Știrile săptămânii din cybersecurity (29.08.2019)

2019/08/29
Popularitate 924

Foto: CERT-RO

Vulnerabilitate în QEMU permite atacatorilor să evadeze din mediul virtual

O vulnerabilitate în QEMU, un pachet popular de virtualizare hardware open-source, permite atacatorilor să evadeze din mediul virtual, exploatând sistemul de operare gazdă. Aceasta afectează furnizorii de servicii de găzduire în cloud care utilizează QEMU pentru virtualizare.

Marcată ca CVE-2019-14378, această vulnerabilitate este declanșată atunci când fragmentele pachetelor sunt reasamblate pentru procesare, permițând unui atacator să execute cod arbitrar la același nivel de privilegiu ca QEMU și să preia controlul sistemului de operare gazdă.

 

Trojan găsit în aplicația Android CamScanner

Cercetătorii de securitate Kaspersky, Igor Golovin și Anton Kivva, au descoperit un modul malițios de tip Trojan Dropper ascuns în aplicația Android CamScanner. Această aplicație, disponibilă în magazinului online Google Play, are peste 100 de milioane de descărcări.

Descoperirea a avut la bază o analiză mai amănunțită a componentelor aplicației CamScanner, în urma numeroaselor recenzii negative postate de utilizatori în ultimele luni.

 

RAT-ul Quasar distribuit printr-o nouă campanie de phishing

Utilitarul Quasar este o aplicație de tip RAT (Remote Access Trojan) lansată în anul 2014. Deși aplicația a fost dezvoltată pentru a fi utilizată în scopuri legitime, pentru management-ul la distanță al calculatoarelor, aceasta a fost rapid preluată și de hackeri.

Capabilitățile aplicației sunt:

  • Remote desktop
  • Manager de fișiere
  • Keylogger
  • Editor de regiștri
  • Înregistrare webcam
  • Download, upload și execuție de fișiere

Quasar RAT a fost identificat recent într-o campanie de phishing prin intermediul căreia sunt distribuite documente Office protejate cu parolă. După introducerea parolei și executarea codului macro atașat Quasar RAT este descărcat și executat pe PC-ul victimei.

 

Un nou botnet pe dispozitivele IOT bazate pe Android

Denumit Ares, noul botnet a fost identificat pe dispozitive tip set top box (receptoare pentru IP TV) bazate pe sistemul de operare Android provenind de la producătorii HiSilicon, Cubetek, and QezyMedia.

La fel ca majoritatea amenințărilor de pe sistemul de operare Android și aceasta se distribuie prin intermediul serviciului de configurare ADB (Android Debug Bridge) care nu este blocat înainte de a fi livrat de producător. Serviciul ADB este accesibil prin intermediul portului 5555.

Botnet-ul Ares este bazat pe un alt malware cunoscut pentru utilizarea pe acest tip de dispozitive, Mirai IOT. Fiind bazat pe Mirai, este de așteptat ca victimele botnet-ului Ares să poată fi utilizate în atacuri de tip DDoS.

 

Ultima versiune a Troianului TrickBot colectează informații utile pentru atacuri tip SIM swapping

Recent a fost identificată o nouă versiune a celui mai răspândit malware la ora actuală, troianul TrickBot.  Față de versiunile anterioare, aceasta poate colecta codul PIN asociat cartelei dispozitivului mobil aparținând victimei.

Colectarea acestor informații se face prin modificarea paginii de logare pe site-urile aparținând operatorilor. Astfel, pe aceste pagini sunt adăugate câmpuri de introducere a codului PIN, care în mod normal nu sunt prezente pe pagină.

Codul PIN împreună cu alte informații despre victimă poate fi utilizat în atacuri de tip SIM swapping prin care se face portarea numărului de telefon de pe cartela victimei pe cartela atacatorului, astfel fiind posibilă ocolirea sistemelor de autentificare în doi pași bazate pe SMS.


Vizualizat de 581 ori