Știrile săptămânii din cybersecurity (27.03.2019)

Foto: Unsplash

Malware instalat pe sisteme ASUS prin intermediul platformei de update automat

ASUS, una dintre cele mai mari companii producătoare de hardware, a instalat în mod involuntar o aplicație tip backdoor pe sistemele clienților săi, prin intermediul platformei de update automat Live Update, după ce unul dintre serverele care fac parte din acest serviciu a fost compromis.

Este estimat că update-urile care conțin backdoor-ul au fost transmise timp de aproximativ 5 luni și au fost infectate în jur de jumătate de milion de sisteme bazate pe sistemul de operare Windows.

Kaspersky Lab, cei care au detectat acest atac, estimează că din cele 500.000 de sisteme infectate, aproximativ 600 dintre acestea au fost țintite de c[tre atacatori, prin intermediul adresei unice MAC. După identificarea unui sistem pe baza acestei adrese, backdoor-ul se conecta la un server de comandă și control, de unde descărca altă aplicație malware.

În data de 26 Martie, ASUS a lansat versiunea 3.6.8 a aplicației Live Update, care elimină vulnerabilitățile datorate backdoor-ului instalat prin intermediul versiunilor anterioare.

Kaspersky a pus la dispoziție un instrument prin care poți verifica dacă ai fost țintă în acest caz: https://shadowhammer.kaspersky.com

Emsisoft lansează o aplicație de decriptare pentru ransomware-ul Hacked

O aplicație de decriptare pentru ransomware-ul Hacked a fost lansată pe 25 martie de către Emsisoft. Aceasta le permite utilizatorilor să decripteze fișierele blocate de acest ransomware, fără a fi nevoiți să plătească suma cerută de atacatori.

Ransomware-ul Hacked a fost identificat în 2017, acesta infectând numeroase sisteme. În timpul înstalării, ransomware-ul afișa un ecran fals pentru Windows Update, în timp ce cripta fișierele de pe sistem, atașând extensia .hacked.  

Aplicații preinstalate pe dispozitive Android infectate cu malware

Un studiu recent asupra aplicațiilor preinstalate pe dispozitive Android, realizat de către Universitatea Carlos al III-lea din Madrid, a identificat că o bună parte din aceste aplicații conțin malware sau au probleme din punct de vedere al securității informațiilor private a utilizatorilor.

În cadrul studiului au fost analizate 82,501 aplicații instalate pe 1,742 de dispozitive unice de la 214 provideri. De asemenea, au fost verificate permisiunile setate de către provideri pe aceste dispozitive, în anumite cazuri găsindu-se permisiuni setate diferit față de modelul propus de Google, ceea de poate produce vulnerabilități de expunere a datelor private.

În jumătate dintre aplicațiile verificate, au fost identificate familii cunoscute de malware Android, cum ar fi Triada, Rootnik, SnowFox, Xinyin, Ztorg și Iop, iar majoritatea aplicațiilor verificate au acces la informații cu caracter personal ale utilizatorului pe care le transmit unor servere third-party.

Mirai se pregătește pentru atacuri enterprise

Vechiul malware IoT nu renunță, ci evoluează. Mirai, malware-ul care a îngenunchiat internetul în octombrie 2016, a primit un nou update.Palo Alto Networks a descoperit o nouă variantă a acestui malware în luna ianuarie.

Un raport din luna martie dezvăluie faptul că noua versiune Mirai poate ataca o gamă largă de dispozitive IoT, inclusiv gama LG SuperSign TV și sistemul de prezentare wireless WiPG-100, ambele fiind create cu scopul de a fi utilizate in mediul de afaceri și spații publice.

Aceasta nu este prima dată când Mirai evoluează. O alta variantă, numită Satori, a făcut ravagii printre routereleHuaweii în 2017.  Principalul motiv pentru care Mirai primește constant actualizări este cauzat publicarea în online a codului sursă pentru acest botnet, în octombrie 2016.

Vulnerabilitate a aplicației UC Browser permite hackerilor să preia controlul telefoanelor cu Android

În aplicația de origine chineză, UC Browser, a fost descoperită o vulnerabilitate ce permite hackerilor să descarce și să ruleze instrucțiuni pe dispozitivul tău Android.

Conform unui nou raport publicat pe drweb.com, încă din 2016 aplicația UC Browser are o funcționalitate “ascunsă” ce permite companiei creatoare să descarce noi librarii și module de pe serverele proprii și să le instaleze pe dispozitivele mobile ale utilizatorilor.

Îngrijorător este faptul că aplicația descarcă noile plugin-uri prin protocolul nesecurizat HTTP, în loc de protocolul securizat HTTPS, ceea ce permite hackerilor să inițieze atacuri de tipul man-in-the-middle (MiTM) și să instaleze module malițioase.