Știrile săptămânii din cybersecurity (24.04.2019)

2019/04/24
Popularitate 971

Foto: CheckPoint

Campanie de phishing îndreptată către fanii Game Of Thrones

Cum abia a apărut ultimul sezon din Game of Thrones, baieții răi au profitat de această ocazie pentru a păcăli fanii din întreaga lume. Cercetătorii din domeniul securității au descoperit două tipuri de site-uri care au legatură cu serialul Game of Thrones, acestea ar putea fi împărțite în două categorii principale - site-uri legitime sau frauduloase.

În timp ce site-urile legitime includ pagini pentru fani, magazine de online și site-uri de jocuri, cealaltă categorie include site-uri care conduc spre alte platforme ce nu au legătură cu serialul. Aceste site-uri frauduloase, în majoritatea cazurilor, solicită informații personale pentru diverse activități sau instalarea de plugin-uri pentru browser, urmate de o solicitare de date personale.

O astfel de campanie implică un site aparent legitim (gameofthronesratings [.] com) pentru fanii GoT. Cu toate acestea, intenționează să colecteze pur și simplu adrese de e-mail și numere de telefon pentru posibile activități de spam în viitor. De asemenea, un alt site (gameofthronesofficalshop [.] com) se afișează ca magazin oficial al Game of Thrones, dar acesta îi înșeală pe utilizatori, determinandu-i să le transmită detaliile cardurilor bancare.

În ciuda faptului că sunt bine cunoscute, înșelătoriile și campaniile de phishing există într-o mare varietate de forme. Astfel, devine extrem de dificil pentru utilizatorii neexperimentați să se apere. Ei ar trebuii să se asigure că site-urile pe care le accesează sunt legitime și să fie atenți la orice detaliu care li se pare suspect.

Troian-ul bancar Danabot revine cu noi capabilități de atac

Danabot este un troian bancar, care a fost descoperit de cercetătorii de la Proofpoint în data de 06 Mai 2018. Danabot este capabil să fure credențiale și informații despre sistem, cum ar fi lista de fișiere de pe hard disk-ul utilizatorului și multe altele.

Acest troian bancar a fost menționat pentru prima oară când a vizat utilizatorii din Australia prin e-mailuri de phishing. În afară de Australia, Danabot a fost de asemenea vizibil în țări precum Statele Unite, Polonia, Germania și Italia.

Atacatorii din spatele troianului bancar Danabot au adăugat noi caracteristici malware-ului: plugin VNC pentru control la distanță, sniffer ce poate injecta script-uri în browser-ul victimei, client VPN, FTP, programe de chat și email cât și un plugin TOR ce instalează un proxy pentru a accesa site-urile .onion. Tot ei au introdus un nou protocol de comunicare al malware-ului la sfârșitul lunii ianuarie 2019, care a adăugat mai multe straturi de criptare ce utilizează algoritmii AES și RSA, în comunicarea cu serverele de comandă și control.

Pe lângă protocolul de comunicare modificat, DanaBot a primit de asemenea o componentă nouă de încărcare care este utilizată pentru a descărca toate pluginurile împreună cu modulul principal.

Atacatorii exploatează activ un plugin WordPress de partajare pe canalele social media

Recent, s-a descoperit că hackerii exploatează activ un set de vulnerabilități a unui plugin de partajare pe social-media ce le permite să preia controlul asupra site-urilor WordPress care încă utilizează o versiune vulnerabilă a plugin-ului.

Este vorba despre plugin-ul Social Warfare, care la momentul actual a fost descărcat de peste 900.000 de ori și este utilizat pentru adăugarea butoanelor de share pe site-urile și blog-urile WordPress.

Hackerii pot exploata aceste două vulnerabilități pentru a rula cod arbitrar PHP și prelua controlul site-ului și serverelor fară autentificare, utilizându-le ulterior pentru minare de criptomonede sau host-ing pentru aplicații malițioase.

Cei care se ocupă de mentenanța acestui plugin au lansat luna trecută versiunea 3.5.3 care a remediat cele două vulnerabilități.

Document malițios deghizat ca US TOP-SECRET, folosit pentru a ataca organizații europene

Cercetătorii în domeniul securității au întâlnit o nouă campanie de atac care utilizează un document malițios ce poartă logo-ul Departamentului de Stat al SUA. Campania este folosită împotriva mai multor firme de servicii financiare și ambasade din Europa.

Descoperită de cercetătorii de securitate de la Checkpoint, campania implică utilizarea unui malware deghizat ca document Top-Secret și un virus de tip troian sub forma unui fisier TeamViewer. Aceasta permite atacatorilor să obțină control complet asupra sistemelor infectate.

E-mail-urile sunt trimise cu subiectul "Programul de finanțare militară" si conțin un atașament XLSM. Pentru a păcăli victimele, documentul XLSM poartă logo-ul Departamentului de Stat al SUA și se înscrie sub titlul "Military Financing.xslm".

Deși atacatorii au muncit din greu pentru a face documentul să pară convingător, ei par să fi ignorat unele artefacte chirilice (cum ar fi numele Workbook-ului) care au fost lăsate în document și ar putea dezvălui mai multe informații despre sursa acestui atac.

Datorită activității și obiectivelor, cercetătorii susțin că atacatorii din spatele campaniei sunt motivați financiar.

Vulnerabilitate în biblioteca JavaScript jQuery

Biblioteca jQuery este utilizată în aproximativ 74% din site-urile disponbile pe internet. Utilitatea se materializează în principal pe partea de front-end a site-urilor. Versiunile afectate, 1.x și 2.x, sunt cele mai răspândite.

Vulnerabilitatea (CVE-2019-11358) descoperită săptămâna aceasta de cercetătorii de la Snyk a fost denumită „Prototype pollution”. Aceasta permite unui atacator să modifice prototipul unui obiect Javascript. Prototipurile sunt utilizate în JavaScript pentru definirea inițială a structurii și parametrilor unui obiect.

În aplicațiile web care se bazează foarte mult pe utilizarea acestei librării, exploatarea vulnerabilității poate conduce la schimbarea comportamentului aplicației. Deși a fost lansat un patch pentru această vulnerabilitate, utilizatorii sunt sfătuiți să treacă la cea mai nouă versiune jQuery, versiunea 3.4.0.


Vizualizat de 831 ori