Știrile săptămânii din cybersecurity (16.04.2020)

Foto: Markus Spiske (Unsplash)

Aplicația ‘Coronavirus Update’, utilizată în campanii de spionaj

Una dintre aceste campanii, descoperită de cercetătorii TrendMicro și cunoscută sub denumirea de Project Spy, utilizează tematica pandemiei de Coronavirus pentru a ajunge în dispozitivele mobile-victimă. Codul malițios se regăsește în versiuni de Android și iOS ale aplicației ‘Coronavirus Update’.

Aplicația poate exfiltra date din aplicații uzuale de mesagerie, precum WhatsApp, Telegram, Facebook și Threema, dar și alte informați din dispozitivul mobil, exploatând o permisiune corespunzătoare notificărilor.

Cu toate că numărul de descărcări este relativ mic (datorită funcționării necorespunzătoare), conform articolului publicat de TrendMicro, aceasta a fost instalat de utilizatori cu conturi în Pakistan, India, Afghanistan, Bangladesh, Iran, Arabia Saudită, Austria, România, Grenada sau Rusia.

Recomandăm utilizatorilor să acorde o atenție deosebită aplicațiilor instalate pe dispozitivele mobile și să se informeze corespunzător privind evoluția pandemiei COVID-19, doar din surse oficiale!

Atacuri cu ransomware la nivel mondial, împotriva organizațiilor din domeniul medical

Întrucât sistemul medical la nivel mondial se luptă pentru a răspunde eficient crizei Coronavirusului, infractori cibernetici - fără conștiință și empatie – se folosesc de context și își îndreaptă atenția către organizații din domeniul sănătății, facilități de cercetare sau alte organizații guvernamentale. Principalele ‘arme’ utilizate pentru o monetizare rapidă a acținilor malițioase sunt atacurile de tip ransomware și furtul de informații confidențiale.

O nouă cercetare de la Palo Alto Networks confirmă faptul că astfel de atacuri au început să apară la nivel mondial și nu cruță instituții care se află în prima linie a luptei împotriva COVID-19. Aceștia dau ca exemplu o organizație medicală guvernamentală  și o universitate canadiană de cercetare medicală, care au suferit atacuri de tip ransomware între 24 și 26 martie. Atacurile au fost inițiate ca parte a campaniilor de phishing cu temă Coronavirus, unele care au devenit extrem de răspândite în ultimele luni.

Potrivit cercetătorilor, campania a început cu e-mailuri malițioase trimise de la o adresă care imită Organizația Mondială a Sănătății (noreply @ care [.] Int). Aceste mesaje au fost trimise către o serie de persoane asociate cu organizația medicală.

Adresele de e-mail conțineau un document de format text (.RTF), denumit 20200323-sitrep-63-covid-19.doc, care, atunci când a fost deschis, a încercat să livreze ransomware EDA2, prin exploatarea unei vulnerabilități cunoscute (CVE-2012-0158).

Cercetătorii Bitdefender descoperă un nou botnet care exploatează dispozitivele IoT

Cercetătorii din cadrul companiei Bitdefender au identificat recent o campanie malițioasă de tip botnet, denumită sugestiv Dark Nexus. Din raportul realizat în urma analizei, experții în securitate cibernetică au concluzionat că noul botnet este activ încă de la sfârșitul anului 2019 și prezintă caracteristici funcționale îmbunătățite, față de cele identificate până în prezent.

Conform rezultatelor, reiese că Dark Nexus este utilizat în principal pentru exploatarea dispozitivelor din categoria Internet of Things (IoT), respectiv utilizatea botnet-ului în atacuri de tip DDoS.

Datele privind funcționalitatea, detecția și atribuirea dark_nexus IoT botnet sunt prezentate în detaliu în raportul New dark_nexus IoT Botnet Puts Others to Shame.

Google a eliminat 49 de extensii Chrome ce furau criptomonede

Google a eliminat din Web Store un număr de 49 extensii Chrome care pretindeau că ar fi portofele electronice, dar conțineau cod malițios care exfiltra informații și fura criptomonede.

Cele 49 de extensii au fost identificate de către cercetătorii de la MyCrypto și PhisFort. Deși extensiile malițioase au fost șterse în 24 de ore de la momentul raportării către Google, analiza MyCrypto a dezvăluit faptul că acestea au început să-și facă apariția în magazinul de aplicații de la începutul lunii februarie a acestui an. O parte dintre acestea au avut un rating fals de 5 stele, crescând șansele de a fi descărcate cu înredere de cât mai multe victime.

O vulnerabilitate critică în VMware vCenter Server permite exfiltrarea de informații

VMware a publicat informații cu privire la o vulnerabilitate care afectează vCenter Server. Prin exploatarea acesteia, exista posibilitatea de a exfiltrara date. Vulnerabilitatea (CVE-2020-3952) a fost localizată în componenta vmdir a VMware vCenter Server.

În prezent, există un patch pentru versiunea 6.7, prin lansarea unei actualizări la versiunea 6.7u3f. De asemenea, luna trecută, VMware a remediat această vulnerabilitate și pe software-ul Workstation Pro.