Știrile săptămânii din cybersecurity (10.04.2019)

Foto: Unsplash

Spyware-ul ‘Exodus’ identificat pe dispozitive iOS

O variantă a spyware-ului Exodus identificată inițial pe dispozitivele Android, a fost descoperită și pe dispozitive iOS.

Spre deosebire de versiunea de Android, care era distribuit prin intermediul magazinului oficial de aplicații Google Play Store, versiunea de iOS era distribuită în afara App Store, prin intermediul unor site-uri de phishing care imitau site-uri apaținând unor operatori de telefonie din Italia și Turkmenistan.

Distribuția spyware-ului în afara magazinului App Store s-a realizat prin intermediul Apple Developer Enterprise, prin care unei organizații i se permite să instaleze aplicații pe telefoanele angajaților, fără a mai fi nevoie ca aceste aplicații să treacă prin filtrele de securitate Apple.

Deși, mai puțin complexă decât varianta de Android, versiunea de iOS poate exfiltra din dispozitivul infectat contacte, înregistrări audio, imagini, fișiere video, informații GPS, precum și informații despre dispozitiv. Informațiile sunt trasmise la centrul de comandă și control prin intermediul unor protocoale de comunicație asemănătoare cu cele utilizate de versiunea funcționând pe Android.

Cei de la Apple au dezactivat certificatul companiei care a lansat aplicațiile care conțin spyware-ul, astfel încât respectivele aplicații nu mai pot fi instalate și nu mai pot rula pe dispozitivele unde sunt deja instalate.

O nouă versiune de Mirai Botnet țintește noile procesoare și arhitecturi

Echipa Unit 42 a celor de la Palo Alto a descoperit noi mostre ale botnet-ului Mirai, compilate pentru a rula pe noile procesoare și arhitecturi, la sfârșitul lunii februarie.

Conform raportului întocmit de Unit 42, aceștia au descoperit mostre deja compilate capabile să ruleze pe procesoarele Altera Nios II, OpenRISC, Tensilica Xtensa și Xilinx MicroBlaze, fapt care permite atacatorilor să își lărgească aria de atac către dispozitive noi.

În plus, echipa de cercetare Unit 42 a mai declarat următoarele: “Dacă noile inovații ar duce la creșterea numărului de dispozitive infectate, asta înseamnă că atacatorii Mirai vor avea acces la și mai multă putere de calcul pentru efectuarea atacurilor de tip denial of service”.

În anul 2016 se estima că rețeaua de botnet Mirai avea câteva sute de mii de boți capabili să lanseze atacuri DDoS de peste 650 Gbps.

A apărut o nouă versiune a spyware-ului Flame

Cercetătorii au descoperit pentru prima data acest spyware în 2014, acesta rămânând probabil activ până în 2016.

Se consideră că acest spyware a fost creat de Israel, fiind prima platformă de spionaj modular descoperită pe internet. Acesta folosește o tehnică sofisticată pentru a se răspândi în calculatoarele victimelor.

Atacatorii au înșelat mai întâi Microsoft pentru le emite un certificat legitim. Acest lucru le-a permis să distribuie malware-ul prin deghizarea acestuia în patch-uri reale și actualizări de software, sub acest certificat Microsoft. În timpul procesului de infectare malware-ul a folosit un total de 80 de domenii de comandă și control pentru a comunica cu un server C2.

Cercetătorii de la Alphabet's Chronicle Security au descoperit recent o nouă versiune a spyware-ului – Flame 2.0. Operatorii din spatele malware-ului Spy Flame au modificat pur și simplu codul și au adăugat un algoritm puternic de criptare pentru a face mai dificilă detectarea.

Proiectul TajMahal, neidentificat timp de 5 ani

Proiectul TajMahal este un nou si sofisticat APT Framework ce a fost descoperit recent de către Karspersky Lab, în toamna anului 2018. Acesta este un framework pentru spionaj ce a fost folosit pe dispozitivele organizațiilor diplomatice din Asia Centrală și este constituit din două pachete "Tokio" si "Yokohama", ce împreună conțin peste 80 de module malițioase.

Acesta include backdoors, loaders , module de comunicare cu servere C2, recordere audio, keyloggers, capturi de ecran și camere web, programe de furat documente și chei de criptare, având chiar și propriul registru de fișiere pentru echipamentul victimei, conform spuselor cercetătorilor.

Variantă nouă GoBrut vizează sistemele Unix

Cercetătorii au descoperit că malware-ul exploatează site-uri bazate pe WordPress. GoBrut, cunoscut și sub numele de (StealthWorker malware), a fost descoperit vizând masinile cu sistem Unix.

Conform ultimelor cercetări conduse de firma de securitate Alert Logic, GoBrut a fost prins folosind fișiere malițioase de tip ELF (Executable and Linkable Format). Mai mult, cercetătorii au descoperit un server nou de comandă și control (C2), folosit de botnet pentru comunicații.