Știrile săptămânii din cybersecurity (20.08.2020)

2020/08/20
Popularitate 1000

Foto: Dexerto

 Populara aplicație Discord este folosită în răspândirea de malware

Cercetătorii companiei Cyjax au observat recent o campanie de tip spam care propaga malware, cum ar fi AgentTesla și AveMaria. Primul este destinat furtului de informații, iar cel de-al doilea este un RAT (Remote Access Trojan) care perimite atacatorilor accesul de la distanță pe dispozitivul victimei.

Ceea ce a atras însă atenția cercetătorilor a fost dependența campaniei de Discord, aplicație populară de mesagerie și VoIP (Voice over Internet Protocol), pentru a găzdui payload-ul.

E-mailurile spam sunt trimise de la adresele de expediere spoofed și mascate ca notificări de livrare a coletelor de la serviciile de curierat, cum ar fi DHL sau TNT. Această campanie de folosește „cdn.discord.com” pentru a stoca fișierele.

Forma URL-urilor malițioase livrate de această campanie de tip spam este următoarea: https://cdn.discordapp.com/attachments/{ChannelID}/{AttachmentID}/example.exe

Cyberint: Criminalitatea cibernetică în România anului 2019 și orientări pentru 2020

Serviciul Român de Informaţii, prin Centrului Național CYBERINT și MANDIANT au publicat recent (18 august) un studiu care își propune ' a oferi experţilor în domeniu, din mediul privat şi cel public, autorităţilor de aplicare a legii, dar şi publicului larg, un instrument util în cunoaşterea şi gestionarea acestor provocări.'

Prima secţiune a raportului prezintă cele mai relevante fenomene care au avut loc în 2019 pe mapamond, riscuri şi vulnerabilităţi în implementarea anumitor tehnologii. A doua parte abordează principalele fenomene şi malware-uri cu care s-au confruntat mediul public şi organizaţiile private din ţara noastră. Pornind de la aspectele observate în anul precedent, ultima parte a raportului prezintă elemente ale modului de acţiune a actorilor cibernetici motivați financiar, dar şi câteva orientări pentru 2020. Documentul poate fi consultat/descărcat prin simpla apăsare pe titlul acestei știri. 

Un nou botnet P2P fileless vizează serverele SSH din întreaga lume

Cercetătorii din domeniul securității cibernetice au eliminat recent (19.08) un botnet sofisticat, multi-funcțional peer-to-peer (P2P), scris în Golang, care a vizat activ servere SSH încă din ianuarie 2020.

Potrivit unui raport publicat pe 19 august a.c. de către Guardicore Labs, botnetul modular denumit generic „FritzFrog” a compromis peste 500 de servere până în prezent, afectând universități cunoscute din SUA și Europa și o companie feroviară. În afară de instituțiile de învățământ, s-a constatat că FritzFrog a vizat milioane de adrese IP aparținând organizațiilor guvernamentale, centrelor medicale, băncilor și companiilor de telecomunicații.

Din punct de vedere funcțional, pe lângă implementarea unui protocol P2P proprietar, care a fost scris de la zero, comunicațiile în botnet se realizează în mod criptat, iar malware-ul este capabil să creeze un backdoor pe sistemele victimă pentru a oferi acces continuu atacatorilor.

Guardicore Labs a pus la dispoziție și un script de detecție care verifică dacă un server a fost infectat de FritzFrog, împreună cu împărtășirea celorlalți indicatori de compromitere (IoCs).

Parolele slabe sunt declanșatoarele imediate ale atacurilor lui FritzFrog”, a concluzionat expertul în securitate cibernetică Harpaz. De asemenea, cercetătorii au recomandat „alegerea unor parole puternice și utilizarea autentificării cu cheie publică. Routerele și dispozitivele IoT expun deseori SSH și sunt astfel vulnerabile la FritzFrog - luați în considerare schimbarea portului SSH sau dezactivarea completă a accesului SSH la acestea dacă serviciul nu este utilizat.

Drovorub: NSA și FBI atrag atenția cu privire la un nou tip de malware utilizat în atacurile de spionaj cibernetic

Conform unei analize a celor două instituții americane, noul malware, denumit „Drovorub”, are capabilități complexe și este utilizat pentru a ataca sistemele Linux. Atât FBI, cât și NSA speculează că malware-ul a făcut parte din operații de spionaj cibernetic desfășurate de către GRU și grupul Fancy Bear.

În momentul infectării unui device, Drovorub oferă unui actor terț capabilități multiple. Atacatorul poate prelua controlul device-ului infectat și poate descărca sau încărca fișiere în sistem. În plus, malware-ul oferă capabilitatea de realiza port forwarding-ul traficului din rețea către un anumit host.

Drovorub conține un rootkit ce îi permite să rămână ascuns în sistemul infectat și să persiste în urma unui resetare a device-ului. Conform autorităților americane, o măsură de securitate împotriva malware-ului constă în setarea SecureBoot pe modurile „full” sau „thorough”.

ESET: Cum se fac bani din înșelătorii pe Instagram

Cei de la ESET au făcut un experiment pe Instagram, pentru a demonstra cât de ușor este să faci bani pe baza credulității utilizatorilor atunci când interacționează pe social media. Tehnica abordată a fost social engineering (ingineria socială) și presupune manipularea potențialelor victime în a executa anumite acțiuni, pe baza unui scenariu livrat de atacator.

„Am auzit povești despre clonări ale conturilor, dar am presupus întotdeauna că oamenii vor verifica atent autenticitatea unui cont sau cel puțin se vor gândi de două ori înainte să trimită bani către contul unei persoane cunoscute recent. Din păcate, oamenii se lasă păcăliți în continuare de astfel de înșelătorii, motiv pentru care mi-am propus să îi ajut pe cei care nu sunt încă conștienți de riscurile la care sunt expuși”, scrie autorul experimentului, Jake Moore.


Vizualizat de 1232 ori