Știrile săptămânii din cybersecurity (11.02.2021)

2021/02/11
Popularitate 1000

Foto: bgr.in

Versiune falsă a aplicației Whatsapp utilizată ca spyware

Compania italiană Cy4gate ar fi creat o versiune falsă a aplicației Whatsapp pentru iPhone, ce are rolul de a spiona victimele și de a obține date. Momentan se presupune că publicul afectat ar fi fost unul extrem de specific și printre datele furate sunt identificatorul unic al dispozitivului atribuit de Apple și codul IMEI.

Victimele sunt convinse prin tehnici de tip social engineering să descarce aplicația dintr-o sursă terță, ceea ce duce la instalarea fișierelor de configurare (Mobile Device Management profiles) pe dispozitiv pentru compromiterea acestuia.

Pentru evitarea unor eventuale situații neplăcute, este recomandată o atenție sporită atunci când descărcați aplicații din surse terțe, indiferent de sistemul de operare al dispozitivului utilizat. Verificați mereu reputația creatorului de aplicații, înainte de a lua orice decizie referitoare la instalare!

Noul botnet Matryosh utilizează framework-ul folosit în trecut de Mirai

Cercetătorii de la Netlab au identificat un nou botnet ce reutilizează structura botnet-ului Mirai, dezvoltat prin interfața ADB. Noul botnet a fost denumit „Matryosh” iar campania de malware aferentă urmărește co-optarea de dispozitive Android pentru desfășurarea de atacuri tip distributed denial of service (DDoS) prin intermediul tcpraw, icmpecho și udpplain.

După propagarea Matryosh prin intermediul Android Debug Bridge (ce utilizează portul 5555), principala sa funcție constă în descărcarea și rularea de script-uri de la un remote host (199.19.226.25). În plus, în urma comparării Matryosh cu Moobot, cel mai activ botnet, au fost identificate următoarele similarități: utilizarea unui model Tor C2, portul C2 (31337) și „attack process name” sunt aceleași, „C2 command format” este similar.

Măsuri de apărare împotriva Matryosh sunt scanarea rețelelor interne și externe, pentru a verifica dacă există dispozitive aflate în starea „listening” pe portul 5555 și dezactivarea funcției ADB din setările Android OS, însă multe device-uri nu dispun de această opțiune. Astfel, multe sisteme rămân vulnerabile, dar, conform cercetătorilor, Matryosh nu pare pregătit pentru realizarea de operații majore.

Vulnerabilități critice la nivelul MS Windows TCP/IP stack

Actualizarea de securitate lansată de Microsoft în februarie 2021 se adresează mai multor vulnerabilități ale TCP/IP stack, dintre care, două permit atacatorilor să obțină acces pentru „Remote Code Execution” (RCE) pe dispozitivele Windows vulnerabile. Pentru moment, exploatarea celor două vulnerabilități este complexă, implicând probabilitatea scăzută pentru efectuarea acestui lucru pe termen scurt.

Totuși, atacatorii pot face progrese în acest sens mai rapid decât sugerează estimările, ceea ce subliniază importanța aplicării actualizării din februarie 2021 pentru sistemele Windows.

Un nou atac tip phishing utilizează codul Morse

O campanie de phishing include o tehnică ce utilizează codul Morse pentru a ascunde URL-uri periculoase în atașamentele email-urilor. Atacul începe printr-un email ce pretinde că include o factură, subiectul fiind de forma „Revenue_payment_invoice February_Wednesday 02/03/21”.

Email-ul conține un atașament html, care, odată accesat, deschide un spreadsheet Excel ce îi solicită vicimei să se logheze la Office365, pentru a putea vedea documentul. După introducerea datelor de logare, acestea sunt trimise către un site remote, de unde atacatorii pot colecta informațiile.

Vizualizarea atașamentului într-un text editor va releva scriptul Java pentru conversia literelor și cifrelor în codul Morse. Scriptul conține o funcție pentru decodarea limbajului în string hexadecimal, la rândul său decodat în tag-uri JavaScript ce sunt injectate în pagina html.

Troianul Qrat – foloseşte o momeală ciudată

Cercetătorii de securitate cibernetică de la Trustwave au identificat o nouă campanie QRat care încearcă să atragă utilizatorii să descarce cea mai recentă versiune a malware-ului, campanie pe care aceştia o descriu ca fiind „semnificativ îmbunătățită“.

E-mailul iniţial de phishing al atacului pretinde că va oferi victimei un împrumut cu o „bună rentabilitate pe investiție“, mesaj care are un potenţial bun de a crea interesul printre victime. Cu toate acestea, atașamentul infectat nu este de loc legat de subiectul mesajului de phishing, în schimb pretinde să conțină un videoclip cu președinte Donald Trump .

Cercetătorii de la Trustwave sugerează că atacatorii au optat pentru acest tip de atașament bazat pe faptul că este în prezent de actualitate. Oricare ar fi motivul lor, încercarea de a deschide fișierul – o arhivă Java (JAR) – va duce la rularea unui program de instalare pentru malware – ului QRat.

 Material realizat de Ciprian Buzatu, voluntar CERT-RO