#Niebezpiecznik - Masz QNAP-a? Lepiej go szybko sprawdź.

Data: 27.07.2020 21:23

Autor: ziemianin

niebezpiecznik.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #ataki #malware #NAS #QNAP #QSnatch #trojan #niebezpiecznik

QSnatch to trojan, który atakuje NAS-y QNAP-a. Właśnie ostrzegli przed nim Amerykanie i Brytyjczycy, którzy zaobserwowali spory wzrost infekcji.

#Niebezpiecznik – Masz QNAP-a? Lepiej go szybko sprawdź.

Historia QSnatcha sięga 2014 roku, ale to przez ostatnie 12 miesięcy liczba zainfekowanych nim urządzeń wzrosła z 7000 do aż 62 000 (na koniec czerwca, co oznacza, że teraz jest ich pewnie jeszcze więcej).

QSnatch wykrada hasła przez podstawiona fałszywą stronę logowania, zostawia backdoora na SSH i zgrywa z urządzenia pliki, w tym konfiguracyjne. Atakujący mają też bezpośredni zdalny dostęp do urządzenia przez podrzucanego webshella.

Tajemnicą pozostaje jak QSnatch dostaje się na urządzenia. Badania Amerykanów i Brytyjczyków nie są tu jednoznaczne. Punktem wejścia może być wykorzystywanie domyślnych haseł jak i dziur w poprzednich wersjach firmware’u.

Jeśli macie QNAP-a odwiedźcie stronę producenta informującą jak wykryć i pozbyć się tego szkodnika

#niebezpiecznik Uwaga na SMS-y z prezentami od Allegro

Data: 02.07.2020 11:49

Autor: ziemianin

niebezpiecznik.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #Adroid #Allegro #GooglePlay #malware #smartfony

#niebezpiecznik Uwaga na SMS-y z prezentami od Allegro

Przestępcy właśnie zaczęli wysyłać do Polaków SMS-y podszywając się pod Allegro. Oto treść wiadomości

Prezent od Allegro 30 zl na zakupy oraz darmowa dostawa. Pobierz nowa wersje naszej aplikacji mobilnej https://playsklep24[.]com/allegro i wpisz swoj kod: KSR39S1

Kliknięcie przekierowuje ofiarę na stronę udającą oficjalny sklep Google Play z aplikacjami na Androida.

Jeśli ofiara nie zorientuje się, że jest na fałszywej stronie i pobierze aplikację aby “otrzymać prezent”, zainfekuje sobie telefon złośliwym oprogramowaniem, które przestępcy wykorzystują do wykradania pieniędzy z rachunków bankowych.

Co robić, jak żyć?

Ostrzeżcie wiec mniej technicznych znajomych i tak skonfigurujcie im telefony z Androidami, żeby instalacja aplikacji spoza oficjalnego sklepu nie była możliwa. Zwróćcie im też uwagę, że sama blokada instalacji spoza Google Play to dopiero początek zabezpieczania smartfona z Androidem. Kroków które trzeba wykonać jest więcej…

Ransomware RobbinHood wykorzystuje do ataku lukę w sterowniku Gigabyte

Data: 10.02.2020 16:05

Autor: ziemianin

borncity.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #Gigabyte #RobbinHood #malware #ransomware #exploit #sterownik #hakerzy #cyberbezpieczenstwo

Ransomware o nazwie RobbinHood wykorzystywał lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli.

Ransomware RobbinHood wykorzystuje do ataku lukę w sterowniku Gigabyte

Zdaniem firmy Sophon, która zajmuje się cyberbezpieczeństwem, ransomware o nazwie RobbinHood wykorzystuje lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli. Proceder działać ma na systemach Windows 7 lub nowszych i pomimo faktu, że tajwański producent w przeszłości zaprzeczał twierdzeniom o podatności swojego sterownika na ataki, to jednak zdaniem Sophos grupa hakerów wykorzystuje tego exploita. Gigabyte niewątpliwie ponosi przynajmniej częściową odpowiedzialność za pierwotne zbywanie doniesień o luce w 2018 roku, kiedy to specjaliści ds. bezpieczeństwa informowali o zagrożeniu. Koniec końców, presja opinii publicznej sprawiła, że producent potwierdził istnienie luki, ale zamiast ją załatać w starszych płytach głównych, firma zdecydowała się zakończyć wsparcie dla tego sterownika. Teraz użytkownicy zaś płacą tego cenę, gdyż Gigabyte umożliwił hakerom wykorzystanie tego drivera do przeprowadzenia ataków.

Zdaniem Sophos, odpowiedzialna jest także firma Verisign, która zajmuje się przyznawaniem certyfikatów bezpieczeństwa. Dwa lata po tym jak Gigabyte zaprzestał wsparcia dla felernego sterownika, wciąż oznaczony jest on w systemach Windows i wielu programach antywirusowych jako „zaufany”, a to właśnie za sprawą certyfikatu Verisign. Atakujący mogą więc skorzystać z drivera do modyfikacji kernela Windows i wyłączenia programów antywirusowych oraz innych zabezpieczeń przed złośliwym oprogramowaniem, przejmując tym samym kontrolę nad naszą maszyną. Sophos podkreśla także unikalny charakter programu ransomware wykorzystywanego w tym przypadku. Firma twierdzi, że dotychczas nie spotkała się z tego typu oprogramowaniem wykorzystującym zaufany sterownik do przeprowadzenia ataku, mającego na celu uśmiercenie antywirusów.

Większość aplikacji bezpieczeństwa posiada swoistą listę "zaufanych programów” dopuszczanych domyślnie przy wszystkich instalacjach. Jest to kompromis, dzięki któremu unikają one zbyt dużej liczby programów blokowanych przypadkiem przez użytkowników. Niemniej jednak, twórcy złośliwego użytkowania coraz częściej wykorzystują te listy do swoich celów. Jeśli zaś uda im się przekonać antywirusa, że ich malware jest jednym z programów z listy, mogą później praktycznie dowolnie wykorzystać nasz sprzęt. Jak zaś pokazuje przypadek RobbinHood, nawet jeśli nasz OS jest w pełni zaktualizowany i załatany, hakerzy wciąż mogą znaleźć luki na naszym komputerze, które następnie wykorzystują do swoich celów. Tym samym, Sophos podkreśla jak istotne jest poleganie nie tylko na jednym programie antywirusowym czy przestrzeganie pewnych praktyk, takich jak korzystanie domyślnie z konta z ograniczonym dostępem, robienie regularnych kopii bezpieczeństwa czy ustawianie dwustopniowej weryfikacji.

O ransomware w polskich gminach, czyli historie z happy endem i bez

Data: 27.01.2020 17:48

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #malware #ransomware #zlosliweoprogramowanie #cyberbezpieczenstwo #komputery

Co szyfruje komputery w polskich gminach i firmach? Dlaczego z reguły danych nie można odzyskać, czasem jednak można i dlaczego jest to takie trudne? Na te pytania odpowie dzisiaj przedstawiciel zespołu CERT Polska.

O ransomware w polskich gminach, czyli historie z happy endem i bez

Ransomware nie trzeba większości Czytelników przedstawiać. Oprogramowanie to szyfruje dane i wymusza okup – opłatę za odszyfrowanie. Z roku na rok coraz więcej osób zdaje sobie sprawę z zagrożenia i z konieczności obrony. Mimo tego sytuacja się nie poprawia. Coraz więcej osób pada ofiarą ataku. Sytuacja jest szczególnie dramatyczna w małych firmach lub organizacjach, które nie mają środków na zapewnienie bezpieczeństwa IT na odpowiednim poziomie.

Jako CERT Polska często się z tym spotykamy – np. w przypadku gmin, szpitali, szkół itp. W miarę możliwości staramy się takim organizacjom pomagać, ale zazwyczaj jedyne, co można zrobić, to przywrócenie backupu. Gorzej, jeśli go nie ma… albo został zaszyfrowany razem z danymi. W tym artykule skupimy się na tym, dlaczego danych nie można odzyskać, czemu czasami się da oraz w jaki sposób przygotować się na atak ransomware.

Założenia działania ransomware

Przede wszystkim należy podkreślić jedną rzecz: poprawne użycie kryptografii gwarantuje, że zaszyfrowane dane nie będą mogły zostać odszyfrowane bez klucza deszyfrującego, znajdującego się w posiadaniu przestępców. Stosowane algorytmy są w tym momencie w 100% bezpieczne i bez względu na przypadek użycia (czy to bezpieczne połączenia z serwerem, czy szyfrowanie dysków ofiar) są odporne na wszelkie próby złamania.

Zazwyczaj nawet posiadając wszelkie materiały w postaci oryginalnej próbki złośliwego oprogramowania, wykonanej analizy powłamaniowej oraz z błogosławieństwem Shamira nie będziemy w stanie odzyskać zaszyfrowanych plików.

Detale techniczne

Ransomware regularnie chwali się, że używa różnych “wojskowych” (military grade) algorytmów szyfrowania – najczęściej są to AES i RSA. Można się zastanawiać, czemu jeden nie wystarczy?

Odpowiedzią jest natura ich działania. AES (Advanced Encryption Standard) jest przykładem algorytmu szyfrującego symetrycznie. W skrócie, oznacza to, że szyfrowanie i deszyfrowanie danych odbywa się za pomocą tego samego klucza. Jeśli więc przestępca chce szyfrować pliki tylko za pomocą AES, to musi wysłać wygenerowane klucze na swój serwer, aby móc potem żądać za nie okupu. To problematyczne dla przestępcy, bo musi utrzymywać infrastrukturę, za którą trzeba płacić i która może być w każdym momencie zdjęta albo przejęta. Dodatkowo infekcja nie uda się w przypadku problemów sieciowych.

Z pomocą przychodzi RSA. W przeciwieństwie do AES jest to szyfr asymetryczny. Do szyfrowania i deszyfrowania wykorzystywane są dwa matematycznie powiązane klucze – publiczny i prywatny. Jak sama nazwa wskazuje, jeden z nich jest publicznie znany, a drugi zna tylko właściciel. Dzięki matematycznym czarom właściwościom za pomocą klucza publicznego możemy dowolnie szyfrować dane, ale deszyfrować możemy je tylko za pomocą klucza prywatnego

Tak naprawdę w przypadku RSA to, który klucz nazywamy publicznym, a który prywatnym, to trochę kwestia umowna. Można też np. szyfrować dane kluczem prywatnym, a deszyfrować kluczem publicznym. Ma to nawet zastosowania praktyczne, np. w przypadku podpisów kryptograficznych.

Dlaczego w takim razie używać dwóch algorytmów zamiast samego RSA? Odpowiedź jest prosta – kryptografia asymetryczna jest bardzo kosztowna obliczeniowo. Zaszyfrowanie całego dysku tym algorytmem zajęłoby dziesiątki godzin. Popularnym sposobem jest zatem szyfrowanie właściwych danych za pomocą AES z wygenerowanym losowo kluczem, a następnie zaszyfrowanie tego klucza za pomocą publicznego klucza RSA. Działa tak większość programów szyfrujących większe ilości danych, w tym na przykład GPG.

Case study 1: Szczęście sprzyja lepszym szczęśliwym

Z drugiej strony, poprawne użycie algorytmów kryptograficznych przez programistę nie jest takie proste, jak się wydaje. AES i RSA to tylko niskopoziomowe bloki, które trzeba umieć odpowiednio połączyć, aby stworzyć kompletny program. Na szczęście (dla nas) twórcy ransomware to też ludzie i zdarza im się pomylić. Dzięki temu czasami udaje się stworzyć narzędzie deszyfrujące pliki bez płacenia (tzw. dekryptor). Pokaźną kolekcją takich dekryptorów zarządza organizacja NoMoreRansom.

Kilka tygodni temu trafił nam się właśnie taki przypadek. Otrzymaliśmy z gminy Kościerzyna próbkę złośliwego oprogramowania i komplet zaszyfrowanych plików. W toku analizy okazało się, że ta próbka należy do mało znanej odmiany ransomware (rodzina Mapo). Był to pierwszy dobry znak – im starsza i bardziej popularna rodzina, tym większa szansa, że patrzyła na nią wcześniej już rzesza analityków i nasza kolejna analiza nic nie da. I odwrotnie – nowe i mało znane rodziny są wdzięcznym tematem do analizy i dają nadzieję na odzyskanie plików.

Tak też było w tym przypadku – udało się napisać dekryptor i odszyfrować gminę (a także parę innych prywatnych podmiotów, które się do nas zgłosiły – to niekoniecznie standard na świecie, ponieważ CERT-y poziomu krajowego często nie przyjmują zgłoszeń od prywatnych podmiotów). Trzeba jednak zaznaczyć, że to wyjątek, a nie reguła i zazwyczaj nie można liczyć na to, że komuś uda się napisać dekryptor.

Case study 2: Kiedy wyszło jak zwykle

Trochę inna sytuacja miała miejsce parę tygodni później (tym razem nie możemy niestety podać nazwy gminy). Był to ciekawy przypadek. Rodzina złośliwego oprogramowania, która zaszyfrowała zasoby, była już badaczom dobrze znana. Konkretna próbka użyta w ataku miała jednak dosyć dziwny sposób generowania klucza. Zamiast skorzystać z losowych danych dostarczanych przez system, autor postanowił opracować własny sposób generowania losowych kluczy do szyfrowania plików. Generowanie klucza zależało od stanu kilku różnych zegarów systemowych. Z pomocą dobrze przeprowadzonej analizy powłamaniowej istniałaby możliwość odzyskania kluczy do szyfrowania plików… Niestety podczas obsługi incydentu po stronie gminy wykonano kilka pochopnych działań. Najgorszym z nich było zrestartowanie komputera, przez co:

stracony został dokładny stan zegarów systemowych (które mogłyby pomóc w odzyskaniu klucza),

klucze szyfrujące, które ciągle mogły być w pamięci procesu, zostały wymazane,

ransomware zadbało o ponowne uruchomienie się przy restarcie systemu i zaczęło szyfrować kolejne pliki za pomocą nowo wygenerowanych kluczy.

Co zrobić lepiej

Oczywiście, jak w przypadku większości zagrożeń, najlepszą metodą jest atak profilaktyka. O wiele lepiej jest w ogóle nie doprowadzić do zaszyfrowania naszych dysków, niż liczyć na szczęście i szukać dziur w algorytmie szyfrowania.

Jak ustrzec się przed ransomware:

Stale edukuj swoich użytkowników. Nawet najlepsze techniczne zabezpieczenia nie pomogą, jeśli Twoi użytkownicy nie będą przestrzegać podstawowych zasad bezpieczeństwa.

Wykonuj regularnie kopię zapasową istotnych danych. Zadbaj o to, by co najmniej jedna kopia zapasowa była przechowywana na odizolowanym systemie, niedostępnym z maszyn, których kopie przechowuje.

Zadbaj o odpowiednią architekturę sieci. Wyodrębnij odpowiednie segmenty, zwróć szczególną uwagę na to, jakie usługi dostępne są pomiędzy poszczególnymi maszynami oraz z internetu.

Na bieżąco aktualizuj system operacyjny oraz oprogramowanie.

Używaj aktualnego oprogramowania antywirusowego na serwerze poczty oraz stacjach roboczych.

Ratunku, zaszyfrowałem się

Zdarza się nawet najlepszym. Co zrobić, żeby zwiększyć szanse na odzyskanie danych?

W przypadku ataku ransomware:

Jak najszybciej odizoluj zarażone maszyny od reszty sieci – odłącz je od wszelkich połączeń sieciowych (przewodowych i bezprzewodowych) oraz urządzeń do przechowywania plików (dyski przenośne i podobne).

W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja.

Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware bardzo często dopisuje się do autostartu).

Odwiedź stronę nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj ransom note albo zaszyfrowany plik.

Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej.

Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z https://incydent.cert.pl. W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia.

Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu.

Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Nie ma co robić sobie za dużych nadziei, w >95% przypadków ofierze nie da się pomóc. UWAGA: Większość „firm od odzyskiwania danych” to oszustwo. Danych zazwyczaj nie da się odzyskać bez płacenia, więc takie firmy działają tylko jako pośrednicy między przestępcami a ofiarami (negocjują zniżkę, a później biorą swoją prowizję). Nie warto się na to nabierać – jak już dawać się okraść, to tylko raz na infekcję ;)

Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania).

#ZaufanaTrzeciaStrona - Analiza złośliwego kodu dla amatorów na świeżym przykładzie

Data: 16.01.2020 06:19

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #komputery #cyberbezpieczenstwo #zlosliwykod #malware #trojan #ZaufanaTrzeciaStrona #informatyka

Chcecie zobaczyć, jak radzimy sobie z analizą ataków, dysponując jedynie przeglądarką i kwadransem wolnego czasu? Pokażemy to na ciekawym przykładzie ataku z dzisiejszego poranka. Doświadczenie w analizie nie jest wymagane ;)

#ZaufanaTrzeciaStrona – Analiza złośliwego kodu dla amatorów na świeżym przykładzie

Czasem widzimy różne ataki i zastanawiamy się, czy są ciekawe (czyli warte opisania), czy też niekoniecznie. Wstępna analiza przebiegu ataku pozwala podjąć szybką decyzję, czy zawracać głowę prawdziwym analitykom malware’u. Oczywiście przedstawiona poniżej metoda obarczona jest sporymi błędami, ale to prawdopodobnie najlepsze, na co stać amatora z przeglądarką jako głównym narzędziem pracy.

Niepozorny e-mail

W nasze ręce trafił wczoraj rano e-mail, który na pierwszy rzut oka wyglądał dość niepozornie. Mieliśmy 3 identyczne kopie i przekonanie, że coś chyba jest nie tak.

Nagłówki wiadomości przekonały nas, że coś jest na rzeczy.

Do: undisclosed-recipients:;

Authentication-Results: server.linux80.papaki.gr; spf=pass (sender IP is ::1) smtp.mailfrom=sekretariat@ppuport.pl smtp.helo=webmail.apricotandsea.com

X-Sender: sekretariat@ppuport.pl

X-Ppp-Message-Id: 20200113082135.31371.26021@server.linux80.papaki.gr

Return-Path: sekretariat@ppuport.pl

X-Ppp-Vhost: apricotandsea.com

Received: from server.linux80.papaki.gr (server.linux80.papaki.gr [138.201.37.101]) by XXX (Postfix) with ESMTPS id 47x64d3QS0z1w7K for XXX@XXX.pl; Mon, 13 Jan 2020 09:21:37 +0100 (CET)

Received: from webmail.apricotandsea.com (localhost.localdomain [IPv6:::1]) by server.linux80.papaki.gr (Postfix) with ESMTPSA id 13E2A1A49E10; Mon, 13 Jan 2020 10:21:34 +0200 (EET)

f6283fe0d66176eac98a83372ac6d088@ppuport.pl

Received-Spf: pass (server.linux80.papaki.gr: connection is authenticated)

Wynika z nich, że choć adres rzekomego nadawcy jest w domenie PL, to serwery pośredniczące w wysyłce były w domenach COM i GR. Po co polska firma miałaby wysyłać wiadomości z greckiego serwera? Badamy dalej.

Cóż to za potwór w załączniku

Plik załącznika to prawdopodobnie kluczowy element pułapki. Nie będziemy go otwierać lokalnie, tylko od razu przekażemy ekspertom online. Wchodzimy zatem na stronę

https://app.any.run/

Wgrywamy plik na serwer i czekamy, co się stanie. A dzieje się całkiem sporo. Pod adresem

https://app.any.run/tasks/2ed4abe1-4021-4fe6-bea6-11f227e792b8/

możecie znaleźć wynik analizy. Ten serwis pozwala nawet obserwować, co dzieje się na ekranie komputera w trakcie uruchamiania załącznika. Widzimy zatem, że uruchomiony zostaje Word (w końcu to plik .DOC). W bocznym pasku po chwili widzimy przebieg wydarzeń.


pozostała treść na stronie źródła

Jak wygląda od środka rządowy trojan PEGASUS z którego korzysta CBA?

Data: 17.12.2019 11:37

Autor: ziemianin

niebezpiecznik.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #Android #BlackBerry #CBA #inwigilacja #iOS #malware #mobile #Pegasus #podcast #Symbian

W sieci pojawiła się instrukcja obsługi Pegasusa, czyli “rządowego trojana” do wynajęcia, który został stworzony przez izraelską firmę NSO Group i z którego korzystają funkcjonariusze CBA. Jeśli wierzyć metadanym, dokument pochodzi z sierpnia 2016 roku. Choć ma 3 lata, to rozwiewa kilka mitów na temat tego rozwiązania powtarzanych ostatnio w różnych mediach.

Jak wygląda od środka rządowy trojan PEGASUS z którego korzysta CBA?

pozostała treść na stronie źródła

Złośliwy kod na stronach internetowych potrafi zawieszać Firefoxa

Data: 06.11.2019 22:29

Autor: ziemianin

purepc.pl

#codziennaprasowka #informacje #wiadomosci #cyberataki #cyberbezpieczenstwo #firefox #malware #mozilla

Złośliwy kod oparty na JavaScripcie służy do zamrażania przeglądarki Firefox. Mozilla nie wystosowała jeszcze łatki eliminującej lukę bezpieczeństwa. Prawdopodobnie otrzymamy ją w wersji 71 lub 72.

Złośliwy kod na stronach internetowych potrafi zawieszać Firefoxa

Jednym z najskuteczniejszych metod ataku użytkowników komputerów są socjotechniki. Osoby dokonujące cyber-ataków skrupulatnie kalkulują swoje działania, licząc na błąd lub naiwność użytkownika. Jak podkreślił niegdyś Kevin Mitnick: "czynnik ludzki jest najsłabszym ogniwem". Powyższy opis tyczy się sytuacji, gdy wymagana jest interakcja drugiej osoby. Jeszcze gorzej jest jednak w przypadku, gdy wszystko odbywa się bez żadnej interakcji użytkownika. Jak podaje portal Ars Technica, przeglądarka Mozilla Firefox narażona jest obecnie na złośliwy kod, który może być zamieszczony na dowolnej stronie. Powoduje on zablokowanie Firefoxa bez możliwości zamknięcia okna z rzeczoną stroną, ani wyjścia z przeglądarki.

Złośliwy kod zaraportował Mozilli badacz zabezpieczeń z Malwarebytes, Jérôme Segura. Został on stworzony w JavaScript i wykorzystuje lukę zabezpieczeń w najnowszej wersji Firefoxa (70). Dzięki niemu cyber-atakujący mogą "zamrozić" przeglądarkę bez interakcji użytkownika. Ten natomiast widzi komunikat o posiadaniu nielegalnej wersji Windowsa i zablokowaniu komputera dla własnego bezpieczeństwa. W fałszywym okienku podany jest również numer telefonu do rzekomego wsparcia technicznego Windowsa. Taka sytuacja może się przydarzyć zarówno posiadaczom komputerów z systemem Windows, jak i macOS. W przypadku otrzymania takiego komunikatu, jedynym sposobem na wyjście z przeglądarki jest wymuszone zamknięcie procesu Firefox (albo stary dobry Alt-F4, bądź menedżer zadań). Jeśli użytkownik ustawił opcję przywracania kart, będzie musiał albo odłączyć dostęp do internetu, albo szybko usunąć kartę, zanim złośliwy kod wczyta się ponownie.

Ten exploit wykorzystuje mechanizm blokowania przeglądarki poprzez wyświetlanie monitu z uwierzytelnieniem. Jest on o tyle groźny, że może się pojawić na wielu stronach, jeśli tylko zostanie zainfekowany serwer. Ponadto, aktywuje się on automatycznie, a odbiorca straszony jest komunikatem o zablokowaniu komputera w przeciągu 5 minut jeśli nie zadzwoni na wskazany numer (który prawdopodobnie jest także częścią scamu). Co ciekawe Mozilla w marcu 2019 wydała obszerną łatkę zapobiegającą tego typu atakom, datującym się od 2006 roku. Najwidoczniej mamy do czynienia z niespotykaną dotąd wariacją. Mozilla zadeklarowała, że pracuje nad rozwiązaniem problemu. Nie wiemy jednak, jak długo zajmie wyeliminowanie tej luki bezpieczeństwa. Firma przewiduje, że upora się ze złośliwym kodem w wersji 71 lub 72.

Nieusuwalne malware na Androida? Trojan powraca nawet po resecie smartfona

Data: 30.10.2019 21:30

Autor: ziemianin

ithardware.pl

#codziennaprasowka #informacje #wiadomosci #android #bezpieczenstwoit #smartfony #xhelper #malware #trojan #wirus #spam

xHelper póki co pozostaje zagadką dla twórców oprogramowania antywirusowego. Malware powraca nawet po przywróceniu ustawień fabrycznych smartfona.

Nieusuwalne malware na Androida? Trojan powraca nawet po resecie smartfona

Najgorszy koszmar ze złośliwym oprogramowaniem możliwe, że własnie się ziścił. ZDNet donosi o szczególnym "szczepie" złośliwego oprogramowania, które ma zdolność do automatycznej ponownej instalacji, co prawie uniemożliwia użytkownikom Androida pozbycie się infekcji. Wirus, znany jako xHelper, został zauważony po raz pierwszy w marcu, a pięć miesięcy później zainfekował 32000 telefonów. W tym miesiącu liczba ta osiągnęła 45000. Według firmy Symantec codziennie jest infekowanych około 130 nowych urządzeń.

Szkodliwe oprogramowanie wyświetla wyskakujące reklamy i spam w powiadomieniach, który przynosi dochód jego twórcom. Użytkownicy są również przekierowywani do sklepu Google Play, skąd właściciele telefonów mają instalować usługi premium, z których również jest dochód. Złośliwe oprogramowanie można pobrać na telefon z Androidem za pomocą przekierowań, które odsyłają użytkowników na stronę internetową z aplikacjami na Androida. Niektóre z tych pobieranych aplikacji, zawierają trojana xHelper.

Po zainstalowaniu jednej z zainfekowanych aplikacji xHelper instaluje się jako osobno pobrana instancja, jednocześnie następuje usunięcie oryginalnej aplikacji, do której był dołączony trojan. Użytkownicy Androida od tego czasu mogą nigdy nie pozbyć się xHelper'a, ponieważ powraca on nawet po przywróceniu ustawień fabrycznych! Sposób działania pozostaje jak dotąd to tajemnicą zarówno dla twórców oprogramowania Symantec, jak i Malwarebytes. Obie firmy twierdzą, że xHelper nie wprowadza modyfikacji ani w samym systemie operacyjnym Android ani w aplikacjach systemowych. Niektóre ofiary zauważyły, że nawet po usunięciu xHelper i wyłączeniu opcji "Instaluj aplikacje z nieznanych źródeł" złośliwe oprogramowanie powraca bez żadnych przeszkód.

Ransomware na Androida rozprzestrzenia się dzięki symulatorowi seksu

Data: 02.08.2019 09:33

Autor: ziemianin

ithardware.pl

#wiadomosci #codziennaprasowka #android #malware #wirus #ransomware #apk #FilecoderC

W przypadku instalacji oprogramowania z nieznanych źródeł trzeba zachować wzmożoną czujność, zwłaszcza w przypadku aplikacji ze stron o symulatorze seksu ;)

Ransomware na Androida rozprzestrzenia się dzięki symulatorowi seksu

Wiele osób przechowuje ważne pliki na urządzeniach mobilnych, nie myśląc nawet o utworzeniu kopii zapasowej na komputerze. To sprawia, że ​​ich telefony są atrakcyjnym celem oprogramowania ransomware, a teraz pojawił się nowy atak na telefony z Androidem. Nowe złośliwe oprogramowanie Android Filecoder.C wykorzystuje dość specyficzne strony reklamujące "symulator seksu", aby nakłonić ludzi do pobrania programu. Osoby, które tego dokonają, mogą stracić dużo więcej niż tylko kilka chwil na zadanie sobie pytania "co ja robię na tej stronie?". Filecoder.C pojawiło się po raz pierwszy na forach Reddit i XDA pod postacią spamerskich wiadomości, kierujących ludzi do wspomnianego symulatora seksu. Co jednak bardzo ciekawe, ludzie faktycznie klikali w te reklamy i pobierali aplikację. Potęga seksu jest niesamowita i pokazuje jak ludzie potrafią wyłączyć myślenie. Drugim sposobem rozprzestrzeniania są wiadomości tekstowe.

Android ma bardziej niezawodny system kontroli niż Windows, co uniemożliwia instalowanie aplikacji w tle, podczas odwiedzania złośliwej witryny. Dlatego jedynym sposobem na zarażenie się Filecoder.C jest pobranie pliku .apk, ominięcie ostrzeżenia pobierania, uruchomienie instalatora i włączenie instalacji z nieznanych źródeł. Pomimo tylu ostrzeżeń, ludzie wciąż kontynuują instalację ransomware na swoich urządzeniach. Po instalacji Filecoder.C przeszukuje smartfona w poszukiwaniu dokumentów, zdjęć, filmów i różnych innych plików. Szyfruje je i generuje parę kluczy prywatny-publiczny. Klucz prywatny zostaje przesłany na zdalny serwer, a klucz publiczny pozostaje na urządzeniu. W przeciwieństwie do niektórych innych tego typu programów, Filecoder.C nie blokuje całego urządzenia i nie dotyka plików apk. Sugeruje to, że został stworzony na podstawie komputerowego ransomware, takiego jak WannaCry.

Jak zwykle w przypadku oprogramowania ransomware, program wyświetla informację gdzie dokonać płatności i wyjaśnia że dane zostały zaszyfrowane. Jedynym sposobem na odblokowanie plików jest zapłacenie w bitcoinach – w tym przypadku kwota jest generowana losowo i wynosi od 94 do 188 dolarów. Złośliwe oprogramowanie obiecuje po uiszczeniu opłaty przesłać klucz prywatny, w celu odszyfrowania. W międzyczasie Filecoder.C wysyła również wiadomości SMS do wszystkich kontaktów ofiary. Program ma zakodowane na stałe 42 języki i wybiera ten, który pasuje do ustawienia języka urządzenia. Póki co nie ma jasnej instrukcji odzyskania zaszyfrowanych plików, bez płacenia.

Agent Smith zainfekował już ponad 25 mln urządzeń z Androidem

Data: 11.07.2019 17:34

Autor: ziemianin

ithardware.pl

#codziennaprasowka #wiadomosci #bezpieczenstwo #android #malware #adware #agentsmith

Agent Smith to złośliwe malware, za którym prawdopodobnie stoją chińscy programiści.

https://ithardware.pl/aktualnosci/agent_smith_zainfekowal_juz_ponad_25_mln_urzadzen_z_androidem-9744.html

Badacze bezpieczeństwa odkryli nowe złośliwe oprogramowanie, które zainfekowało już co najmniej 25 milionów urządzeń z Androidem. "Agent Smith" dostaje się do systemu poprzez niektóre aplikacje, a następnie podszywa się pod aplikacje powiązane z Google. Jak wynika z oświadczenia prasowego firmy Check Point, jak tylko Agent Smith dostanie się do urządzenia, malware przybiera formę powszechnych aplikacji, podmieniając oryginał na fałszywą, zainfekowaną wersję. Zmienione aplikacje wyświetlają fałszywe reklamy w celu uzyskania korzyści finansowych. "Malware atakuje aplikacje zainstalowane przez użytkowników po cichu, co sprawia, że ​​zwykłym użytkownikom Androida trudno jest zwalczać takie zagrożenia samodzielnie" – powiedział Jonathan Shimonovich, szef działu wykrywania zagrożeń mobilnych w Check Point.

Google coraz bliżej ograniczenia dodatków blokujących reklamy/śledzenie w Chrome

Data: 30.05.2019 17:59

Autor: hellboy

9to5google.com

Z artykułu wynika, że firma od "Don't be evil" (już chyba nie używają tak często tego hasła) nadal utrzymuje kurs kolizyjny z użytkownikami blokującymi reklamy oraz śledzenie na odwiedzanych stronach. Oczywiście ciężko się dziwić wiedząc co jest głównym źródłem utrzymania giganta.

Wypowiedź twórcy uBlockOrigin na GitHub: https://github.com/uBlockOrigin/uBlock-issues/issues/338# issuecomment-496009417

Zmiany proponowane w ramach Manifest V3: https://docs.google.com/document/d/1nPu6Wy4LWR66EFLeYInl3NzzhHzc-qnk4w4PX-0XMw8/edit# heading=h.5ottncv8stov

I jeszcze jeden link dla leniwych: https://www.mozilla.org/pl/firefox/new/ ;-)

PS Z uwagi na nadgorliwość mechanizmu parsującego tagi proszę o usunięcie z linków spacji po znaku hash po skopiowaniu i wklejeniu ich w pasek adresu…

#it #google #internet #komputery #chrome #malware #informatyka