1. Kradzie\u017c danych wg Magecart – L7 i otwarte sieci wifi<\/h2>\n\n\n
Specjali\u015bci z IBM IRIS natrafili na dowody wskazuj\u0105ce, \u017ce grupa Magecart<\/a> opracowuje skrypt, kt\u00f3ry – wstrzykni\u0119ty router\u2019om \u201cLayer 7\u201d – umo\u017cliwi kradzie\u017c danych p\u0142atniczych. <\/p>\n\n\n\n Level 7 lub L7 to rodzaj router\u2019\u00f3w, kt\u00f3re zwykle instaluje si\u0119 do obs\u0142ugi du\u017cych sieci. Zazwyczaj mo\u017cna si\u0119 na nie natkn\u0105\u0107 m.in. w hotelach, centrach handlowych, na lotniskach, w kasynach, urz\u0119dach i przestrzeni miejskiej. Dzia\u0142aj\u0105 w podobny spos\u00f3b jak wi\u0119kszo\u015b\u0107 urz\u0105dze\u0144 tego typu z t\u0105 r\u00f3\u017cnic\u0105, \u017ce daj\u0105 mo\u017cliwo\u015b\u0107 manipulowania ruchem na si\u00f3dmej warstwie. Analizuj\u0105 nat\u0119\u017cenie ruchu, nie tylko w oparciu o adresy IP ale r\u00f3wnie\u017c pliki cookies, nazwy domen, typy przegl\u0105darek itp. <\/p>\n\n\n\n Atakuj\u0105cy chc\u0105 pos\u0142u\u017cy\u0107 si\u0119 sprz\u0119tem do wstrzykiwania z\u0142o\u015bliwego skryptu bezpo\u015brednio do przegl\u0105darki nic niepodejrzewaj\u0105cego u\u017cytkownika. Analiza kodu wykaza\u0142a, \u017ce stworzono go z my\u015bl\u0105 o zdobywaniu danych p\u0142atniczych ze sklep\u00f3w internetowych. <\/p>\n\n\n\n Specjali\u015bci z zespo\u0142u IBM IRIS namierzyli w VirusTotal pi\u0119\u0107 takich skrypt\u00f3w. Prawdopodobnie przest\u0119pcy sprawdzali, czy opracowany przez nich kod jest wykrywany przez silniki antywirus\u00f3w VT. Pliki dodano do serwisu w okolicy 11 – 14 kwietnia br. Na ten moment trudno powiedzie\u0107, czy przest\u0119pcy przeszli z fazy planowania do ataku. Mo\u017cna jednak przypuszcza\u0107, \u017ce tak si\u0119 sta\u0142o. <\/p>\n\n\n Atak Magecart jest przeprowadzany na poziomie router\u2019a, wi\u0119c u\u017cytkownik ma niewielkie pole do dzia\u0142ania. Eksperci doradzaj\u0105, aby unika\u0107 zakup\u00f3w online b\u0119d\u0105c pod\u0142\u0105czonym do niezaufanej lub publicznej sieci wifi. Doradzaj\u0105 r\u00f3wnie\u017c korzystanie z wirtualnej karty. Jest to rodzaj e-karty p\u0142atniczej jednorazowego u\u017cytku, kt\u00f3ra wygasa po jednym u\u017cyciu. W takiej sytuacji przej\u0119te przez hacker\u00f3w dane s\u0105 bezu\u017cyteczne. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Nowy malware pobiera i instaluje na zainfekowanych urz\u0105dzeniach kopi\u0119 framework\u2019a Node.js. Przekszta\u0142ca sprz\u0119t w proxy i generuje zyski z tzw. click-fraud. <\/p>\n\n\n\n Nowy Malware (Nodesok – Microsoft; Divergent – Cisco Talos) po raz pierwszy zaobserwowano latem tego roku. Rozprzestrzenia si\u0119 poprzez z\u0142o\u015bliwe reklamy. Po klikni\u0119ciu w jedn\u0105 z nich na komputer zostaje pobrany plik HTA (aplikacja HTML). <\/p>\n\n\n\n Uruchomienie pliku rozpoczyna wielostopniowy proces infekowania urz\u0105dzenia. Malware pobiera i instaluje m.in. skrypty Excel, JavaScript i PowerShell. Ka\u017cdy z pobranych komponent\u00f3w odpowiada za co\u015b innego. Modu\u0142 PowerShell wy\u0142\u0105cza Windows Defender i Windows Update. Inny nadaje programowi uprawnienia systemowe. Mamy te\u017c do czynienia z pe\u0142noprawnymi aplikacjami – WinDivert i Node.js. Pierwsza s\u0142u\u017cy do przechwytywania pakiet\u00f3w sieciowych i interakcji z nimi. Druga to dobrze znane narz\u0119dzie do uruchamiania JavaScript na serwerach internetowych. Razem umo\u017cliwiaj\u0105 uruchomienie SOCKS proxy na zainfekowanym ho\u015bcie. <\/p>\n\n\n\n Co dzieje si\u0119 dalej?<\/strong> Tutaj specjali\u015bci nie s\u0105 zgodni. Zesp\u00f3\u0142 z Microsoft uwa\u017ca, \u017ce malware zamienia zainfekowane hosty w serwery proxy, kt\u00f3re nast\u0119pnie przekierowuj\u0105 z\u0142o\u015bliwy ruch. Zdaniem Cisco, proxy jest wykorzystywane do click-fraud (reklamy pay-per-click). <\/p>\n\n\n\n Na co szczeg\u00f3lnie zwraca\u0107 uwag\u0119? Je\u015bli na urz\u0105dzeniu znajduje si\u0119 plik HTA pochodz\u0105cy z nieznanego \u017ar\u00f3d\u0142a – nie uruchamia\u0107 go! Ka\u017cde nieoczekiwane pobieranie, to zwykle bardzo z\u0142y znak i nie ma znaczenia z jakim rozszerzeniem mamy do czynienia. Takie dane najlepiej od razu usuwa\u0107. <\/p>\n\n\n\n Do tej pory zainfekowanych zosta\u0142o kilka tysi\u0119cy urz\u0105dze\u0144, g\u0142\u00f3wnie z terenu Europy i Ameryki P\u00f3\u0142nocnej. Wi\u0119kszo\u015b\u0107 atak\u00f3w mia\u0142a miejsce w ci\u0105gu ostatniego miesi\u0105ca. Wszystko wskazuje na to, \u017ce malware jest nadal we wst\u0119pnej fazie rozwoju i ekspansji. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Wkr\u00f3tce u\u017cytkownicy webowej wersji Outlook nie b\u0119d\u0105 w stanie pobiera\u0107 kolejnych 38 rozszerze\u0144 m.in. Java, PowerShell i Python. Wszystko po to by ustrzec ich przed z\u0142o\u015bliwymi skryptami, kt\u00f3re masowo trafiaj\u0105 na skrzynki wraz ze SPAMem. <\/p>\n\n\n\n Java: „.jar”, „.jnlp” Obecnie lista wyklucze\u0144 liczy 104 pozycje – mo\u017cecie je sprawdzi\u0107 tutaj<\/a>. <\/p>\n\n\n\n Microsoft przewidzia\u0142, \u017ce dla niekt\u00f3rych organizacji zwi\u0119kszenie wyklucze\u0144 mo\u017ce by\u0107 problemem. Dlatego administratorzy Office 365, Exchange Online i Exchange Server b\u0119d\u0105 w stanie zarz\u0105dza\u0107 list\u0105 „BlockedFileTypes” – nie tylko usuwa\u0107 z niej pozycje ale r\u00f3wnie\u017c dodawa\u0107 kolejne. Jak zawsze jednak zalecane jest przyj\u0119cie jak najbardziej restrykcyjnego podej\u015bcia do kwestii zabezpiecze\u0144 (kradzie\u017c danych, szyfrowanie!). Zamiast tworzy\u0107 wykluczenia, przesy\u0142a\u0107 wspomniane pliki spakowane w archiwum ZIP. Wi\u0119kszo\u015b\u0107 firm, kt\u00f3re wsp\u00f3\u0142dzieli ze sob\u0105 takie zasoby i tak korzysta z profesjonalnych narz\u0119dzi do zarz\u0105dzania kodem, wi\u0119c zmiana proponowana przez Microsoft ich nie dotyczy. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Specjali\u015bci z firmy Symantec natrafili na kilkadziesi\u0105t z\u0142o\u015bliwych aplikacji, kt\u00f3re s\u0105 w stanie omin\u0105\u0107 zabezpieczenia Google Play Protect. <\/p>\n\n\n\n Do tej pory zweryfikowano ponad 25 program\u00f3w. Wi\u0119kszo\u015b\u0107 z nich to aplikacje modowe lub aplikacje do robienia\/edycji zdj\u0119\u0107. Zosta\u0142y opublikowane przez 22 \u201cr\u00f3\u017cnych\u201d developer\u00f3w, jednak analiza kodu wskazuje, \u017ce raczej mamy do czynienia z jednym tw\u00f3rc\u0105 lub grup\u0105. <\/p>\n\n\n\n Po zako\u0144czeniu instalacji ikona aplikacji jest widoczna w menu urz\u0105dzenia – przynajmniej przez pewien czas. W tle jednak od razu pobierany jest plik zdalnej konfiguracji, kt\u00f3ry umo\u017cliwia p\u00f3\u017aniejsze ukrycie ikony oraz wy\u015bwietlanie reklam. <\/p>\n\n\n\n Jak omin\u0105\u0107 Play Protect. <\/strong>W odr\u00f3\u017cnieniu od wi\u0119kszo\u015bci z\u0142o\u015bliwych program\u00f3w, na kt\u00f3re mo\u017cna natkn\u0105\u0107 si\u0119 w Google Play, opisane aplikacje nie ukrywaj\u0105 \u017cadnej niebezpiecznej funkcjonalno\u015bci w swoim APK. Te wprowadza dopiero pobrany po instalacji skrypt. To w\u0142a\u015bnie w ten prosty spos\u00f3b tw\u00f3rcom uda\u0142o si\u0119 omin\u0105\u0107 zabezpieczenia Google. Proste? Niestety tak. Jest wi\u0119c spora szansa, \u017ce w nied\u0142ugim czasie w Sklepie Play zadebiutuje du\u017co wi\u0119cej takich program\u00f3w.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a> <\/p>\n\n\n\n Hackerzy z grupy Fancy Bear od\u015bwie\u017cyli swoje skrypty payloads oraz stworzyli backdoor\u2019a w zupe\u0142nie nowym j\u0119zyku. Tak jak we wcze\u015bniejszych kampaniach, zaatakowali ambasady i Ministerstwa Spraw Zagranicznych z Europy Wschodniej oraz Azji Centralnej. <\/p>\n\n\n\n Fancy Bear to grupa wyst\u0119puj\u0105ca r\u00f3wnie\u017c pod nazwami APT28, Sednit, Sofacy i Strontium. Hackerzy s\u0105 powi\u0105zani z szeregiem atak\u00f3w o charakterze politycznym. Najbardziej znane? DNC ameryka\u0144skiej Partii Demokratycznej, \u015awiatowa Organizacja Antydopingowa, ukrai\u0144ska armia, czy Mi\u0119dzynarodowe Stowarzyszenie Federacji Lekkoatletycznych.<\/p>\n\n\n\n Specjali\u015bci od d\u0142u\u017cszego czasu zak\u0142adali, \u017ce przest\u0119pcy szykuj\u0105 downloader napisany w nowym j\u0119zyku programowania – teraz ju\u017c wiemy, \u017ce grupa zdecydowa\u0142a si\u0119 na Nim (znakomita wydajno\u015b\u0107!). Na tym nie koniec. Hackerzy byli tak\u017ce zaj\u0119ci poprawkami w ramach downloadre\u2019a w Golang oraz przepisali kod backdoor\u2019a z Delphi tak\u017ce na Golang. <\/p>\n\n\n\n W\u0142a\u015bciwie to po co? <\/strong>Wygl\u0105da na to, \u017ce grupa przepisuje oryginalny kod na inne j\u0119zyki lub ponownie go implementuje w innych j\u0119zykach, maj\u0105c nadziej\u0119 na unikni\u0119cie wykrycia. Downloader napisany w Nim jest do\u015b\u0107 ma\u0142y – zw\u0142aszcza kiedy bierze si\u0119 pod uwag\u0119 jego mo\u017cliwo\u015bci gromadzenia danych i zestawia z wcze\u015bniejsz\u0105 wersj\u0105 stworzon\u0105 w Golang. <\/p>\n\n\n\n Atakuj\u0105cy pos\u0142u\u017cyli si\u0119 phishingiem. Klikni\u0119cie w z\u0142o\u015bliwy za\u0142\u0105cznik inicjuje d\u0142ugi \u0142a\u0144cuch pobiera\u0144, kt\u00f3ry finalnie ko\u0144czy nowy backdoor. Za\u0142\u0105cznik odwo\u0142uje si\u0119 do zdalnego szablonu wordData.dotm hostowanego na Dropbox. Otwarcie dokumentu w programie Word rozpoczyna pobieranie downloader\u2019a, kt\u00f3ry nast\u0119pnie zostaje dodany do \u015brodowiska pracy dokumentu. Malware wykrada dane oraz jest w stanie wykonywa\u0107 zrzuty ekranu co 35 sekund w pierwszych minutach infekcji. Backdoor dodatkowo doinstalowuje kolejne skrypty payloads. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Kaspersky analizuj\u0105c kod ransomware\u2019a Yatron odkry\u0142, \u017ce jego tw\u00f3rcy pos\u0142u\u017cyli si\u0119 kodem innego programu – cryptomalware\u2019a o nazwie Hidden Tear. Zmodyfikowali go w taki spos\u00f3b, aby dodawa\u0142 rozszerzenie .Yatron do zaszyfrowanych plik\u00f3w. Nie zweryfikowali jednak starego kodu w poszukiwaniu b\u0142\u0119d\u00f3w\u2026 W ten spos\u00f3b zesp\u00f3\u0142 Kaspersky Lab natrafi\u0142 na bug\u2019a i ostatecznie przygotowa\u0107 narz\u0119dzie do deszyfryzacji \u201cprzej\u0119tych\u201d danych. <\/p>\n\n\n\n Ten sam dekryptor pomo\u017ce tak\u017ce ofiarom ataku FortuneCrypt. Ransomware jest o tyle ciekawy, \u017ce napisano go w Blitz BASIC. Jest to j\u0119zyk zaprojektowany z my\u015bl\u0105 o\u2026 pocz\u0105tkuj\u0105cych programistach. Nie dziwi wi\u0119c, \u017ce samo zagro\u017cenie wykorzystywa\u0142o do szyfrowania danych stosunkowo s\u0142aby algorytm. <\/p>\n\n\n\n Udost\u0119pniony w zesz\u0142ym tygodniu Rakhni odszyfrowuje dane zaszyfrowane nie tylko przez ransomware Yatron i FortuneCrypt ale tak\u017ce Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman, (TeslaCrypt) w wersji 3 i 4, Chimera, Crysis (wersja 2 i 3), Dharma oraz nowej wersji ransomware Cryakl.<\/p>\n\n\n\n Program mo\u017cna pobra\u0107 ze strony Kaspersky<\/a>. <\/p>\n\n\n\nKradzie\u017c danych – jak si\u0119 chroni\u0107<\/h6>\n\n\n
![\"Kradzie\u017c](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/09\/dr-webinar.png\")
<\/a><\/figure><\/div>\n\n\n\n2. Malware Nodersok zainfekowa\u0142 ju\u017c tysi\u0105ce komputer\u00f3w z Win OS<\/h2>\n\n\n
3. Outlook on the Web z kolejnymi wykluczeniami format\u00f3w za\u0142\u0105cznik\u00f3w <\/strong><\/h2>\n\n\n
\nPython: „.py”, „.pyc”, „.pyo”, „.pyw”, „.pyz”, „.pyzw”
\nPowerShell: „.ps1”, „.ps1xml”, „.ps2”, „.ps2xml”, „.psc1”, „.psc2”, „.psd1”, „.psdm1”, „.psd1”, „.psdm1”
\nCertyfikaty: „.cer”, „.crt”, „.der”
\nPliki wykorzystywane jako exploit\u2019y: „.appcontent-ms”, „.settingcontent-ms”, „.cnt”, „.hpj”, „.website”, „.webpnp”, „.mcf”, „.printerexport”, „.pl”, „.theme”, „.vbp”, „.xbap”, „.xll”, „.xnk”, „.msu”, „.diagcab”, „.grp”<\/p>\n\n\n\n4. Ufasz Google Play Protect? Przest\u0119pcy wiedz\u0105 jak je obej\u015b\u0107…<\/strong><\/h2>\n\n\n
![\"Blockchain](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/09\/ads-FB4-1024x536.png\")
<\/figure><\/div>\n\n\n\n5. Fancy Bear APT po raz kolejny uderza w polityk\u00f3w<\/strong><\/h2>\n\n\n
6. Yatron i FortuneCrypt ransomware – dost\u0119pny dekryptor<\/strong><\/h2>\n\n\n