Știrile săptămânii din cybersecurity (07.05.2020)
Gigantul de telefonie mobilă Xiaomi, acuzat că își spionează utilizatorii
Gabi Cîrlig, cercetător în securitate cibernetică și colaborator CERT-RO prin intermediul programului de voluntariat, a descoperit recent faptul că o mare parte a activității sale pe un smartphone Xiaomi (Redmi Note 8) era urmărită, în timp ce se extrăgeau diferite tipuri de date despre dispozitiv.
Mai mult, atunci când a folosit browser-ul de internet implicit al smartphone-ului, a observat că acesta înregistra toate site-urile pe care le vizita, inclusiv interogări de pe motoare de căutare precum Google sau DuckDuckGo, dar și alte informații, cu ajutorul unei funcții news feed al software-ului Xiaomi. Tracking-ul (urmărirea) se întâmpla inclusiv atunci când era folosită opțiunea de browsing privat 'incognito'.
Dispozitivul înregistra, de asemenea, ce foldere (directoare) a deschis și pe ce ecrane a efectuat acțiunea de swipe, inclusiv în cazul barei de status și paginii de setări. Toate datele au fost 'împachetate' și trimise către serverele remote (la distanță) din Singapore și Rusia, deși domeniile web pe care le găzduiau erau înregistrate în Beijing.
Hackerii fură date bancare cu ajutorul pictogramelor favicon
Într-una dintre cele mai complexe și inovative campanii de hacking detectate până în prezent, un grup de atacatori a creat un site care comercializa imagini de tip pictogramă, site care astfel deghiza codul malițios utilizat în procesul de colectare a datelor bancare.
Compania din domeniul securității cibernetice, Malwarebytes, a publicat un raport în care a specificat faptul că a detectat un astfel de grup, care își desfășoară operațiunile la un nivel de sofisticare cu totul nou. Malwarebytes spune că a descoperit acest grup în timp ce investiga o serie de atacuri ciudate, în care singurul lucru modificat pe site-urile atacate a fost favicon - imaginea logo-ului afișată în browser.
Noul favicon a fost un fișier ce reprezenta o imagine legitimă, găzduit pe MyIcons.net, fără să existe un cod malițios. Cu toate acestea, în timp ce schimbarea părea nevinovată, trucul, potrivit Malwarebytes, a fost acela că site-ul MyIcons.net a servit un fișier favicon legitim pentru toate paginile unui site, cu excepția paginilor care conțineau formulare de plată.
În aceste pagini, site-ul MyIcons.net ar schimba în secret secțiunea favicon cu un fișier JavaScript malițios, care a creat un formular de checkout fals și a furat informațiile bancare ale utilizatorilor.
900.000 de website-uri WordPress exploatate prin atacuri XSS
WordFence Threat Intelligence Team a descoperit atac care a exploatat cu succes aproape un milion de site-uri WordPress. Cercetătorii consideră că atacul a fost executat de un singur actor, întrucât, în toate cazurile identificate a fost utilizat același cod malițios JavaScript.
Exploatând o vulnerabilitate XSS, atacatorul obținea drepturi privilegiate la site-urile victimă și instala un backdoor JavaScript ce permitea furtul de date, infectarea cu malware și redirecționarea utilizatorilor legitimi către website-uri frauduloase.
Kaiji, nouă variantă de malware care vizează dispozitivele IoT
Kaiji este o nouă variantă de malware, specifică sistemului de operare Linux. Aceasta vizează infectarea dispozitivelor IoT, prin atacuri de tip bruteforce SSH, pentru extinderea unui botnet DDoS.
Secvența de cod malițios a fost descoperită de cercetătorul cunoscut sub acronimul MalwareMustDie și experții companiei Intezer Labs. Conform acestora din urmă, majoritatea actorilor care execută atacuri DDoS nu utilizează instrumente malițioase personalizate. Aceștia folosesc de regulă instrumente publice, pentru a-și extinde rețelele de boți.
Malware-ul, denumit după una din funcțiile sale, se răspândește exclusiv prin bruteforce SSH, exploatând o funționalitate specifică sistemului de operare Linux, implicit procesarea anumitor pachete de rețea doar cu utilizatori privilegiați.
Organizațiile din sectorul medical sunt ținta atacurilor cu Snake Ransomware
În ultimele zile, operatorii ransomware-ului Snake au lansat o serie de atacuri, care au dus la infectarea unui număr considerabil de organizații, printre care cel puțin una din domeniul sănătății.
Din luna ianuarie, când s-a descoperit că acest ransomware are drept țintă organizații din diferite medii de afaceri, până la data de 4 mai, numărul infecțiilor cu Snake a fost unul foarte redus. Cu toate acestea, în data de 4 mai a fost înregistrat un nivel de activitate extrem de ridicat.
Conform celor declarate mai jos de către reporterul Brian Krebs, una dintre victimele Snake Ransomware este Fresenius Group.
“Fresenius, cel mai mare operator de spitale private din Europa și un furnizor major de produse și servicii de dializă, a fost lovit de un atac cu ransomware asupra sistemelor sale. Compania a declarat că incidentul s-a limitat doar la o parte dintre operațiunile sale, iar îngrijirea pacienților continuă”.
