Спам

Екип на Университета в Мериленд е публикувал нова версия на софтуер, който може успешно да покрие аудио теста на reCAPTCHA в 90% от случаите. Антиспам услугата, която е собственост на Google, се използва за борба с фалшивия интернет трафик и спам съобщенията.

Кодът се казва unCaptcha2 и е публикуван за сваляне в GitHub. Той е нова версия на софтуера, който екипа на университета публикува през 2017 г. Тогава успеваемостта му беше 85%. „Благодарение на промените в аудио версията на reCAPTCHA, заобикалянето му е по-лесно от всякога. Кодът ни трябва да направи само една заявка до някой обществено достъпен API за конвертиране от реч към текст, за да постигне 90% успеваемост“, казват авторите на unCaptcha2.

Софтуерът работи по следния начин: той сваля аудио теста на reCAPTCHA, изпраща го към услуга за конвертиране на реч в текст и след това въвежда получения текст като отговор в полето на антиспам филтъра.

Още в края на юни Google е информирана за факта, че unCaptcha2 преминава с 90% успеваемост през аудио версията на популярния антиспам филтър. От компанията обаче не са счели за необходимо да предприемат някакви действия. „Екипът на reCAPTCHA знае за този вектор на атака и потвърждава, че е съгласен да публикуваме кода въпреки високата му успеваемост“, казват авторите на софтуера.

reCAPTCHA се използва от поне 3.8 млн. сайта, включително и почти 600 български, според данните на Built With. Основната му цел е да спира публикуването на спам коментари, в които може да се крият зловредни линкове към малуер.

 

Последен ъпдейт на 21 юни 2018 в 04:36 ч.

Нова кампания на небезизвестния вирус MuddyWater, която използва стартиране на PowerShell script в MS-Word документ, бе разкрита от анализаторите на Trend Micro.

Вирусът бе засечен за първи път през 2017 г. и бе насочен срещу правителството на Саудитска Арабия. По-късно нова серия от атаки бяха извършени към други страни като Турция и Пакистан, а през март тази година – и към Таджикистан.

Новото и различно при тази вълна на кампанията е, че атаката не използва VisualBasic Script и PowerShell компонентни файлове, а директно инжектира скрипта, нужен за атаката в самия Word документ.

Как протича заразата

Първата стъпка от атаката обикновено цели да заблуди жертвата. Тя получава мейл с обещания за награда или промоция и бива подмамена да изпълни макрокода в документа, прикачен към лъжливото писмо.

След послушното стартиране на кода, той използва фукнцията Document_Open(), за да стартира автоматично зловредната си част. Задълбочен анализ на малуера показва, че PowerShell скрипта, който декодира съдържанието на зловредния документ, води до изпълненито на втори скрипт.

Изпълнението на втория PowerShell скрипт използва различни зловредни компоненти, намиращи се в %Application Data%\Microsoft\CLR\*, които от своя страна стартират финалния payload – PRB-Backdoor (няма общо с Прокуратурата на Република България :) ). PRB-Backdoor е инструмент, който комуникира с команден център, изпращайки или получавайки специфични команди, чрез които извършва своята зловредна активност.

За улеснения на читателите, прилагаме така наречения IOC (Indicator of Compromise), които може да бъде използван за засичане на атаката.

SHA -1 – 240b7d2825183226af634d3801713b0e0f409eb3e1e48e1d36c96d2b03d8836b

Съвет от специалистите – как да се предпазим

Най-добрият начин за предпазване от този тип атаки е да не се доверявате и да не отваряте съдържанието на съмнителни документи или мейли, които ви обещават промоции, награди или други финансови облаги.

Разбира се, не можем да минем и без да ви посъветваме да използвате лицензиран антивирусен софтуер, за да имате шанс пред атакуващите, в случай че все пак отворите документа.

 

Изненадващо прост начин за заобикаляне на една от защитите на Office365 е разкрита от потребители на услугата.

Засегната е функцията Safe Links, която се грижи за блокирането на потенциално опасни линкове в имейли и документи.

Методът, който престъпниците използват, е поставянето на <base> таг в HTML хедъра, което разделя зловредния URL на части. По този начин, Safe Links не проверява пълния адрес и потребителите не получават адекватна оценка на безопасността му.

Методът, именуван baseStriker, работи срещу настолната, уеб и мобилна версия на Outlook, тъй като и двете поддържат <base> тага. Клиенти като Gmail не са засегнати.

Microsoft са осведомени за уязвимостта и компанията вече разследва проблема.

Последен ъпдейт на 28 юни 2018 в 11:56 ч.

Популярното приложение за комуникация WhatsApp е уязвимо на атака със специфично съобщение, което води до блокирането му. Бъгът е забелязан от потребители и може да доведе до спиране на работата на цялото устройство.

В зловредното съобщение се съдържат специфични знаци, които се обработват неправилно от приложението и водят до фатална софтуерна грешка.

Към момента са познати два варианта на съобщението. Един от тях съдържа предупреждение „Ако ме отвориш, ще ти забие WahtsApp“ и завършва с голяма черна точка. При докосване на точката, приложението спира да функционира. Това съобщение се възползва от претоварване чрез експлоатация на особености в  изписването на текст отдясно наляво (RTL).

Вторият вариант изглежда доста по-безобиден и не съдържа предупреждения или указания. Това съобщение съдържа специални символи, които не се визуализират и завършва с емотиконка (която е единственото видимо нещо съобщението). Причина за претоварването в този случай е размерът на съобщението.

WhatsApp се използва от над 1.5 млрд. потребителя по цял свят, показват данни на Statistia.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:48 ч.

Нов списък със 711 милиона имейл адреса е открит от базиран в Париж киберексперт, познат само с псевдонима Benkow. Това е най-голямата база данни с компрометирани имейл адреси, откривана досега, съобщава IFL.

Списъкът е от две части – първата съдържа само имейл адреси, а втората имейли и пароли.

„Миналата седмица с мен се свърза киберексперт на име Benkow“, разказва Трой Хънт, регионален директор на Microsoft за Австралия и автор на блога troyhunt.com.

“Benkow ме предупреди за наличието на голям спам списък, който разследва от известно време“, припомня си Хънт.

Според Хънт определението „голям“ е относително в такива случаи: „Последният подобен списък, върху който работих беше с 393 милиона адреса, но този път наистина бях впечатлен, защото новият списък съдържаше 711 милиона имейла. За сравнение това е почти толкова колкото цялото население на континента Европа“

Benkow се натъкнал на базата данни като разследвал “машина“ (автономен алгоритъм) за събиране на имейл адреси, наречена Onliner Spambot. Замаскиран IP адрес с включена функция за списъчни директории съдържа текстови файлове със самите имейл адреси.

Хънт съобщава, че спам сървърът е с холандски IP адрес, и че доверен източник в Ниските земи вече е установил контакт с органите на реда.

Публично достъпните директории на сървъра са позволили на Benkow да придобие представа за мащаба и начина на извършване на престъплението. Списъците са с обща големина 40 GB и съдържат имейли и пароли в чист текст, имейли, набелязани за разпращане на спам и файлове за конфигурация на спам ботовете.

Изглежда, че част от списъка с имейли и пароли е резултат на фишинг кампания във Фейсбук (около 2 милиона). Освен това са компрометирани цели 379 хиляди имейла на австралийски държавни служители (gov.au) и над 20 милиона имейли и пароли с руски домейни (.ru).

Добрата новина е, че г-н Хънт поддържа специално създадения за такива случаи сайт Have I Been Pwnd (HIBP). Сайтът представлява търсачка за имейл адреси, компрометирани във всички най-големи информационни пробиви досега. Хънт уверява, че базата данни със 711-те милиона адреса вече е качен на HIBP и всеки може да провери дали е станал жертва.

Препоръчваме на всеки читател на тази статия да посети Have I Been Pwnd и да напише личния си и работен имейл, за да провери дали е компрометиран. Ако имейлът ви фигурира в списъка, незабавно сменете паролата.

Най-добрата защита срещу подобни атаки са силната парола и двуфакторната верификация. Уверете се, че разполагате и с двете.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.