Hlavní navigace

Postřehy z bezpečnosti: kryptoměny táhnou

11. 1. 2021
Doba čtení: 3 minuty

Sdílet

Dnes se podíváme na nový malware ElectroRAT zaměřený na uživatele kryptoměn, dále na nedokumentovaný privilegovaný účet v zařízeních Zyxel, na novou vlnu vyděračských e-mailů a na apokalyptický souboj dvou nástrojů od Google.

Peněženky v ohrožení

Bezpečnostní pracovníci odhalili malware nazývaný „ElectroRAT”, který se zaměřuje na uživatele kryptoměn. Kampaň s cílem rozšířit daný malware mezi velké množství uživatelů různých operačních systémů (Windows, Linux a macOS), probíhala od začátku ledna minulého roku. Malware je vytvořený pomocí open-source kódu „Electron“, jedná se o multiplatformní aplikační framework. Útočníci se snažili získat privátní klíče k uživatelským krypto peněženkám.


Hackeři vytvořili pro tyto účely tři podvodné aplikace, kde ukryli „ElectroRat“ s názvy „Jamm“, „eTrade“ a „DaoPoker“. V případě, že si uživatel nainstaloval jednu ze tří zmíněných aplikací, otevřelo se mu po spuštění neškodné uživatelské prostředí pro správu kryptoměn a na pozadí se spustil ElectroRAT jako „mdworker“, který umožnil útočníkům zaznamenávat stisknuté klávesy uživatelů, nahrávat soubory z disku, stahovat libovolné soubory a provádět škodlivé příkazy.

Zranitelnost firewallů a přístupových prvků Zyxel

S odkazem na zjištění společnosti EYE upozorňujeme na závažnou zranitelnost zařízení Zyxel s označením CVE-2020–29583. Ve firmwaru zařízení Zyxel řady ATP, USG, USG FLEX a VPN verze 4.6 a AP controllerů NXC2500, NXC5500 verze 6.00 až 6.10 je od výrobce nastaven skrytý nezdokumentovaný účet „zyfwp" s administrátorským oprávněním a napevno přiděleným heslem, které je na každém zařízení stejné.

Heslo k tomuto účtu lze ze systému získat v čitelné podobě a bylo již v řadě veřejně přístupných článcích zveřejněno. V případě vystavení rozhraní do Internetu může být tento účet snadno zneužitý útočníky např. k rekonfiguraci firewallu, přidání VPN účtů nebo odposlechu provozu, což může vést k celkové kompromitaci infrastruktury.

Vlnu podvodných vyděračských e-mailů

GovCERT.CZ zachytil nový typ zprávy, kterými se snaží útočník své oběti přesvědčit, že získal přístup k jejich počítači a natočil je přes webkameru. E-maily jsou ve všech případech odeslány z podvržené adresy. Na první pohled to vypadá, že adresát je shodný s odesílatelem.

Předměty e-mailů typicky obsahují adresu příjemce a jsou nazvané „oznámení", „poslední varování", „poslední upozornění" a podobně. Podvodné zprávy se vyznačují relativně kvalitní češtinou, lišící se adresou bitcoinové peněženky, požadovanou hodnotou v bitcoinech nebo eurech a časem výpalného – typicky 24 nebo 48 hodin.

Google Speech-to-Text vs. Google reCAPTCHA 1:0

Vtipný nápad, postavit služby Google proti sobě navzájem, demonstroval výzkumník Nikolai Tschacher. Aplikace reCAPTCHA, která patří Google a zabraňuje tomu, aby stránku ovládal robot, může být obelstěna jiným produktem Google, převodníkem řeči na text. 

Nápad sám je starý několik let a Google se mu snažil bránit tím, že převodník řeči specializoval na fráze místo na jednotlivá čísla. Nikolai ze začátku roku však potvrdil, že převodník je stále natolik dobrý, že v drtivé většině čísla odposlechne a umožní tak robotu prokázat své lidství. Na systém přitom spoléhají stovky tisíc stránek reCAPTCHA.

Whatsapp a Facebook chtějí více vytěžovat data o uživatelích

Minulou středu se objevila informace týkající se nové verze zásad ochrany osobních údajů aplikace Whatsapp. Zpráva hovoří o tom že uživatelům v Indii se začaly zobrazovat nové podmínky, které musejí do 8. února odsouhlasit, pokud chtějí Whatsapp nadále používat. Hlavní změnou je přitom možnost aplikace sdílet více uživatelských dat s dalšími společnostmi, které vlastní Facebook .

Zanedlouho poté se začalo podobné hlášení zobrazovat i na českých telefonech. Avšak podmínky se malinko liší (pravděpodobně kvůli GDPR). Narozdíl od mimoevropské verze zmiňuje například „direct marketing” a propagaci dalších vlastních služeb, k čemuž plánuje využít například geolokace. Porovnejte evropskou verzi a mimoevropskou.

CS24_early

Vakcíny na COVID-19 spustily vlnu internetových podvodů

V souvislosti s celosvětovou vlnou vakcinací na COVID-19 se samozřejmě vyrojila také řada podvodníků. Na problém upozorňují také FBI a Europol. Výrobce bezpečnostního softwaru Check Point například objevil prodejce, který na dark netu nabízí schválenou vakcínu Pfizer za pouhých 250 dolarů. Prodejce tvrdí, že má k dispozici zásoby nově schválené vakcíny Pfizer a může je odeslat do Velké Británie, USA nebo Španělska.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.