Малуер

Хакерите атакуват машини с Windows, като маскират вирусите с разширението ZIP. По този начин те доставят зловредни товари в компресирани архиви, а решенията за сигурност не успяват да ги засекат. 

Откритието е на компанията за киберсигурност Perception Point, която засича „троянски кон“ в архивен файл по време на анализ на фишинг атака. Прикаченият файл е маскиран като RAR архив, а зловредният софтуер е използвал скриптовия език AutoIt, за да автоматизира злонамерени задачи. 

Атаката протича така: 

• подготовка, при която нападателите създават два или повече отделни ZIP архива и скриват зловредния полезен товар в един от тях; 
• отделните файлове се обединяват в един свързан архив; 
• въпреки че крайният резултат изглежда като един файл, той съдържа множество ZIP структури, всяка със собствена централна директория; 

Следващата фаза на атаката разчита на начина, по който различните софтуери обработват архивите. В зависимост от поведението на конкретното приложение хакерите могат да прецизират стратегията си.  

За да се защитите от подобна атака, използвайте решения за киберсигурност, които позволяват контролирано разархивиране на файлове. Но най-сигурно е винаги да подхождате с подозрение към имейлите с прикачени ZIP или други типове архиви. 

От юни 2023 г. до април 2024 г. осем милиона потребители са инсталирали повече от 200 зловредни приложения от Google Play.

Според доклада на компанията за киберсигурност Zscaler „ThreatLabz 2024 Mobile, IoT, & OT Threat Report“ най-разпространеният малуер там е Joker – 38% от зловредните приложения. Той се използва за измами с Wireless Application Protocol (WAP), като скрито абонира жертвите за услуги на по-висока цена без тяхното съгласие.

На второ място е adware софтуера (35%), следван от Facestealer (14%), който е предназначен за събиране на данни за достъп до Facebook с цел превземане на акаунти.

Категорията Tools (Инструменти) е най-използвана от хакерите в Play Store, като на нея се падат почти половината (48%) от заразените със зловреден софтуер приложения.

Почти половината (46%) от атаките са с „троянски коне“, а секторите на технологиите (18%), образованието (18%) и производството (14%) са понесли основната тежест на мобилния зловреден софтуер през миналата година. По специално, в сектора на образованието атаките са се увеличили със 136% на годишна база.

 

Нова версия на зловредния софтуер за Android Necro е била инсталирана на поне 11 милиона устройства чрез Google Play. Тя се разпространява чрез SDK, използвани от легитимни приложения, и инсталира: 

• рекламен софтуер, който зарежда връзки чрез невидими прозорци WebView; 
• модули, които изтеглят и изпълняват произволни JavaScript и DEX файлове; 
• инструменти, специално разработени за улесняване на измамите с абонаменти; 
• механизми, които използват заразени устройства като проксита за насочване на злонамерен трафик. 

От Kaspersky са открили Necro в две приложения в Google Play със значителна потребителска база – Wuta Camera, инструмент за редактиране на снимки с над 10 000 000 изтегляния, и Max Browser, с над 1 милион.  

Извън Play Store той се разпространява предимно чрез модифицирани версии на популярни приложения, публикувани в неофициални уебстраници. Пример за това са модовете на WhatsApp „GBWhatsApp“ и „FMWhatsApp“, както и модификацията на Spotify – „Spotify Plus“. В доклада се споменават и модове за Minecraft и други популярни игри като Stumble Guys, Car Parking Multiplayer и Melon Sandbox. 

Както става ясно, опасности дебнат дори в официалните магазини за приложения, но за да минимизирате, риска, никога не теглете и не инсталирайте съдържание от неофициални сайтове.  

Иновативна хакерска кампания използва необичаен метод за кражба на входни данни за профили в Google – блокира потребителите в Kiosk mode на браузъра. 

Зловреден софтуер „заключва“ браузъра на потребителя на страницата за вход в Google без очевиден начин за затваряне на прозореца, блокирайки клавишите ESC и F11 на клавиатурата. Според OALABS целта е жертвата да бъде изнервена дотолкова, че да въведе и запази своите идентификационни данни за Google в браузъра, за да го „отключи“. След като пълномощията са запазени, зловредният софтуер StealC ги краде от хранилището за пълномощия и ги изпраща към нападателя. 

Потребителите, които попаднат в подобна ситуация, трябва да:  

• избягват въвеждането на чувствителна информация; 
• опитат други комбинации от клавиши за бърз достъп като „Alt + F4“, „Ctrl + Shift + Esc“, „Ctrl + Alt +Delete“ и „Alt +Tab“, които могат да помогнат за извеждане на работния плот на преден план и за стартиране на мениджъра на задачите за затваряне на браузъра (End Task).

Ако всичко това не успее, винаги можете да извършите твърдо изключване, като задържите бутона за захранване.  При рестартиране натиснете F8, изберете Safe Mode (Безопасен режим) и след като се върнете в операционната система, стартирайте пълно антивирусно сканиране, за да откриете и премахнете зловредния софтуер.  

През лятото на 2020 г. беше открит зловреден софтуер за Mac (XCSSET), който се разпространява чрез на Xcode. Той използва две 0-day уязвимости, за да открадне чувствителна информация от засегнатите системи и да стартира рансъмуер атаки.

Към момента вече е наличен и нов вариант на XCSSET, компилиран за устройства с чипове M1 на Apple.

Малуерът краде данни от популярни приложения (Evernote, Skype, Notes, QQ, WeChat, Telegram), заснема екранни снимки, дефилтрира откраднати документи на сървъра на нападателите, криптира файлове, показва бележка за откуп и др.

Изглежда, че хакерите активно прекомпилират зловреден софтуер, така че да работи за М1 чиповете на Apple за Mac. Прочетете още по темата ТУК

Нов червей атакува Linux-базирани x86 сървъри и IoT (Internet of Things) устройства (с ARM и MIPS процесори). Наречен е Gitpaste-12, защото използва 12 различни модула за атака. Разпространява се скрит в GitHub и Pastebin. Изследователите смятат, че в момента над 3,5 млн. сървъра са изложени на риск.

Кодът експлоатира съществуващи уязвимости, за да компрометира системата. Сред тях са грешките в: Apache Struts (CVE-2017-5638), рутери Asus (CVE-2013-5948), Webadmin плъгин за opendreambox (CVE-2017-14135) и рутери Tenda (CVE-2020-10987).

Как действа зловредният код

Веднъж качен на устройството на жертвата, той започва да разгръща други компоненти на Gitpaste-12. Последователно изтегля и изпълнява различни скриптове, които целят да деактивират наличните защитни системи, които Linux-устройството има, включително решенията за облачна сигурност.

Прочетете още: Ловци на митове: за Linux няма вируси, ама друг път

Gitpaste-12 разполага с команди, с които: пречи на администраторите да събират информация за изпълнявани процеси, може да инсталира криптомайнери за валутата Monero, изтегля и изпълнява файлове, които хостват допълнителен злонамерен код.

Заразата се разпространява

Като един истински червей, Gitpaste-12 съдържа и скрипт, който стартира атаки срещу други устройства, с цел да репликира и разпространи злонамерения софтуер. Първоначално избира произволен CIDR за атака и оттам се насочва към всички IP адреси в обхвата му.

Версия на скрипта отваря портове 30004 и 30005 за reverse shell команди, чрез които практически може да завладее цялата система на жертвата.

Съвети за системни администратори

Как да се предпазите, ако сървърът ви работи под Linux? От ESET дават следните предложения:

• Обновявайте системата редовно
• Използвайте ключове, а не пароли, за автентикация
• Изключете отдалечения административен достъп
• Изполвайте решение за многофакторна автентикация за SSH

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Често срещаме въпроса „разумно ли е да имам повече от един антивирус на компютъра/смартфона/таблета си?“. В този текст ще ви дадем нашето мнение по въпроса, защо наличието на повече от едно решение за защита от вируси на едно устройство може да е по-скоро вредно и ненужно, отколкото полезно.

Има три основни причини, поради които едновременното използване на няколко антивирусни решения не е добра идея:

1. Всяко приложение ще използва системните ви ресурси – и ще намалява производителността на устройството ви. Инсталирането на повече от едно антивирусно решение най-вероятно няма да увеличи драматично нивото на защитата ви, но ще се отрази на производителността на компютъра ви. Това означава, че рискувате да не можете да вършите нормално работата си или дори да имате допълнителни проблеми.Сблъсъкът на антивирусни програми може да накара компютъра да се държи нередно и да работи по-бавно – това е така, защото тези приложения се борят за едни и същи системни ресурси, които иначе биха отишли за програмите, с които работите или се забавлявате.
2. Отделните антивирусни приложения ще се опитат да се неутрализират взаимно. Повечето софтуери за защита в реално време са написани, без да се отчита възможността за наличието на друга антивирусна програма на системата. Така има голяма вероятност да се стигне до ситуации, в които единият антивирусен продукт смята поведението на другите стартирани антивирусни програми за действителна заплаха или дори да ги засече като зловреден код.Това е така, защото съвременните решения за защита на работни станции и сървъри все по-малко разчитат на предварително зададени характеристики и сигнатури за разпознаване на вируси (signatures). Повечето от тях разчитат на анализиране на поведенческите модели и аномалии, създадени от зловредните кодове. За да предпази ефективно системата от заразяване, антивирусната програма трябва да “бръкне” надълбоко в операционната система и дори отвъд нея (например, още на ниво UEFI).

   Тази дълбока интеграция със системата няма как да не “събуди подозрението” на останалите стартирани антивирусни решения, чиято работа е да предотвратят именно такова, иначе подозрително поведение.

3. Различните приложения ще извършват излишни операции при спирането на вируси. Представете си следната ситуация: Имате две антивирусни приложения на компютъра си. Първото засича потенциално опасно приложение и го поставя под карантина. Второто не знае за това действие, вижда, но не може да направи нищо с файла, защото той вече е поставен под карантина от първото приложение. Резултатът: ще имат един файл под карантина от приложение 1 и много известия за потенциална заплаха на компютъра ви, която не може да бъде отстранена, от приложение 2. Ако не искате непрекъснато да получавате неверни предупредителни съобщения, наличието на повече от един антивирусен софтуер ще бъде проблем за вас.Ето и още един подобен пример. Приемаме, че двете приложения, които ползвате, имат активирано сканиране в реално време. Ако изтеглите потенциално опасен и заразен файл, ще се получи конфликт в действията им – едното приложение може да е настроено директно да трие такива файлове, а другото – да ги поставя под карантина.И така, докато първото директно трие файловете, второто ще се опитва да постави карантина на вече несъществуващи файлове. И отново ще видите множество съобщения за грешки. А най-лошият сценарий е нито един от антивирусните продукти да не е в състояние успешно да премахне и неутрализира заплахата.

Антивирусните решения използват голяма част от вашата оперативна памет за извършване на системни сканирания и други свързани операции. Ако имате две от тях едновременно, производителността на вашият компютър може да бъде значително намалена или напълно заличена и без никаква полза, тъй като двата софтуера  извършват излишни операции.

Windows Defender е изключение

Когато операционната система на Windows види друг антивирусен продукт, който иска да защити машината, тя автоматично изключва вграденият Windows Defender.

Някои приложения за сигурност могат да включват функция за защитна стена, за да блокират посегателства онлайн, но ако антивирусния софтуер не предлага тази защита, трябва да се използва защитната стена Microsoft.

И още нещо от нас. Този материал не е съвет да доверите цялата си киберсигурност само на едно средство за защита! Напротив, изградете многопластова система за защита, в която антивирусът е само основата. Добавете технологии като защитна стена, защита от източване на данни (DLP) и други, с които да надградите защитата на работните си станции. Колкото повече механизми за отбрана имате, толкова по-добре !

А, ако все пак решите да имате две или повече антивирусни решения, то спазвайте следните условия при конфигурирането и настройването им:

• Не трябва да си пречат;
• Не трябва да дублират своите функции;
• Не трябва да прекалявате, в противен случай рискувате да станете жертва на собствената си хитрост

Последен ъпдейт на 4 май 2020 в 11:59 ч.

През февруари 2020 г., зараждащата тогава се паника от коронавируса бе използвана за разпространение на фишинг атака с мнима информация и съвети за защита от заболяването. Сега, когато Европа и светът са на път да бъдат парализирани от опасенията за глобална епидемия, киберпрестъпниците отново експлоатират страха на хората.

Този път хакерите разпространяват зловреден код под формата на прикачен файл в имейл, претендиращ, че е изпратен от италианските здравни власти. Четящият писмото е призоваван да отвори файла, за който се твърди, че съдържа информация от критична важност заради открити огнища на зараза с коронавируса в района, в който живее получателят на фишинга.

Съветът ни към вас: не се доверявайте на подобни писма и не отваряйте съмнителни прикачени файлове. Не споделяйте никъде потребителските си имена и пароли.

[button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/03/05/coronavirus-warning-spreads-computer-virus/“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:59 ч.

Вирусът Raccoon впечатли света на киберсигурността с бизнес модела, който стои зад него. Софтуерът се предлага под наем срещу 200 USD на месец, срещу които „клиентите“ получават поддръжка, коригиране на бъгове и ъпдейти на функционалностите му.
Това, отчасти, показва и защо той засяга над 60 различни приложения, сред които повече от 35 браузъра. Най-често вирусът стига до жертвите си посредством фишинг кампании с Microsoft Office документи. Сред функционалностите му са кражба на финансова информация, криптовалути, бисктвикти, история на сърфирането на данни, съхранявани във функциите за автоматично попълване на форми в браузърите.
Сред основните цели на Raccoon са Google Chrome, Internet Explorer, Microsoft Edge и Firefox.

[button color=“green“ size=“big“ link=“https://www.techradar.com/news/raccoon-malware-affects-all-browsers/“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Хакерска атака предизвика хаос в разпространението на някои от най-големите вестници в САЩ. Причината е малуер, заразил информационните системи на издателството Tribune Publishing. Заради атаката много потребители са получили със закъснение или не са получили въобще съботното издание на вестника, за който са абонирани.

Проблемът е засегнал популярни издания като New York Times, Wall Street Journal, Los Angeles Times, Chicago Tribune Baltimore Sun. Не всички те се издават от Tribune Publishing, но използват софтуер или печатници, които се управляват от издателството.

„Екипите работиха усърдно, за да изолират компютърния вирус, но той се разпространи в мрежата на Tribune Publishing и засегна критично важни за производствените процеси системи. Много вестници са засегнати от атаката, тъй като разчитат на тези производствени процеси“, коментира Los Angeles Times, едно от засегнатите издания.

Все още няма информация каква част от абонатите на засегнатите вестници не са получили своите копия, нито пък на колко се оценяват щетите от атаката. Малко се знае и за самата атака. Според Дейви Уиндър, който е колумнист на Forbes, атаката е осъществена с рансъмуера Ryuk. Официална информация обаче няма.

Таргетираните рансъмуер атаки са едно от най-доходоносните компютърни престъпления според проучване на Sophos.

Един от най-пострадалите вестници е San Diego Union-Tribune. Между 85 и 90% от съботния(29 декември) тираж на вестника не е стигнал навреме до абонатите по данни на Los Angeles Times.