Știrile săptămânii din cybersecurity (12.06.2019)

2019/06/12
Popularitate 986

Foto: CERT-RO

Infractorii se folosesc de Google Calendar pentru convinge utilizatorii să-și divulge datele personale

Conform cercetătorilor Kaspersky, s-a descoperit că persoane rău-voitoare se folosesc de anumite funcționalități ale aplicației Calendar pentru a trimite invitații nedorite la diferite evenimente.

Victimele primesc o invitație la eveniment, aceasta este adăugată automat în calendar și trimite notificări utilizatorului. În invitație se găsește și un link către un site pe care se află un chestionar cu premii pe care aceștia le pot câștiga daca își introduc datele la final.

Versiune nouă a backdoor-ului ShellTea utilizată de grupul FIN8

Cercetătorii au identificat o nouă campanie împotriva industriei hoteliere, care utilizează pentru prima oară pe anul 2019 backdoorul ShellTea/PunchyBuggy. Ultima apariție documentată a acestui backdoor este în anul 2017. Se presupune că scopul acestui atac este de a descărca un malware destinat terminalelor POS.

Noua campanie care folosește ShellTea se inițiază prin intermediul unui script PowerShell activat prin intermediul regiștrilor, ceea ce conduce la încărcarea ShellTea în procesul Explorer. Acesta verifică dacă procesul rulează într-un sandbox, mediu virtual, sau dacă este monitorizat.

Comunicația cu serverul de comandă și control se face prin intermediul HTTPS, iar backdoor-ul răspunde la comenzile primite. Scriptul PowerShell colectează informații referitoare la user și la rețea pe care le stochează într-o arhivă temporară. După colectarea de către serverul C2 a informațiilor, arhiva este ștearsă.

Grupul FIN8 este cunoscut în mod special datorită atacurilor împotriva terminalelor POS, protecția față de aceste atacuri fiind dificilă deoarece majoritatea acestor rețele rulează versiunea pentru POS a Windows 7.

O nouă iterație a exploit-ului Rowhammer poate exfiltra date

Recent a fost publicată o nouă lucrare de cercetare care detaliază o nouă variație a atacului Rowhammer, denumită de către cercetători RAMBleed prin intermediul căruia se pot exfiltra date din memoria RAM.

Rowhammer este un exploit care se folosește de particularități de design a plăcilor de memorie  RAM, mai exact, de faptul că pe plăcile de memorie, circuitele integrate care reprezintă memoria propriu zisă sunt amplasate într-o structură de rânduri și coloane.

Din această cauză, atunci când se fac citiri în mod repetat de pe același rând, impulsurile electrice repetate conduc la generarea unei sarcini electrice care poate afecta datele stocate pe rândurile de memorie adiacente.

Prin intermediul noului exploit RAMBleed, cercetătorii au demostrat pe un sistem Linux de test, exfiltrarea unei chei RSA de pe un server OpenSSH.

Linux poate fi compromis prin simpla deschiderea a unor fișiere în Vim sau Neovim

Cercetătorul Armin Razmjou a descoperit recent o vulnerabilitate cu grad mare de risc ce poate executa comenzi arbitrare în editoarele text Vim și Neovim (CVE-2019-12735), printre cele mai populare editoare text bazate pe line de comandă ce vin preinstalate pe sistemele de operare Linux.

Pe sistemele de operare Linux, editorul Vim permite utilizatorilor să creeze, vizualizeze și editeze orice fișier, fie că e fișier text, script sau orice alt tip de document.

Dacă nu ați efectuat actualizări recente ale sistemelor de operare Linux, în special ale utilitarelor de editare text, nu recomandăm accesarea fișierelor despre care nu sunteți 100% siguri.

S-a publicat 'EU Cyber Security Act', unde ENISA are un mandat revizuit din partea UE

La finalul săptămânii trecute s-a publicat 'EU Cyber Security Act' (Regulamentul UE 2019/881 al Parlamentului European și al Consiliului privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică). Noul regulament va intra în vigoare începând cu data de 27 iunie, iar ENISA va fi cunoscută din acest punct înainte ca EU Agency for Cybersecurity și va obține un mandat permanent. 


Vizualizat de 918 ori