Știrile săptămânii din cybersecurity (16.01.2019)

2019/01/16
Popularitate 997

Phishing PayPal în mesaje de răscumpărare ransomware 

Recent, echipa de securitate MalwareHunter Team a descoperit o nouă variantă de ransomware care, pe lângă faptul că îți criptează fișierele, încearcă să extragă de pe dispozitiv credențiale pentru PayPal, prin includerea unei pagini de phishing în mesajul de răscumpărare.

Varianta de ransomware nu conține nimic special, dar nota de răscumpărare este inserată inteligent. Atacatorii nu numai că încearcă să vă fure banii printr-o plată de răscumpărare obișnuită, ci oferă și posibilitatea de a plăti prin PayPal. Dacă un utilizator alege să-și recupereze fișierele plătind via PayPal taxa de răscumpărare cerută, acesta va fi adus la un site de phishing unde se vor extrage datele de autentificare ale victimei.

Bug-uri ale jocului Fortnite au permis hackerilor să preia controlul conturilor

Cercetătorii de la Check Point au descoperit mai multe vulnerabilități ale jocului Fortnite, un joc online foarte popular, una dintre acestea permițând hackerilor să obțină acces la conturile utilizatorilor. Alte tipuri de vulnerabilități descoperite au fost SQL Injection, cross-site scripting (XSS) și un bypass al systemului firewall aferent aplicației web a jocului.

Sistemul de autentificare la platforma Fortnite este bazat pe OAuth și este de tip SSO (Single Sign ON), permițând utilizatorilor să se logheze prin intermediul platformelor Facebook, Google, XBOX și Playstation.

Conform cercetătorilor, controlul asupra contului de utilizator se putea obține datorită unui bug de tip cross-site scripting și a unui redirect într-unul din subdomeniile site-ului Epic Games.com, ca urmare a unui click al utilizatorului pe un link generat de hackeri. Astfel se putea obține token-ul de autentificare  la platforma jocului.

După compromiterea contului, un hacker putea avea acces la datele personale ale utilizatorului și putea face tranzacții în joc, utilizând monezile virtuale atașate (V-bucks) sau putea transfera asset-uri achiziționate în joc către alt cont, controlat de hacker.

GoDaddy renunță la injecția codului responsabil de urmărirea performanției

GoDaddy injectează cod JavaScript în site-urile clienților cu scopul de a monitoriza perfomanța, dar în anumite cazuri acest lucru ar putea îngreuna sau chiar împiedica funcționarea acestora.

Conform unui utilizator al platformei GoDaddy, scriptul înjectat a fost descoperit ca urmare a unui bug în browserul Safari, datorită căruia script-ul GoDaddy nu putea fi încărcat. Script-ul JavaScript este încărcat din sistemul RUM (Real User Metrics) aparținând GoDaddy, iar conform companiei, această injecție de cod se face pentru a măsura și urmări performanța site-urilor și nu pentru a colecta informații ale utilizatorilor.

Totodată, cei de la GoDaddy au recunoscut că script-ul injectat poate afecta performața site-urilor, prin îngreunarea funționării acestora sau poate face ca aceste site-uri să nu poată fi accesate. Clienții GoDaddy din America și cei care utilizează cPanel Shared Hosting și cPanel Business au fost incluși automat în sistemul RUM.

După ce au fost semnalate aceste probleme către GoDaddy, aceștia au dezactivat injecția scriptului în site-urile utilizatorilor, cu mențiunea că pe viitor acest sistem va fi reintrodus doar ca opțiune.

Vulnerabilitate vCard în sistemul de operare Microsoft

O vulnerabilitate de tip zero-day a fost descoperită și raportată în sistemul de operare Windows al Microsoft care, într-un anumit scenariu, ar putea permite unui atacator executarea de la distanță a unui cod arbitrar pe mașina Windows.

Vulnerabilitatea a fost raportată cu mai bine de 6 luni în urmă, însă nu a fost momentan rezolvată de Microsoft. vCard reprezintă un format de fișier folosit pentru stocarea informațiilor de contact ale unei persoane sau organizații, un tip de carte de vizită virtuală, care este suportată de Microsoft Outlook. 

Potrivit cercetătorului care a descoperit vulnerabilitatea, un atacator poate crea un fișier vCard malițios, astfel încât adresa URL a site-ului de contact să trimită la un fișier executabil local, care poate fi ulterior trimis într-un fișier comprimat prin e-mail sau livrat separat, prin tehnici de drive-by downloads. 

O vulnerabilitate a Google Search permitea alterarea rezultatelor si raspandirea de ‘Fake News’

Fenomenul „fake news” reprezintă o problemă pentru toți giganții „tech”. După ce a zdruncinat Facebook, următoarea victimă pare să fie Google. Pentru a răspândi informații false, a fost exploatată o vulnerabilitate care avea ca țintă rezultatele căutărilor Google. Drept urmare, acestea începeau să returneze rezultate incorecte.

Orice actor malițios ar putea altera rezultate căutărilor Google pentru a răspândi informații false, mai exact “fake news”. După cum a fost raportat, atacatorul trebuia doar sa exploateze feature-ul de “knowledge graph”. Conform investigațiilor effectuate de Wietze Beukmen, problema a apărut din cauza unui parametru din “knowledge graph” care funcționa precum un identificator unic.

Oricine putea extrage acel identificator URL și îl putea asocia unui URL valid de căutare. Rezultatul căutării afișat era alterat și, prin distribuirea către alți utilizatori, se răspândeau informații eronate. În prezent, vulnerabilitatea a fost remediată de către Google, aceasta nu pare să fi avut un impact asupra gigantului, dar până acum nu se știe dacă această vulnerabilitate a fost exploatată.


Vizualizat de 998 ori