1. KryptoCibule – potr\u00f3jne zagro\u017cenie dla posiadaczy kryptowalut<\/strong><\/h2>\n\n\nBadacze z firmy ESET odkryli now\u0105 rodzin\u0119 z\u0142o\u015bliwego oprogramowania, w pe\u0142ni skoncentrowan\u0105 na kradzie\u017cy jak najwi\u0119kszej ilo\u015bci kryptowalut. KryptoCibule stanowi \u201epotr\u00f3jne zagro\u017cenie\u201d. Wykorzystuje zasoby ofiary do wydobywania wirtualnych walut. Pr\u00f3buje przej\u0105\u0107 transakcje, zast\u0119puj\u0105c adres portfela w schowku. Wydobywa pliki zwi\u0105zane z kryptowalut\u0105.<\/p>\n\n\n\n
KryptoCibule skutecznie ukrywa\u0142 si\u0119 przez prawie dwa lata, systematycznie \u201czbroj\u0105c si\u0119\u201d z ka\u017cd\u0105 kolejn\u0105 wersj\u0105, co wida\u0107 na za\u0142\u0105czonym obrazku.<\/p>\n\n\n\n![\"KryptoCibule](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/09\/KryptoCibule1.png\")
\u0179r\u00f3d\u0142o: ESET<\/a><\/figcaption><\/figure>\n\n\n\nKryptoCibule wykorzystuje sie\u0107 Tor, aby komunikowa\u0107 si\u0119 ze swoimi serwerami dowodzenia i kontroli (C2).<\/p>\n\n\n\n
Rozprzestrzenia si\u0119 za po\u015brednictwem z\u0142o\u015bliwych torrent\u00f3w w archiwach udaj\u0105cych instalatory pirackich wersji popularnych program\u00f3w i gier. Podczas uruchamiania pliku wykonywalnego, w tle rozpoczyna si\u0119 instalacja z\u0142o\u015bliwego oprogramowania. <\/p>\n\n\n\n
Ta taktyka, oraz fakt, \u017ce zagro\u017cenie (p\u00f3ki co) jest skierowane g\u0142\u00f3wnie na u\u017cytkownik\u00f3w w Czechach i na S\u0142owacji (ponad 85% wykry\u0107) pozwoli\u0142o malware skutecznie ukrywa\u0107 si\u0119 przez tak d\u0142ugi czas.<\/p>\n\n\n\n
Najnowsze wersje KryptoCibule wykorzystuj\u0105 XMRig, program typu open source przeznaczony do wydobywania Monero przy u\u017cyciu procesora urz\u0105dzenia, oraz kawpowminer, inny program typu open source, kt\u00f3ry wydobywa Ethereum za pomoc\u0105 GPU. Badacze zauwa\u017caj\u0105, \u017ce ten ostatni jest u\u017cywany tylko wtedy, gdy na ho\u015bcie znajduje si\u0119 dedykowany procesor graficzny, a oba programy s\u0105 skonfigurowane do \u0142\u0105czenia si\u0119 z serwerem kontrolowanym przez atakuj\u0105cego przez proxy Tor.<\/p>\n\n\n\n
![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/09\/KryptoCibule-2.png\")
\u0179r\u00f3d\u0142o: ESET<\/a><\/figcaption><\/figure><\/div>\n\n\n\nNajprostszym sposobem zabezpieczenia si\u0119 przed zagro\u017ceniami w stylu KryptoCibule jest oczywi\u015bcie unikanie instalacji pirackiego oprogramowania.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142a: 1<\/a> | 2<\/a> | 3<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Luki w MAGMI Magento umo\u017cliwiaj\u0105 zdalne wykonanie kodu w podatnej witrynie<\/strong><\/h2>\n\n\nBadacze z Tenable ujawnili dwie luki wtyczki do Magento, kt\u00f3re mog\u0105 umo\u017cliwi\u0107 zdalne wykonanie kodu. Mowa o Magento Mass Import (Magmi) – kliencie bazy danych typu open source, kt\u00f3ry importuje dane do platformy. \u0141atk\u0119 opublikowano tylko dla jednej z nich (CVE-2020-5777) w wersji Magmi 0.7.24 w niedziel\u0119 30 sierpnia.<\/p>\n\n\n\n
Trudno powiedzie\u0107, ile stron dzia\u0142aj\u0105cych w oparciu o platform\u0119 Magento mo\u017ce by\u0107 podatnych na ataki. Specjali\u015bci zidentyfikowali co najmniej 1500 zaindeksowanych w wyszukiwarkach witryn korzystaj\u0105cych z wtyczki. Prawdopodobnie jednak jest ich znacznie wi\u0119cej\u2026 We wtorek opublikowali r\u00f3wnie\u017c na GitHub proof-of-concept (PoC) dla obu wad.<\/p>\n\n\n\n
CVE-2020-5776, to nieza\u0142atana luka w zabezpieczeniach umo\u017cliwiaj\u0105ca sfa\u0142szowanie \u017c\u0105da\u0144 mi\u0119dzy lokacjami (CSRF). Dotyczy Magmi do wersji 0.7.24. W tym konkretnym ataku cyberprzest\u0119pcy mog\u0105 oszuka\u0107 administratora Magento, aby klikn\u0105\u0142 \u0142\u0105cze, podczas gdy s\u0105 uwierzytelnieni w Magmi. Atakuj\u0105cy mog\u0105 nast\u0119pnie przej\u0105\u0107 sesje administratora, umo\u017cliwiaj\u0105ce wykonanie dowolnego kodu na serwerze, na kt\u00f3rym znajduje si\u0119 wtyczka.<\/p>\n\n\n\n
Druga, ju\u017c za\u0142atana luka, CVE-2020-5777, to b\u0142\u0105d umo\u017cliwiaj\u0105cy obej\u015bcie uwierzytelniania w wersjach Magmi 0.7.23 i starszych.<\/p>\n\n\n\n
Proces uwierzytelniania wykorzystuje bowiem podstawowe uwierzytelnianie HTTP. Sprawdza nazw\u0119 u\u017cytkownika i has\u0142o w tabeli admin_user <\/em>w bazie danych Magento. Je\u015bli jednak po\u0142\u0105czenie z baz\u0105 danych Magento nie powiedzie si\u0119, Magmi zaakceptuje domy\u015blne dane uwierzytelniaj\u0105ce, kt\u00f3rymi s\u0105 magmi:magmi.<\/p>\n\n\n\nOsoba atakuj\u0105ca mo\u017ce zatem wymusi\u0107 niepowodzenie po\u0142\u0105czenia z baz\u0105 danych w wyniku ataku typu DoS, a nast\u0119pnie uwierzytelni\u0107 si\u0119 w Magmi przy u\u017cyciu domy\u015blnych danych uwierzytelniaj\u0105cych. Skutkiem tego ataku jest zdalne wykonanie kodu (RCE) na serwerze, na kt\u00f3rym znajduje si\u0119 Magmi.<\/p>\n\n\n\n
Jak ograniczy\u0107 ryzyko? Najlepiej ca\u0142kowicie wy\u0142\u0105czy\u0107 lub odinstalowa\u0107 wtyczk\u0119 do momentu udost\u0119pnienia pe\u0142nej poprawki oraz powstrzyma\u0107 si\u0119 od aktywnego przegl\u0105dania sieci podczas uwierzytelnienia w Magmi. <\/p>\n\n\n\n
O problemach Magento pisali\u015bmy ju\u017c wielokrotnie – m.in. w kontek\u015bcie Magecart<\/a> czy cross-site-scripting<\/a>.<\/p>\n\n\n\n\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. O ironio! Microsoft Defender <\/strong>pobierze z\u0142o\u015bliwe oprogramowani<\/strong>e?<\/h2>\n\n\nFlagowy antywirus Microsoft Defender w ostatniej aktualizacji zosta\u0142 wyposa\u017cony w narz\u0119dzie wiersza polece\u0144 MpCmdRun.exe, kt\u00f3re mo\u017ce\u2026 pobiera\u0107 z\u0142o\u015bliwe pliki ze zdalnej lokalizacji. <\/p>\n\n\n\n
Poprzez t\u0119 now\u0105 funkcj\u0119 Microsoft Defender znalaz\u0142 si\u0119 na d\u0142ugiej li\u015bcie program\u00f3w systemu Windows, mo\u017cliwych do wykorzystania przez lokalnych atakuj\u0105cych.<\/p>\n\n\n\n
Odkryta przez badacza bezpiecze\u0144stwa Mohammada Askara, ostatnia aktualizacja narz\u0119dzia wiersza polece\u0144 programu Microsoft Defender zawiera teraz nowy argument -DownloadFile. Umo\u017cliwia on lokalnemu atakuj\u0105cemu skorzystanie z narz\u0119dzia wiersza polece\u0144 us\u0142ugi Microsoft Antimalware Service (MpCmdRun.exe) w celu pobrania pliku ze zdalnej lokalizacji za pomoc\u0105 nast\u0119puj\u0105cego polecenia:<\/p>\n\n\n\n
MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]<\/span><\/p>\n\n\n\nDobra wiadomo\u015b\u0107 jest taka, \u017ce \u200b\u200bMicrosoft Defender wykryje z\u0142o\u015bliwe pliki pobrane za pomoc\u0105 MpCmdRun.exe. Nie wiadomo jednak, czy inne oprogramowanie antywirusowe pozwoli temu programowi omin\u0105\u0107 ich wykrycia.<\/p>\n\n\n\n
Dzi\u0119ki temu odkryciu administratorzy i cz\u0142onkowie blue teams zyskali dodatkowy plik wykonywalny systemu Windows, kt\u00f3ry musz\u0105 monitorowa\u0107, aby nie zosta\u0142 wykorzystany przeciwko nim.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/580-x-400-1.png\")
<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n4. Spyware Joker po raz kolejny wykryty w Google Play<\/strong><\/h2>\n\n\nPami\u0119tacie Jokera<\/a>? Ju\u017c kiedy\u015b Was przed nim ostrzegali\u015bmy. Tym razem Google usuwa kolejne sze\u015b\u0107 aplikacji ze swojego sklepu, na kt\u00f3rych wykryto to oprogramowanie szpiegowskie.<\/p>\n\n\n\n\u0141\u0105cznie aplikacje pobrano blisko 200 000 razy\u2026 Pomimo ich usuni\u0119cia przez Google nadal s\u0105 zainstalowane na urz\u0105dzeniach. U\u017cytkownicy aplikacji proszeni o natychmiastowe ich usuni\u0119cie z telefon\u00f3w.<\/p>\n\n\n\n
Niebezpieczne s\u0105 takie programy jak: Convenient Scanner 2 (100 000 instalacji), Separate Doc Scanner (50 000 pobra\u0144), Safety AppLock (10 000), Push Message-Texting & SMS (10 000), Emoji Wallpaper (10 000) i Fingertip GameBox (1000).<\/p>\n\n\n\n
Why so serious? <\/strong>Joker to rodzina z\u0142o\u015bliwego oprogramowania s\u0142u\u017c\u0105ca do oszustw rozliczeniowych (nazywana r\u00f3wnie\u017c oprogramowaniem typu \u201efleeceware\u201d). Pocz\u0105tki zagro\u017cenia si\u0119gaj\u0105 2017 roku, ale \u017cniwo zbiera od 2019 r. <\/p>\n\n\n\nAplikacje zawieraj\u0105ce malware reklamuj\u0105 si\u0119 jako legalne appki. Jednak po zainstalowaniu symuluj\u0105 klikni\u0119cia i bez wiedzy u\u017cytkownik\u00f3w przechwytuj\u0105 wiadomo\u015bci SMS, aby subskrybowa\u0107 niechciane, p\u0142atne us\u0142ugi premium.<\/p>\n\n\n\n
Od 2017 roku Google Play Store usun\u0119\u0142o 1,7 tys. aplikacji zawieraj\u0105cych Jokera, ale malware wci\u0105\u017c wraca na niego jak bumerang. <\/p>\n\n\n\n
U\u017cytkownicy powinni pami\u0119ta\u0107 o zabezpieczeniu nie tylko komputer\u00f3w (antywirus, program do backupu<\/a>), ale i swoich urz\u0105dze\u0144 mobilnych, po to, aby zapewni\u0107 sobie i swoim organizacjom maksymalny poziom bezpiecze\u0144stwa – zw\u0142aszcza w czasie pracy zdalnej. <\/p>\n\n\n\n
KryptoCibule wykorzystuje sie\u0107 Tor, aby komunikowa\u0107 si\u0119 ze swoimi serwerami dowodzenia i kontroli (C2).<\/p>\n\n\n\n
Rozprzestrzenia si\u0119 za po\u015brednictwem z\u0142o\u015bliwych torrent\u00f3w w archiwach udaj\u0105cych instalatory pirackich wersji popularnych program\u00f3w i gier. Podczas uruchamiania pliku wykonywalnego, w tle rozpoczyna si\u0119 instalacja z\u0142o\u015bliwego oprogramowania. <\/p>\n\n\n\n
Ta taktyka, oraz fakt, \u017ce zagro\u017cenie (p\u00f3ki co) jest skierowane g\u0142\u00f3wnie na u\u017cytkownik\u00f3w w Czechach i na S\u0142owacji (ponad 85% wykry\u0107) pozwoli\u0142o malware skutecznie ukrywa\u0107 si\u0119 przez tak d\u0142ugi czas.<\/p>\n\n\n\n
Najnowsze wersje KryptoCibule wykorzystuj\u0105 XMRig, program typu open source przeznaczony do wydobywania Monero przy u\u017cyciu procesora urz\u0105dzenia, oraz kawpowminer, inny program typu open source, kt\u00f3ry wydobywa Ethereum za pomoc\u0105 GPU. Badacze zauwa\u017caj\u0105, \u017ce ten ostatni jest u\u017cywany tylko wtedy, gdy na ho\u015bcie znajduje si\u0119 dedykowany procesor graficzny, a oba programy s\u0105 skonfigurowane do \u0142\u0105czenia si\u0119 z serwerem kontrolowanym przez atakuj\u0105cego przez proxy Tor.<\/p>\n\n\n\n
Najprostszym sposobem zabezpieczenia si\u0119 przed zagro\u017ceniami w stylu KryptoCibule jest oczywi\u015bcie unikanie instalacji pirackiego oprogramowania.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142a: 1<\/a> | 2<\/a> | 3<\/a><\/p>\n\n\n\n Badacze z Tenable ujawnili dwie luki wtyczki do Magento, kt\u00f3re mog\u0105 umo\u017cliwi\u0107 zdalne wykonanie kodu. Mowa o Magento Mass Import (Magmi) – kliencie bazy danych typu open source, kt\u00f3ry importuje dane do platformy. \u0141atk\u0119 opublikowano tylko dla jednej z nich (CVE-2020-5777) w wersji Magmi 0.7.24 w niedziel\u0119 30 sierpnia.<\/p>\n\n\n\n Trudno powiedzie\u0107, ile stron dzia\u0142aj\u0105cych w oparciu o platform\u0119 Magento mo\u017ce by\u0107 podatnych na ataki. Specjali\u015bci zidentyfikowali co najmniej 1500 zaindeksowanych w wyszukiwarkach witryn korzystaj\u0105cych z wtyczki. Prawdopodobnie jednak jest ich znacznie wi\u0119cej\u2026 We wtorek opublikowali r\u00f3wnie\u017c na GitHub proof-of-concept (PoC) dla obu wad.<\/p>\n\n\n\n CVE-2020-5776, to nieza\u0142atana luka w zabezpieczeniach umo\u017cliwiaj\u0105ca sfa\u0142szowanie \u017c\u0105da\u0144 mi\u0119dzy lokacjami (CSRF). Dotyczy Magmi do wersji 0.7.24. W tym konkretnym ataku cyberprzest\u0119pcy mog\u0105 oszuka\u0107 administratora Magento, aby klikn\u0105\u0142 \u0142\u0105cze, podczas gdy s\u0105 uwierzytelnieni w Magmi. Atakuj\u0105cy mog\u0105 nast\u0119pnie przej\u0105\u0107 sesje administratora, umo\u017cliwiaj\u0105ce wykonanie dowolnego kodu na serwerze, na kt\u00f3rym znajduje si\u0119 wtyczka.<\/p>\n\n\n\n Druga, ju\u017c za\u0142atana luka, CVE-2020-5777, to b\u0142\u0105d umo\u017cliwiaj\u0105cy obej\u015bcie uwierzytelniania w wersjach Magmi 0.7.23 i starszych.<\/p>\n\n\n\n Proces uwierzytelniania wykorzystuje bowiem podstawowe uwierzytelnianie HTTP. Sprawdza nazw\u0119 u\u017cytkownika i has\u0142o w tabeli admin_user <\/em>w bazie danych Magento. Je\u015bli jednak po\u0142\u0105czenie z baz\u0105 danych Magento nie powiedzie si\u0119, Magmi zaakceptuje domy\u015blne dane uwierzytelniaj\u0105ce, kt\u00f3rymi s\u0105 magmi:magmi.<\/p>\n\n\n\n Osoba atakuj\u0105ca mo\u017ce zatem wymusi\u0107 niepowodzenie po\u0142\u0105czenia z baz\u0105 danych w wyniku ataku typu DoS, a nast\u0119pnie uwierzytelni\u0107 si\u0119 w Magmi przy u\u017cyciu domy\u015blnych danych uwierzytelniaj\u0105cych. Skutkiem tego ataku jest zdalne wykonanie kodu (RCE) na serwerze, na kt\u00f3rym znajduje si\u0119 Magmi.<\/p>\n\n\n\n Jak ograniczy\u0107 ryzyko? Najlepiej ca\u0142kowicie wy\u0142\u0105czy\u0107 lub odinstalowa\u0107 wtyczk\u0119 do momentu udost\u0119pnienia pe\u0142nej poprawki oraz powstrzyma\u0107 si\u0119 od aktywnego przegl\u0105dania sieci podczas uwierzytelnienia w Magmi. <\/p>\n\n\n\n O problemach Magento pisali\u015bmy ju\u017c wielokrotnie – m.in. w kontek\u015bcie Magecart<\/a> czy cross-site-scripting<\/a>.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Flagowy antywirus Microsoft Defender w ostatniej aktualizacji zosta\u0142 wyposa\u017cony w narz\u0119dzie wiersza polece\u0144 MpCmdRun.exe, kt\u00f3re mo\u017ce\u2026 pobiera\u0107 z\u0142o\u015bliwe pliki ze zdalnej lokalizacji. <\/p>\n\n\n\n Poprzez t\u0119 now\u0105 funkcj\u0119 Microsoft Defender znalaz\u0142 si\u0119 na d\u0142ugiej li\u015bcie program\u00f3w systemu Windows, mo\u017cliwych do wykorzystania przez lokalnych atakuj\u0105cych.<\/p>\n\n\n\n Odkryta przez badacza bezpiecze\u0144stwa Mohammada Askara, ostatnia aktualizacja narz\u0119dzia wiersza polece\u0144 programu Microsoft Defender zawiera teraz nowy argument -DownloadFile. Umo\u017cliwia on lokalnemu atakuj\u0105cemu skorzystanie z narz\u0119dzia wiersza polece\u0144 us\u0142ugi Microsoft Antimalware Service (MpCmdRun.exe) w celu pobrania pliku ze zdalnej lokalizacji za pomoc\u0105 nast\u0119puj\u0105cego polecenia:<\/p>\n\n\n\n MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]<\/span><\/p>\n\n\n\n Dobra wiadomo\u015b\u0107 jest taka, \u017ce \u200b\u200bMicrosoft Defender wykryje z\u0142o\u015bliwe pliki pobrane za pomoc\u0105 MpCmdRun.exe. Nie wiadomo jednak, czy inne oprogramowanie antywirusowe pozwoli temu programowi omin\u0105\u0107 ich wykrycia.<\/p>\n\n\n\n Dzi\u0119ki temu odkryciu administratorzy i cz\u0142onkowie blue teams zyskali dodatkowy plik wykonywalny systemu Windows, kt\u00f3ry musz\u0105 monitorowa\u0107, aby nie zosta\u0142 wykorzystany przeciwko nim.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Pami\u0119tacie Jokera<\/a>? Ju\u017c kiedy\u015b Was przed nim ostrzegali\u015bmy. Tym razem Google usuwa kolejne sze\u015b\u0107 aplikacji ze swojego sklepu, na kt\u00f3rych wykryto to oprogramowanie szpiegowskie.<\/p>\n\n\n\n \u0141\u0105cznie aplikacje pobrano blisko 200 000 razy\u2026 Pomimo ich usuni\u0119cia przez Google nadal s\u0105 zainstalowane na urz\u0105dzeniach. U\u017cytkownicy aplikacji proszeni o natychmiastowe ich usuni\u0119cie z telefon\u00f3w.<\/p>\n\n\n\n Niebezpieczne s\u0105 takie programy jak: Convenient Scanner 2 (100 000 instalacji), Separate Doc Scanner (50 000 pobra\u0144), Safety AppLock (10 000), Push Message-Texting & SMS (10 000), Emoji Wallpaper (10 000) i Fingertip GameBox (1000).<\/p>\n\n\n\n Why so serious? <\/strong>Joker to rodzina z\u0142o\u015bliwego oprogramowania s\u0142u\u017c\u0105ca do oszustw rozliczeniowych (nazywana r\u00f3wnie\u017c oprogramowaniem typu \u201efleeceware\u201d). Pocz\u0105tki zagro\u017cenia si\u0119gaj\u0105 2017 roku, ale \u017cniwo zbiera od 2019 r. <\/p>\n\n\n\n Aplikacje zawieraj\u0105ce malware reklamuj\u0105 si\u0119 jako legalne appki. Jednak po zainstalowaniu symuluj\u0105 klikni\u0119cia i bez wiedzy u\u017cytkownik\u00f3w przechwytuj\u0105 wiadomo\u015bci SMS, aby subskrybowa\u0107 niechciane, p\u0142atne us\u0142ugi premium.<\/p>\n\n\n\n Od 2017 roku Google Play Store usun\u0119\u0142o 1,7 tys. aplikacji zawieraj\u0105cych Jokera, ale malware wci\u0105\u017c wraca na niego jak bumerang. <\/p>\n\n\n\n U\u017cytkownicy powinni pami\u0119ta\u0107 o zabezpieczeniu nie tylko komputer\u00f3w (antywirus, program do backupu<\/a>), ale i swoich urz\u0105dze\u0144 mobilnych, po to, aby zapewni\u0107 sobie i swoim organizacjom maksymalny poziom bezpiecze\u0144stwa – zw\u0142aszcza w czasie pracy zdalnej. <\/p>\n\n\n\n2. Luki w MAGMI Magento umo\u017cliwiaj\u0105 zdalne wykonanie kodu w podatnej witrynie<\/strong><\/h2>\n\n\n
3. O ironio! Microsoft Defender <\/strong>pobierze z\u0142o\u015bliwe oprogramowani<\/strong>e?<\/h2>\n\n\n
<\/a><\/figure><\/div>\n\n\n\n4. Spyware Joker po raz kolejny wykryty w Google Play<\/strong><\/h2>\n\n\n