Hlavní navigace

Postřehy z bezpečnosti: kryptoměny táhnou

11. 1. 2021
Doba čtení: 3 minuty

Sdílet

Dnes se podíváme na nový malware ElectroRAT zaměřený na uživatele kryptoměn, dále na nedokumentovaný privilegovaný účet v zařízeních Zyxel, na novou vlnu vyděračských e-mailů a na apokalyptický souboj dvou nástrojů od Google.

Peněženky v ohrožení

Bezpečnostní pracovníci odhalili malware nazývaný „ElectroRAT”, který se zaměřuje na uživatele kryptoměn. Kampaň s cílem rozšířit daný malware mezi velké množství uživatelů různých operačních systémů (Windows, Linux a macOS), probíhala od začátku ledna minulého roku. Malware je vytvořený pomocí open-source kódu „Electron“, jedná se o multiplatformní aplikační framework. Útočníci se snažili získat privátní klíče k uživatelským krypto peněženkám.


Hackeři vytvořili pro tyto účely tři podvodné aplikace, kde ukryli „ElectroRat“ s názvy „Jamm“, „eTrade“ a „DaoPoker“. V případě, že si uživatel nainstaloval jednu ze tří zmíněných aplikací, otevřelo se mu po spuštění neškodné uživatelské prostředí pro správu kryptoměn a na pozadí se spustil ElectroRAT jako „mdworker“, který umožnil útočníkům zaznamenávat stisknuté klávesy uživatelů, nahrávat soubory z disku, stahovat libovolné soubory a provádět škodlivé příkazy.

Zranitelnost firewallů a přístupových prvků Zyxel

S odkazem na zjištění společnosti EYE upozorňujeme na závažnou zranitelnost zařízení Zyxel s označením CVE-2020–29583. Ve firmwaru zařízení Zyxel řady ATP, USG, USG FLEX a VPN verze 4.6 a AP controllerů NXC2500, NXC5500 verze 6.00 až 6.10 je od výrobce nastaven skrytý nezdokumentovaný účet „zyfwp" s administrátorským oprávněním a napevno přiděleným heslem, které je na každém zařízení stejné.

Heslo k tomuto účtu lze ze systému získat v čitelné podobě a bylo již v řadě veřejně přístupných článcích zveřejněno. V případě vystavení rozhraní do Internetu může být tento účet snadno zneužitý útočníky např. k rekonfiguraci firewallu, přidání VPN účtů nebo odposlechu provozu, což může vést k celkové kompromitaci infrastruktury.

Vlnu podvodných vyděračských e-mailů

GovCERT.CZ zachytil nový typ zprávy, kterými se snaží útočník své oběti přesvědčit, že získal přístup k jejich počítači a natočil je přes webkameru. E-maily jsou ve všech případech odeslány z podvržené adresy. Na první pohled to vypadá, že adresát je shodný s odesílatelem.

Předměty e-mailů typicky obsahují adresu příjemce a jsou nazvané „oznámení", „poslední varování", „poslední upozornění" a podobně. Podvodné zprávy se vyznačují relativně kvalitní češtinou, lišící se adresou bitcoinové peněženky, požadovanou hodnotou v bitcoinech nebo eurech a časem výpalného – typicky 24 nebo 48 hodin.

Google Speech-to-Text vs. Google reCAPTCHA 1:0

Vtipný nápad, postavit služby Google proti sobě navzájem, demonstroval výzkumník Nikolai Tschacher. Aplikace reCAPTCHA, která patří Google a zabraňuje tomu, aby stránku ovládal robot, může být obelstěna jiným produktem Google, převodníkem řeči na text. 

Nápad sám je starý několik let a Google se mu snažil bránit tím, že převodník řeči specializoval na fráze místo na jednotlivá čísla. Nikolai ze začátku roku však potvrdil, že převodník je stále natolik dobrý, že v drtivé většině čísla odposlechne a umožní tak robotu prokázat své lidství. Na systém přitom spoléhají stovky tisíc stránek reCAPTCHA.

Whatsapp a Facebook chtějí více vytěžovat data o uživatelích

Minulou středu se objevila informace týkající se nové verze zásad ochrany osobních údajů aplikace Whatsapp. Zpráva hovoří o tom že uživatelům v Indii se začaly zobrazovat nové podmínky, které musejí do 8. února odsouhlasit, pokud chtějí Whatsapp nadále používat. Hlavní změnou je přitom možnost aplikace sdílet více uživatelských dat s dalšími společnostmi, které vlastní Facebook .

Zanedlouho poté se začalo podobné hlášení zobrazovat i na českých telefonech. Avšak podmínky se malinko liší (pravděpodobně kvůli GDPR). Narozdíl od mimoevropské verze zmiňuje například „direct marketing” a propagaci dalších vlastních služeb, k čemuž plánuje využít například geolokace. Porovnejte evropskou verzi a mimoevropskou.

DT2021 tip

Vakcíny na COVID-19 spustily vlnu internetových podvodů

V souvislosti s celosvětovou vlnou vakcinací na COVID-19 se samozřejmě vyrojila také řada podvodníků. Na problém upozorňují také FBI a Europol. Výrobce bezpečnostního softwaru Check Point například objevil prodejce, který na dark netu nabízí schválenou vakcínu Pfizer za pouhých 250 dolarů. Prodejce tvrdí, že má k dispozici zásoby nově schválené vakcíny Pfizer a může je odeslat do Velké Británie, USA nebo Španělska.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.