Știrile săptămânii din cybersecurity (30.04.2020)

Foto: cyberark.com

Troianul bancar care infectează soluțiile de Internet Banking, prin intermediul browser-ului

Recent, SRI a emis un avertisment legat de o campanie de atacuri cibernetice a unei grupări de atacatori care utilizează troianul bancar Qbot (QakBot, Plinkslipbot, QuakBot). În diferitele variante identificate, troianul vizează preponderent clienții organizațiilor din domeniul financiar-bancar din SUA, România, Canada și Grecia. Într-o măsură mai redusă, Qbot a vizat și clienți ai organizațiilor din domeniul tehnologic, comercial și al telecomunicațiilor.

În România, campania a vizat clienții unor platforme care utilizează servicii de internet banking prin browser (Chrome, FireFox, Microsoft Edge) și nu prin aplicații dedicate. Prin transmiterea unor e-mail-uri capcană (spear-phishing), Qbot este programat să sustragă credențiale de acces pentru platforme specifice companiilor financiar-bancare și serviciilor de e-mail și date financiare.

Acces live pentru răufăcători, în intimitatea casei, printr-o cameră de supraveghere populară

Specialiștii în securitate informatică de la Bitdefender au identificat recent o serie de vulnerabilități în camera de supraveghere Netatmo Smart Indoor Security Camera, un model popular, vândut la un preț convenabil, folosit pentru monitorizarea locuinței.Carențele găsite ar fi permis compromiterea totală a dispozitivului, deci invadarea neîngrădită a vieții private a victimei.

Serverul web care rulează pe camera de supraveghere ar fi putut fi compromis, pentru a obține drepturi de acces de la distanță. Pentru ca atacul să se deruleze cu succes, un răufăcător trebuia să cunoască o cale secretă de acces către cameră, sau să obțină acces la datele de autentificare ale utilizatorului și apoi să o controleze printr-o soluție de tip VPN.

Cercetătorii au descoperit o metodă nouă pentru de-anonimizarea utilizatorilor

Un grup de cercetători susțin că au descoperit o metodă inovatoare, care poate fi utilizată pentru realizarea procesului invers anonimizării, respectiv profilarea și urmărirea în mediul online a unui utilizator. Metoda se bazează pe analiza corelată a datelor de identificare corespunzătoare dispozitivului folosit și datele biometrice ale utilizatorului.

Detalii privind metodologia cercetării și rezultatele obținute de către academicieni se regăsesc în raportul de cercetare intitulat Nowhere to Hide: Cross-modal Identity Leakage between Biometrics and Devices.

Microsoft avertizează asupra campaniilor malware distribuite prin filme piratate

Serviciile de streaming dedicat filmelor piratate și site-urile care permit descărcarea acestora înregistrează un număr mare de utilizatori în această perioadă. Microsoft avertizează asupra faptului că atacatorii pot profita de acest trend, pentru a infecta victimele prin intermediul fișierelor de tip .torrent.

Aceștia au identificat script-uri VBScript malițioase în arhivele ZIP descărcate, scopul final fiind instalarea pe dispozitivul-victimă a unui software dedicat minării de criptomonedă. Mai mult, VBScript a fost identificat folosind titluri are unor filme populare la Hollywood precum „John Wick: Chapter 3 – Parabellum” sau “Contagion”, pentru a ascunde identitatea reală.

Vulnerabilitate Microsoft Teams: utilizarea GIF pentru preluarea contului

Pe fondul pandemiei COVID-19, din ce în ce mai multe afaceri se desfășoară din locații remote. Platformele pentru chat și videoconferințe, așa cum este și Microsoft Teams, au devenit elemente cheie pentru buna desfășurare a activităților de serviciu, dar totodată au atras și atenția infractorilor din spațiul cibernetic.

Recent, a fost publicată o vulnerabilitate a clientului Microsoft Teams, în variantele desktop și browser, prin care un atacator poate prelua controlul asupra contului din platformă, prin utilizarea unui fișier malițios de tip GIF. Vulnerabilitatea, raportată la sfârșitul lunii martie, a fost remediată de compania Microsoft printr-un patch lansat pe 20 aprilie.

Numărul atacurilor de tip brute-force asupra serviciului de acces la distanță a crescut considerabil

Atacatorii iau cu asalt resursele utilizate de corporații pentru facilita munca de acasă, pe durata pandemiei. Una dintre cele mai populare soluții folosite o reprezintă Remote Desktop Protocol (RDP), tehnologie care permite angajaților să acceseze stațiile sau serverele Windows de la distanță.

Odată cu această creștere numarului de conexiuni RDP a crescut și volumul conexiunilor configurate defectuos, iar atacatorii profită de situație și le iau cu asalt. Atacurile de tip brute-force asupra RDP sunt și ținta grupărilor care răspândesc campanii ransomware, prin intermediul serverelor asupra cărora pot prelua controlul. Două exemple relevante în acest sens sunt Dharma și DoppelPaymer.