia\u0142\/a Pan\/Pani jaki\u015b spam? 131 potrzebuje dost\u0119pu do danych lokalizacji urz\u0105dzenia. 21 chce dodawa\u0107 za u\u017cytkownika kontakty. Tak, ci\u0105gle m\u00f3wimy o aplikacji Latarka, kt\u00f3ra ma w zasadzie pom\u00f3c nam znale\u017a\u0107 drog\u0119 w ciemno\u015bciach itp. <\/p>\n\n\n\n Niekt\u00f3re ze zg\u00f3d s\u0105 bardzo niebezpieczne. KILL_BACKGROUND_PROCESSES mo\u017ce pos\u0142u\u017cy\u0107 do zmniejszenie zu\u017cycia energii\u2026 albo skutecznie u\u015bmierci\u0107 aplikacje zabezpieczaj\u0105ce urz\u0105dzenie.<\/p>\n\n\n\n Szczeg\u00f3lnie niepokoi fakt, \u017ce zdobyte w ten spos\u00f3b dane mog\u0105 zosta\u0107 nast\u0119pnie sprzedane innym podmiotom \u2013 w ko\u0144cu u\u017cytkownik wyrazi\u0142 zgod\u0119. A \u017ce nie wczyta\u0142 si\u0119 w szczeg\u00f3\u0142y\u2026 <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Badaczom uda\u0142o si\u0119 namierzy\u0107 zupe\u0142nie nowy malware – w jaki\u015b spos\u00f3b powi\u0105zany z ransomware Ryuk – kt\u00f3ry namierza a potem kradnie poufne dane finansowe, wojskowe oraz organ\u00f3w \u015bcigania.<\/p>\n\n\n\n Ryuk szyfruje pliki ofiary i nast\u0119pnie \u017c\u0105da okupu, jednak nie ma dowod\u00f3w na to, \u017ce wykrada tak\u017ce dane z zainfekowanych urz\u0105dze\u0144. Tymczasem nowa infekcja odkryta przez MalwareHunterTeam, robi dok\u0142adnie to. Program wyszukuj\u0105c poufne pliki a nast\u0119pnie przesy\u0142a je na FTP znajduj\u0105ce si\u0119 pod kontrol\u0105 atakuj\u0105cego.<\/p>\n\n\n\n Jak dzia\u0142a file stealer? Program skanuje komputer ofiary w poszukiwaniu plik\u00f3w Word (.docx) i Excel (.xlsx). Ciekawostka: <\/strong>je\u015bli natrafi na folder spe\u0142niaj\u0105cy okre\u015blone kryteria, przejdzie do nast\u0119pnego – podobnie jak przy ataku ransomware.<\/p>\n\n\n\n Kiedy malware zlokalizuje plik .docx lub .xlsx wykorzystuje funkcje libzip, zip_open oraz zip_trace aby sprawdzi\u0107, czy plik jest prawid\u0142owym dokumentem Word lub Excel. Je\u015bli ma do czynienia z w\u0142a\u015bciwym plikiem, por\u00f3wna jego nazw\u0119 z list\u0105 77 ci\u0105g\u00f3w zawartych w swoim kodzie. Poni\u017cej wyszczeg\u00f3lniamy tylko cz\u0119\u015b\u0107 z nich \u2013 zdecydowanie te, kt\u00f3re wydaj\u0105 si\u0119 najbardziej niepokoj\u0105ce. <\/p>\n\n\n\n „marketwired”, „10-Q”, „fraud”, „hack”, „tank”, „defence”, „military”, „checking”, „classified”, „secret”, „clandestine”, undercover”, „federal” itp.<\/p>\n\n\n\n Co ciekawe malware poszukuje tak\u017ce plik\u00f3w zawieraj\u0105cych w nazwie imiona takie jak „Emma”, „Liam”, „Olivia”,”Noah”, „William”, „Isabella”, „James”, „Sophia” oraz „Logan”. Szale\u0144stwo? Spisek? Nic bardziej mylnego. To jedne z najpopularniejszych imion nadawanych noworodkom w USA. Wszystkie zosta\u0142y opublikowane na stronie ameryka\u0144skiego Departament Ubezpiecze\u0144 Spo\u0142ecznych.<\/p>\n\n\n 1) Stealer pomija wszystkie pliki powi\u0105zane z Ryuk: RyukReadMe.txt, UNIQUE_ID_DO_NOT_REMOVE oraz wszystkie inne z rozszerzeniem .RYK.<\/p>\n\n\n\n 2) Stealer oraz Ryuk posiadaj\u0105 wsp\u00f3lne fragmenty kodu.<\/p>\n\n\n\n 3) Stealer skanuje zainfekowane urz\u0105dzenie w poszukiwaniu pliku o nazwie Ahnlab.<\/p>\n\n\n\n Tak liczne podobie\u0144stwa nie oznaczaj\u0105 jednak, \u017ce mamy do czynienia z t\u0105 sam\u0105 grup\u0105 przest\u0119pcz\u0105. Istnieje spore szanse, \u017ce kto\u015b zdoby\u0142 kod Ryuk i wykorzysta\u0142 go we w\u0142asnym programie. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Mia\u0142o by\u0107 lepiej, wysz\u0142o jak zwykle\u2026 – tak mo\u017cna by powiedzie\u0107 o kolejnym problemie Intela. Je\u017celi kto\u015b my\u015bla\u0142, \u017ce po ostatnich g\u0142o\u015bnych lukach, firma w ko\u0144cu odetchnie, grubo si\u0119 myli. NetCAT – bo tak\u0105 nazw\u0119 otrzyma\u0142a nowa podatno\u015b\u0107 najnowszych procesor\u00f3w Intela – mo\u017cna wykorzysta\u0107 zdalnie przez sie\u0107 bez konieczno\u015bci fizycznego dost\u0119pu lub instalacji z\u0142o\u015bliwego oprogramowania na komputerze ofiary. Aby by\u0142o do\u015b\u0107 ironicznie, luka, oznaczona jako CVE-2019-11184, dotyczy funkcji DIDO (skr\u00f3t od Data-Direct I\/O), kt\u00f3ra mia\u0142a przyspieszy\u0107 procesory tego producenta.<\/p>\n\n\n\n Funkcja z za\u0142o\u017cenia pozwala podpi\u0105\u0107 urz\u0105dzenia sieciowe oraz peryferyjne bezpo\u015brednio do znajduj\u0105cej si\u0119 w CPU pami\u0119ci ostatniego poziomu. Jest domy\u015blnie w\u0142\u0105czona we wszystkich urz\u0105dzeniach Intela od 2012 roku, w tym w procesorach Intel Xeon E5, E7 i SP. <\/p>\n\n\n\n Jak dzia\u0142a? NetCAT (skr\u00f3t od Network Cache ATtack) umo\u017cliwia zdalnemu atakuj\u0105cemu wykrycie poufnych danych w tym has\u0142o SSH, z pami\u0119ci podr\u0119cznej procesora Intela.<\/p>\n\n\n\n DIDO pozwala na wsp\u00f3\u0142dzielenie dost\u0119pu do pami\u0119ci przez pod\u0142\u0105czone urz\u0105dzenia, nawet je\u017celi nie s\u0105 zaufane. Dzi\u0119ki temu mo\u017cna precyzyjne okre\u015bli\u0107 czas przesy\u0142ania pakiet\u00f3w danych, m.in. przez wykorzystanie SSH. To z kolei ju\u017c tylko krok do przeprowadzenia ataku z u\u017cyciem kana\u0142u bocznego i przej\u0119cie wpisywanych przez ofiar\u0119 znak\u00f3w. <\/p>\n\n\n\n Wed\u0142ug naukowc\u00f3w atak z wykorzystaniem NetCAT mo\u017ce dzia\u0142a\u0107 podobnie jak Throwhammer i wysy\u0142a\u0107 wy\u0142\u0105cznie specjalnie spreparowane pakiety sieciowe do komputera docelowego z w\u0142\u0105czon\u0105 funkcj\u0105 Remote Direct Memory Access (RDMA).<\/p>\n\n\n\n Jak si\u0119 broni\u0107? Najlepiej wy\u0142\u0105czy\u0107 zar\u00f3wno funkcj\u0119 DIDO jak i RDMA lub w inny spos\u00f3b zasugerowa\u0107 ograniczenie dost\u0119pu do serwer\u00f3w z nieznanych \u017ar\u00f3de\u0142. <\/p>\n\n\n\n3. Zainstalowa\u0142e\u015b Latark\u0119 ze Sklepu Play? A czy wiesz do czego da\u0142e\u015b jej dost\u0119p?<\/strong><\/h2>\n\n\n
<\/figure><\/div>\n\n\n\n4. Malware powi\u0105zany z Ryuk wykrada tajne dane armii, informacje finansowe…<\/strong><\/h2>\n\n\n
Powi\u0105zania z ransomware\u2019m Ryuk<\/strong> <\/h6>\n\n\n
5. Intel zn\u00f3w w tarapatach: luka NetCAT i zdalna kradzie\u017c danych z procesor\u00f3w <\/strong><\/h2>\n\n\n