1. Trojan, potem malware i na koniec ransomware\u2026 zamiast update\u2019u Chrome<\/h2>\n\n\n
Przegl\u0105dasz artyku\u0142y w sieci i nagle pojawia si\u0119 informacja, \u017ce ze wzgl\u0119d\u00f3w bezpiecze\u0144stwa musisz zaktualizaowa\u0107 Chrome do najnowszej wersji? Nie klikaj, zamiast update\u2019u przegl\u0105darki wpu\u015bcisz na urz\u0105dzenie nowego trojana bankowego. <\/p>\n\n\n\n
![\"Nowy](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/10\/Picture2.png\")
Google nigdy nie informacje w taki spos\u00f3b o aktualizacji! W tym przypadku atakuj\u0105cy pos\u0142uguj\u0105 si\u0119 zhackowanymi stronami do dystrybucji z\u0142o\u015bliwych skrypt\u00f3w. Klikni\u0119cie w modal window rozpoczyna pobieranie aplikacji HTML (wi\u0119cej nt. plik\u00f3w HTA przeczytasz tutaj<\/a>), JavaScript lub archiwum .zip z plikiem JavaScript. Po egzekucji z\u0142o\u015bliwy skrypt zbiera informacje o urz\u0105dzeniu i nast\u0119pnie przesy\u0142a je na serwer C&C przest\u0119pc\u00f3w. <\/p>\n\n\n\n W odpowiedzi serwer przesy\u0142a kolejne skrypty, kt\u00f3rych wykonanie ko\u0144czy si\u0119 pobraniem i zainstalowaniem na komputerze ofiary malware\u2019a: Dridex, NetSupport Manager, AZORult, lub Chthonic. Podczas ataku przest\u0119pcy nie tylko wykradaj\u0105 dane, ale za pomoc\u0105 Nircmd.exe wykonuj\u0105 dodatkowo dwa screenshot\u2019y pulpitu, kt\u00f3re nast\u0119pnie tak\u017ce trafiaj\u0105 na serwer C&C. <\/p>\n\n\n Z pomoc\u0105 takich narz\u0119dzi jak PowerShell Empire, Koadic, mimikatz atakuj\u0105cy zdobywaj\u0105 dane uwierzytelniaj\u0105ce i przeczesuj\u0105 sie\u0107 w poszukiwaniu istotnych informacji. Atak ko\u0144czy si\u0119 wpuszczeniem na przej\u0119t\u0105 infrastruktur\u0119 ransomware – DoppelPaymer lub BitPaymer – i zaszyfrowaniem danych.<\/p>\n\n\n\n Oba ransomware s\u0105 w stanie przej\u0105\u0107 du\u017ce sieci. Ataki z ich u\u017cyciem zas\u0142yn\u0119\u0142y z bardzo wysokich \u017c\u0105da\u0144 okupu \u2013 od 80 000 do ponad 2 milion\u00f3w dolar\u00f3w.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Tw\u00f3rcy Emotet zmienili taktyk\u0119 \u2013 teraz rozsy\u0142aj\u0105 trojana pod postaci\u0105 (nieprawdziwego) Activation Wizard programu Microsoft Office.<\/p>\n\n\n\n Zazwyczaj w przypadku kampanii spamerskich atakuj\u0105cy u\u017cywaj\u0105 z\u0142o\u015bliwych szablon\u00f3w dokumentu Word. Po uruchomieniu makr specjalny skrypt pobiera i instaluje na komputerze ofiary trojana oraz ewentualnie inne z\u0142o\u015bliwe oprogramowanie. Tym razem jednak mamy do czynienia ze skryptem kt\u00f3ry \u201eudaje\u201d plik instalacyjny Microsoft Office.<\/p>\n\n\n\n W momencie gdy u\u017cytkownik klika w przyciski \u201eEnable Editing\u201d i \u201eEnable Content\u201d osadzone makra uruchomi\u0105 polecenie PowerShell i \u0142\u0105cz\u0105 si\u0119 z witryn\u0105 przej\u0119t\u0105 przez przest\u0119pc\u00f3w. Nast\u0119pnie rozpoczyna si\u0119 pobieranie trojana Emotet do lokalizacji C:\\Users{username}. Po pe\u0142nym zainfekowaniu urz\u0105dzenia, Emotet rozsy\u0142a do kontakt\u00f3w ofiary wiadomo\u015bci spam oraz pobiera i instaluje dodatkowy malware.<\/p>\n\n\n\n Z\u0142o\u015bliwy \u0142a\u0144cuszek\u2026<\/strong><\/p>\n\n\n\n Potencjalna ofiara otrzymuje wi\u0119c podobnego maila od kontaktu, kt\u00f3ry dobrze zna. W niekt\u00f3rych przypadkach spam wygl\u0105da jak odpowied\u017a na wcze\u015bniejsz\u0105 wiadomo\u015b\u0107 (wi\u0119cej o tej technice przeczytasz tutaj<\/a>). Je\u015bli nic nie wzbudzi jej niepokoju, zapewne kliknie w za\u0142\u0105cznik i tak\u017ce padnie ofiar\u0105 przest\u0119pc\u00f3w.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Google natrafi\u0142 na \u015blady wskazuj\u0105ce, \u017ce nieza\u0142atana podatno\u015b\u0107 systemu Android jest wykorzystywana na szerok\u0105 skal\u0119 w atakach typu zero-day. <\/p>\n\n\n\n Nieza\u0142atana\u2026 a mo\u017ce jednak tak. Podatno\u015b\u0107 zosta\u0142a wykryta ju\u017c jaki\u015b czas temu. W grudniu 2017 systemy w wersji 3.18, 4.14, 4.4, i 4.9 otrzyma\u0142y konieczn\u0105 aktualizacj\u0119. Jednak teraz okaza\u0142o si\u0119, \u017ce nowe wersje OS s\u0105 nadal podatne na tego typu atak. <\/p>\n\n\n\n Specjali\u015bci s\u0105 zdania, \u017ce zagro\u017cone s\u0105 telefony pod kontrol\u0105 systemu Android 8.x oraz p\u00f3\u017aniejsze \u2013 konkretnie chodzi o urz\u0105dzenia:<\/p>\n\n\n\n Na szcz\u0119\u015bcie nie a\u017c tak gro\u017ana\u2026<\/strong><\/p>\n\n\n\n \u2026g\u0142\u00f3wnie dlatego, \u017ce nie mamy do czynienia z remote code execution. Aby dosz\u0142o do naruszenia urz\u0105dzenia, u\u017cytkownik musi samodzielnie zainstalowa\u0107 z\u0142o\u015bliw\u0105 aplikacj\u0119 (przeczytaj jak przest\u0119pcy unikaj\u0105 wykrycia przez Google Play Protect<\/a>). Atak za po\u015brednictwem przegl\u0105darki wymaga wykorzystania dodatkowego exploit\u2019a. <\/p>\n\n\n\n Partnerzy Androida (czy. producenci telefon\u00f3w) zostali ju\u017c poinformowani, \u017ce na Android Common Kernel jest dost\u0119pna \u0142atka. Urz\u0105dzenia Pixel 3 oraz 3a nie s\u0105 podatne na atak. Smartphony Pixel 1 i 2 jeszcze w tym miesi\u0105cu otrzymaj\u0105 stosown\u0105 aktualizacj\u0119.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Korzystacie z GIF\u00f3w na WhatsApp? Zatem\u2026nie b\u0119dzie Wam do \u015bmiechu. Okazuje si\u0119, \u017ce te zabawne animacje mog\u0142y s\u0142u\u017cy\u0107 hakerom do wykradania danych z telefon\u00f3w opartych na Androidzie z uruchomion\u0105 aplikacj\u0105. <\/p>\n\n\n\n Podatno\u015b\u0107 nie dotyczy samego WhatsAppa, a biblioteki open source u\u017cywanej przez aplikacj\u0119 do przetwarzania plik\u00f3w multimedialnych. B\u0142\u0105d klasy double free (CVE-2019-11932) umo\u017cliwia wykonanie zdalnego kodu po\u2026odebraniu przez ofiar\u0119 odpowiednio spreparowanego pliku .gif. Daje to hakerom dost\u0119p do wszystkich funkcjonalno\u015bci telefonu, do kt\u00f3rych uprawniona jest aplikacja. <\/p>\n\n\n\n Co jest w tym najbardziej niepokoj\u0105ce?<\/strong> Luka istnieje w komponencie oprogramowania, z kt\u00f3rego prawdopodobnie korzystaj\u0105 tak\u017ce inne aplikacje. Zagro\u017cenie nie ogranicza si\u0119 wi\u0119c wy\u0142\u0105cznie do WhatsApp, ale do dowolnego programu korzystaj\u0105cego z podatnej biblioteki multimedi\u00f3w.<\/p>\n\n\n\n Prosty atak?<\/strong> Nie do ko\u0144ca. Je\u017celi numer telefonu atakuj\u0105cego jest na li\u015bcie kontakt\u00f3w odbiorcy (co mo\u017ce nast\u0105pi\u0107 np. w wyniku in\u017cynierii spo\u0142ecznej), plik GIF mo\u017ce zosta\u0107 pobrany bez jakiejkolwiek interakcji ofiary. Nast\u0119pnie, gdy otworzy ona folder WhatsApp Images – exploit zostanie uruchomiony. Je\u015bli jednak nadawca nie widnieje w kontaktach, odbiorca musia\u0142by zosta\u0107 nak\u0142oniony do zapisania obrazu przed uruchomieniem exploita. <\/p>\n\n\n\n Kto zagro\u017cony? U\u017cytkownicy WhatsApp dla Androida 8.1 i 9.0. w wersji 2.19.230 i wcze\u015bniejszych. Facebook za\u0142ata\u0142 luk\u0119 w najnowszej wersji aplikacji 2.19.244. Zalecamy aktualizacj\u0119 oprogramowania.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Tw\u00f3rcy z\u0142o\u015bliwego oprogramowania zaczynaj\u0105 coraz powszechniej korzysta\u0107 z format\u00f3w plik\u00f3w OpenDocument (ODT). Dlaczego? Pr\u00f3by \u0142\u0105czenia si\u0119 z plikami .docx, .zip czy .jar s\u0105 ju\u017c w znacznej mierze wykrywane i oznaczane czerwon\u0105 flag\u0105 przez programy antywirusowe, co wymusza poszukiwanie nowych sposob\u00f3w na obej\u015bcie zabezpiecze\u0144. <\/p>\n\n\n\n Niekt\u00f3re silniki antywirus\u00f3w i sandbox\u2019y nie obs\u0142uguj\u0105 odpowiednio formatu ODT, a co za tym idzie pliki mog\u0105 zosta\u0107 po prostu \u201cpomini\u0119te\u201d. Silniki te traktuj\u0105 je jako standardowe archiwa i nie stosuj\u0105 regu\u0142, kt\u00f3re by\u0142yby uwzgl\u0119dnione w przypadku dokument\u00f3w pakietu Office. Dzi\u0119ki temu hackerom jest \u0142atwiej przeprowadzi\u0107 atak ransomware – skoro „zaufane” programy nie dostrzegaj\u0105 zagro\u017cenia. <\/p>\n\n\n\n Dowody?<\/strong> Ostatnio wykryto liczne kampanie z\u0142o\u015bliwego oprogramowania, kt\u00f3re wykorzystywa\u0142y w\u0142a\u015bnie rozszerzenie ODT. <\/p>\n\n\n\n Przyk\u0142ady.<\/strong> W kampanii przywo\u0142ywanej przez specjalist\u00f3w z Cisco Talos, osoby atakuj\u0105ce wykorzysta\u0142y z\u0142o\u015bliwy plik ODT z OLE (Object Linking and Embedding). S\u0142u\u017cy on do osadzania lub \u0142\u0105czenia dokument\u00f3w i udost\u0119pniania danych mi\u0119dzy aplikacjami. Nast\u0119pnie uruchamiany by\u0142 skrypt aplikacji HTML (HTA), kt\u00f3ry pobiera\u0142 zdalne narz\u0119dzie administracyjne (RAT) o nazwie NJRAT. Do przeprowadzenia ataku wystarczy\u0142o, \u017ce odbiorca z\u0142o\u015bliwej wiadomo\u015bci e-mail klikn\u0105\u0142 w za\u0142\u0105cznik i otworzy\u0142 dokument. <\/p>\n\n\n\n W innym przypadku, obiekt OLE spakowany w pliku ODT zapisywa\u0142 \u201cSpotify.exe\u201d, kt\u00f3ry oczywi\u015bcie nie by\u0142 prawid\u0142owym plikiem platformy Spotify. Ostatecznym \u201c\u0142adunkiem\u201d tego ataku by\u0142o z\u0142o\u015bliwe oprogramowanie AZORult do kradzie\u017cy informacji.<\/p>\n\n\n\n W mniejszym stopniu celem by\u0142y r\u00f3wnie\u017c OpenOffice i LibreOffice. Dokument ODT zosta\u0142 tu zaprojektowany do pobierania \u0142adunk\u00f3w Metasploit.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Nowa odmiana z\u0142o\u015bliwego oprogramowania – Reductor – umo\u017cliwia hakerom manipulowanie ruchem HTTPS poprzez modyfikacj\u0119 generatora liczb losowych w przegl\u0105darce, kt\u00f3ry s\u0142u\u017cy do zapewnienia prywatnego po\u0142\u0105czenia mi\u0119dzy klientem a serwerem.<\/p>\n\n\n\n Badacze z Kaspersky twierdz\u0105, \u017ce Reduktor jest wykorzystywany do szpiegostwa cybernetycznego wobec jednostek dyplomatycznych nale\u017c\u0105cych do Wsp\u00f3lnoty Niepodleg\u0142ych Pa\u0144stw. Wskazuj\u0105 r\u00f3wnie\u017c na powi\u0105zania z trojanem COMpfun, ujawnionym przez analityk\u00f3w z G-DATA w 2014 roku. To z kolei pozwoli\u0142o im po\u0142\u0105czy\u0107 zagro\u017cenie z grup\u0105 Turla (znan\u0105 r\u00f3wnie\u017c jako Snake, Venomous Bear, Waterbug i Uroboros), cho\u0107 przyznali, \u017ce nie mo\u017cna tego uzna\u0107 za pewnik. <\/p>\n\n\n\n Przebieg ataku.<\/strong> Pierwszym z dw\u00f3ch g\u0142\u00f3wnych wektor\u00f3w tego ataku jest system zainfekowany COMpfun, kt\u00f3ry pobiera i instaluje malware. Drugi polega na \u015bci\u0105gni\u0119ciu przez ofiar\u0119 oprogramowania z pirackich witryn. Co ciekawe, oryginalne instalatory nie zawieraj\u0105 z\u0142o\u015bliwego \u0142adunku. Pojawia si\u0119 on dopiero na komputerze ofiary, co oznacza to, \u017ce atakuj\u0105cy infekuj\u0105 je \u201cw locie\u201d. <\/p>\n\n\n\n Po zainfekowaniu, Reductor zaczyna monitoring ruchu internetowego. Autorzy zagro\u017cenia otrzymuj\u0105 wszystkie dane oraz informacje o dzia\u0142aniach wykonywanych za pomoc\u0105 przegl\u0105darki. Co gorsza, robi\u0105 to na tyle niepostrze\u017cenie, \u017ce ofiary nie s\u0105 w stanie tego przewidzie\u0107 i rozpozna\u0107. Wed\u0142ug badaczy Kaspersky to pierwsze szkodliwe oprogramowanie, kt\u00f3ry w taki spos\u00f3b wsp\u00f3\u0142dzia\u0142a z szyfrowaniem przegl\u0105darki, a poziom wyrafinowania sugeruje, \u017ce stoi za nim wysoce profesjonalna organizacja. <\/p>\n\n\n\n Na razie zagro\u017cenie ogranicza si\u0119 do operacji szpiegowskich konkretnej grupy. Je\u015bli jednak komponenty przedostan\u0105 si\u0119 na inne rodzaje z\u0142o\u015bliwego oprogramowania (atak ransomware!), mo\u017ce stanowi\u0107 zagro\u017cenie dla ca\u0142ego Internetu. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Atak ransomware to nie tylko zaszyfrowanie danych. Jak pokazuj\u0105 przyk\u0142ady z ostatniego tygodnia, obecnie stawka jest znacznie wy\u017csza. Kradzie\u017c cennych informacji i hase\u0142, szpiegowanie i dopiero na sam koniec wpuszczenie ransomware, aby zaszyfrowa\u0107 dane. W taki spos\u00f3b przebiega m.in. nowa kampania udaj\u0105ca update Chrome, czy fa\u0142szywy Office Activation Wizard. Co jeszcze? Android zero-day, kt\u00f3ry ju\u017c wcze\u015bniej zosta\u0142 za\u0142atany oraz Reductor z kt\u00f3rego pomoc\u0105 atakuj\u0105cy s\u0105 w stanie manipulowa\u0107 ruchem HTTPS.<\/p>\n","protected":false},"author":1,"featured_media":1597,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[436],"tags":[],"class_list":["post-1796","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersec-news-pl","post--single"],"yoast_head":"\nNa koniec – atak ransomware<\/h6>\n\n\n
2. Nowa taktyka Emotet \u2013 fa\u0142szywy Office Activation Wizard<\/strong><\/h2>\n\n\n
![\"We\u017a](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2019\/10\/mailingi-dla-partner\u00f3w.png\")
<\/a><\/figure><\/div>\n\n\n\n3. Android zero-day – podatno\u015b\u0107 kernel\u2019a, kt\u00f3r\u0105 ju\u017c wcze\u015bniej za\u0142atano…<\/strong><\/h2>\n\n\n
4. WhatsApp – korzystasz z GIF\u2019\u00f3w? Mog\u0142e\u015b zosta\u0107 zhakowany<\/strong><\/h2>\n\n\n
5. Hakerzy korzystaj\u0105 z formatu OpenDocument, aby unikn\u0105\u0107 wykrycia<\/strong><\/h2>\n\n\n
6. Reductor manipuluje i szpieguje ruch HTTPS<\/strong><\/h2>\n\n\n