Banner angajari CERT-RO 2021

Știrile săptămânii din cybersecurity (25.02.2021)

2021/02/25
Popularitate -2953

Promovarea unei actualizări false a Adobe Flash Player prin Google Alerts

O notificare generată de Google Alerts transmite că Flash Player este neactualizat, fiind necesară instalarea unui updater. În urma accesării butonului „Update”, este descărcat un fișier setup.msi ce instalează programul „One Updater”. Chiar dacă programul menționat nu conține malware, software-uri similare au fost utilizate în trecut pentru instalarea de troieni și software dedicat minării de crypto-monede.

În situația în care sunteți redirecționat de Google Alerts către un website ce solicită instalarea unei extensii sau a unei actualizări, cea mai bună soluție constă în închiderea browser-ului. De obicei, aceste programe conduc la activități malițioase sau la un comportament nedorit al dispozitivului infectat.

Riscuri de securitate la nivelul aplicației Clubhouse

Cercetătorii de securitate cibernetică atrag atenția cu privire la aplicația de conversație audio Clubhouse poate fi utilizată de atacatori pentru a distribui aplicații malițioase pentru Android sau iOS, sau pentru a monetiza invitațiile de acces la platformă. Cercetătorii suțin că monetizarea nu ar reprezenta o problemă atât de importantă, însă aplicațiile false prezintă riscuri la nivelul confidențialității și securității datelor personale (ex. locație, accesul la mesaje, înregistrări audio și video etc.).

Deși reprezentanții Clubhouse au indicat că depun eforturi în sensul asigurării securității utilizatorilor, aplicația prezintă riscul înregistrării discuțiilor de către atacatori și folosirea lor pentru dezvoltarea de deep fake-uri complexe.

Hackerii au creat un virus care să atace procesoarele pe care Apple le-a instalat pe noua generație de Macbook

Malware-ul a fost descoperit de firma de securitate cibernetică Red Canary, care l-a denumit ”Silver Sparrow”. Red Canary transmite că acest malware “nu se manifestă într-un mod obișnuit, asemănător cu alți viruși de calculator care țintesc adesea sistemul de operare macOS al celor de la Apple”.

Scopul virusului misterios nu este cunoscut încă, dar, potrivit cercetătorilor, acesta include un mecanism de autodistrugere care pare să nu fi fost folosit. Totodată, nu este clar cum acest mecanism ar putea fi declanșat. Potrivit Ars Technica, virusul conține un cod care rulează nativ pe noul procesor M1 al Apple, lansat în noiembrie.

Conform datelor furnizate de Malwarebytes, noul virus a infectat 29.139 de laptopuri din 153 de țări, începând cu 17 februarie. Cele mai multe cazuri sunt în SUA, Marea Britanie, Canada, Franța și Germania.

Campanie de phishing împotriva clienților Fan Courier

Conform cercetătorilor de la Heimdal Security, mai multe companii din România au raportat primirea unor mail-uri false ce păreau a fi trimise din partea Fan Courier, solicitând efectuarea plăților pentru comenzi fictive. În cazurile analizate, email-urile au fost trimise de la adresele <office.feliciaiasi@officeshoes.ro> și <dabskozvil@cdcnet.hu>. Mesajele conțin în atașament facturi în formatul .pdf, însă acestea sunt de fapt executabile .exe sau .bat, cu rolul de a instala backdoor-uri.

În acest context, pentru evitarea situațiilor neplăcute sunt recomandate evitarea accesării email-urilor primite din surse necunoscute, efectuarea frecventă a backup-ului datelor, asigraurea funcționării soluțiilor de securitate și actualizarea acestora.

Vulnerabilități critice ale VMware ESXi și vSphere Client    

VMware a reparat două vulnerabilități specifice VMware ESXi și vSphere Client. Acestea sunt CVE-2021-21972, ce oferă atacatorilor posiblitatea de a trimite cereri create în sensul executării unor comenzi arbitrare pe server, și CVE-2021-21973, care permite utilizatorilor neautorizați să trimită cereri POST pentru a efectua atacuri suplimentare, fiind inclusă abilitatea de a scana rețeaua internă a unei companii. Până la lansarea actualizărilor necesare, VMware a furnizat aici pașii pentru ameliorarea problemelor.

Pe lângă acestea, VMware s-a adresat în luna februarie unor altor vulnerabilități importante - CVE-2021-21976 și CVE-2021-21974. Pentru eliminarea riscurilor de securitate este recomandată efectuarea actualizărilor disponibile și „eliminarea interfețelor vCenter Server din perimetrul organizației, dacă se află acolo, precum și alocarea unui VLAN separat pentru acestea cu o listă de acces limitată în rețeaua internă.”

APT-31 a clonat și utilizat un instrument al Equation Group

Cercetătorii de la Check Point au descoperit că grupul APT-31, având legături cu statul chinez, a copiat și utilizat un instrument de hacking, denumit „EpMe”, utilizat de Equation Group, entitate cu legături la nivelul operațiilor desfășurate de National Security Agency (NSA). Instrumentul era utilizat pentru exploatarea CVE-2017-0005, o vulnerabilitate ce implică escaladarea privilegiilor pentru Windows.

Versiunea instrumentului realizat de APT-31, denumită „Jian”, a fost detectată și raportată către Microsoft de Lockheed Martin, care a indicat întrebuințarea instrumentului pe o rețea americană, fără a confirma organizația afectată. Jian ar fi contribuit la atacuri cel puțin din anul 2015, până la repararea vulnerabilității în 2017.

Modul de navigare Brave al browserului Tor a expus activitatea utilizatorilor de pe dark web

ESET anunță că Brave, unul dintre cele mai apreciate browsere de confidențialitate, a remediat o eroare a unei caracteristici Tor (funcția sa Private Windows) care a scurs adresele URL de tip .onion pentru site-urile vizitate de utilizatorii browserului, potrivit unui raport al unui cercetător anonim. În modulul built-in al browserului - care duce navigarea privată la un nou nivel, permițând utilizatorilor să navigheze către site-urile web .onion de pe dark web fără a fi nevoie să instaleze Tor - a scurs solicitări ale sistemului de nume de domeniu (DNS) pentru site-uri web.

În timpul testării acestei probleme, cercetătorul a constatat că atunci când se face o cerere pentru un domeniu .onion în timp ce se utilizează o fereastra privată cu Tor, cererea se îndreaptă către serverul DNS și este etichetată cu adresa de Protocol Internet (IP) a solicitantului.

Potrivit unui tweet al Yan Zhu, Chief Information Security Officer la Brave, acesta luase la cunoștință această problemă, deoarece a fost raportată anterior pe HackerOne. De atunci, a a fost lansată o remediere rapidă pentru defectul legat de DNS, care a fost depistată de funcția de adblocking a browserului, ce a folosit o interogare DNS separată.

Google anunță cp pregătește un update intermediar pentru Android la vară

Android va primi în această primăvară un update intermediar, care va aduce mai multe funcţii noi şi îmbunătăţiri pentru componentele existente, transmite G4Media. Compania americană a decis să nu mai grupeze toate noutăţile pentru Android într-un singur update major, livrat anual, ci să le împartă în mai multe actualizări pe parcursul unui an. Un astfel de update va fi lansat în primăvara acestui an. Update-ul de primăvară include mai multe noutăţi, de la verificarea parolelor, la programarea trimiterii mesajelor şi alte funcţii care vizează aplicaţii precum Maps, Assistant şi Android Auto.

Password Checkup, funcţia de verificare a parolelor din Chrome, va fi implementată la nivelul sistemului de operare şi va monitoriza inclusiv parolele folosite pentru accesarea aplicaţiilor. Ca şi în cazul Chrome, parolele vor fi comparate cu o listă a site-urilor sparte, unde datele utilizatorilor au fost compromise. După această actualizare, utilizatorii vor putea programa mesajele trimise cu aplicaţia Messages. În urma unei apăsări prelungi a butonului Send, va fi afişat un meniu din care se poate alege data şi ora la care să se trimită mesajul compus.

Material realizat de Ciprian Buzatu, voluntar CERT-RO