Știrile săptămânii din cybersecurity (28.01.2021)

2021/01/28
Popularitate 1000

Foto: BBC

Invitații false de vaccinare împotriva Covid-19

Sistemul Național de Sănătate din Marea Britanie (NHS) atrage atenția cu privire la existența unor invitații false de vaccinare și îndeamnă populația să fie vigilentă în acest sens. Indivizii rău-intenționați utilizează un email fraudulos, conținând un link ce conduce utilizatorul spre un site unde trebuie să se înregistreze prin furnziarea unor date bancare și de identitate. NHS subliniază că vaccinarea este gratuită și că nu va solicita niciodată date financiare de la utilizatori.

Vaccinarea împotriva Covid-19 este GRATUITĂ și în România. Totuși, atacatorii ar putea pe viitor încerca să exploateze procesul de vaccinare prin inițiative similare, astfel că este recomandată vigilența în situațiile în care primiți un mesaj nesolicitat care cere introducerea unor astfel de date pentru programare, pe e-mail, SMS, sau alte modelități de comunicare.

Campanie malițioasă împotriva cercetătorilor de securitate cibernetică

Threat Analysis Group a identificat o campanie aflată în desfășurare, ce vizează cercetători din domeniul cybersecurity. Campania este atribuită unei entități sprijinite de guvernul nord-coreean.

Pentru creșterea credibilității și conectarea cu cercetătorii de securitate, entitatea a creat un blog (https://blog.br0vvnn.io) și multiple conturi de Twitter, prin intermediul cărora postează diverse link-uri, analize ale unor vulnerabilități sau videoclipuri în care este falsificată funcționarea unor exploit-uri. Pe lângă Twitter, atacatorii utilizează și alte platforme de comunicare: LinkedIn, Telegram, Discord, Keybase sau email.

În plus față de link-urile periculoase postate, ingineria socială este o altă tehnică utilizată de entitate, potențialele victime fiind invitate să colaboreze la cercetarea unei vulnerabilități. Atacatorii furnizează un Visual Studio Project, ce conține codul sursă pentru exploatarea vulnerabilității și un fișier .dll care, odată executat prin intermediul Visual Studio Build Events, stabilește comunicarea cu domenii C2 ale actorilor.

Europol, alături de parteneri UE sau internaționali, au colaborat la destructurarea EMOTET

EMOTET este un malware-ul de tip bancar, care infectează computerele care folosesc sistemul de operare Microsoft Windows, prin intermediul link-urilor sau a atașamentelor malspam infectate (e.g. PDF, DOC, etc.). EMOTET este un troian cunoscut, descoperit în urmă cu aproximativ 6 ani, mai întâi în Europa și mai apoi în SUA.

Agențiile internaționale de aplicare a legii au declarat miercuri că au demontat sistemul de piraterie folosit pentru a fura miliarde de dolari de la organizații și cetățeni privați din întreaga lume. Anchetatorii au preluat controlul asupra infrastructurii sale într-o acțiune internațională coordonată de Europol și Eurojust, cu ajutorul autorităților din Țările de Jos, Germania, Statele Unite, Regatul Unit, Franța, Lituania, Canada și Ucraina.

Vulnerabilități „zero-day” pentru iOS

Pe 26.01.2021, Apple a lansat actualizări pentru iOS, iPadOS și tvOS cu rolul de a repara 3 vulnerabilități de securitate care ar fi fost exploatate activ. CVE-2021-1782, CVE-2021-1870 și CVE-2021-1871 ar permite atacatorilor escaldarea privilegiilor și executarea de cod de la distanță.

Apple nu a indicat nivelul de răspândire al atacului sau identitatea atacatorilor. Se presupune că cele trei vulnerabilități ar fi exploatate conjugat pentru desfășurarea unor atacuri de tip „watering-hole”

Malware pentru Android ce se propagă prin mesajele din WhatsApp

Un nou malware pentru Android este utilizat pentru desfășurarea unei campanii adware. Malware-ul se propagă prin intermediul unui link pentru un website ce seamănă cu Google Play Store, de unde victimele pot descărca o aplicație falsă Huawei Mobile.

După instalare, aplicația solicită accesul la notificări, abuzat ulterior pentru a răspunde automat mesajelor WhatsApp direct din notificări. În plus, aplicația solicită accesul de a rula în fundal și de a rula peste alte aplicații cu propria fereastră, ce poate fi folosită pentru furtul de informații sensibile sau personale.

Momentan, malware-ul este capabil de a răspunde doar contactelor din WhatsApp, însă în viitor ar putea afecta și alte aplicații ce dețin funcția pentru „quick reply”. De asemenea, există posibilitatea modificării de către atacatori a conținutului mesajului pentru a distribui alte pagini web sau aplicații periculoase.

Abuzarea serviciului de mesagerie vocală pentru a eluda sistemul de autentificare în doi pași

Echipa CERT-RO vă supune atenției o metodă inovativă de atac care se folosește de căsuțele de mesagerie vocală ale utilizatorilor de dispozitive mobile. Atacatorul apelează serviciul de mesagerie vocală și se autentifică cu ajutorul unui cod PIN. Modul în care atacatorul reușește să obțină acel PIN este încă neclar, dar se presupune că metoda folosită în acest caz este brute force. 

Atacatorul vizează numere de telefon cu un statut special, unele de obicei extrem de ușor de reținut, de ex. Xx000000 sau xx333333. Acest tip de atac asupra mesageriei vocale a fost urmat de unul care viza contul de WhatsApp al clientului. Mai precis, atacatorul încearcă să obțină acces pe contul de WhatsApp al clientului, prin reconfigurarea WhatsApp cu numărul de telefon al victimei. 

Gruparea Nefilim a atacat Whirlpool cu ransomware și a publicat o parte dintre datele furate

Whirlpool a raportat faptul că a identificat un ransomware în sistemele sale, menționând că nu au fost furate date ale clienților și că nu au fost întâmpinate dificultăți operaționale. Însă gruparea ransomware care a lansat atacul susține o altă variantă a poveștii și amenință că va publica informații confidențiale.

Compania Whirlpool a declarat că a fost victima unui atac ransomware după ce gruparea Nefilim a publicat câteva fișiere pe care susține că le-a obținut în urma atacului. Breșa de securitate a datelor s-a produs în prima săptămână a lunii decembrie, dar, conform corespondenței publicate, atacatorii au publicat informațiile din cauza neînțelegerilor cu compania.

Abuzarea serverelor Windows RDP pentru amplificarea atacurilor DDoS

Remote Desktop Protocol (RDP) este un serviciul built-in al Microsoft Windows ce poate fi configurat să ruleze pe TCP/3389 sau UDP/3389. În situația configurării RDP pe portul UDP/3389, serviciul poate fi abuzat pentru lansarea unor „reflection/amplification attacks” cu o rată de amplificare de 85:9:1. Atacatorii pot trimite pachete UDP special create către porturile UDP ale serverelor RDP pentru realizarea unor atacuri cu un volum de trafic situat între 20 Gbps și 750 Gbps.

Pentru a preveni astfel de atacuri, soluții sunt dezactivarea RDP via UDP/3389 sau lansarea serverelor RDP în spatele unor servicii VPN.

Intel anunță că niște atacatori ar fi obținut acces la datele sale financiare trimestriale

Intel Corp a precizat că investighează datele conform cărora un infografic din declarația sa trimestrială de profit a făcut obiectul accesului neautorizat, înainte de publicare. În contextul acestei anchete, Intel a decis să publice mai devreme decât era estimat inițial datele financiare. Astfel, anunțul oficial a venit cu șase minute înainte de închiderea pieței, iar acțiunile Intel au crescut cu peste 6% joi.

Material realizat de Ciprian Buzatu, voluntar CERT-RO