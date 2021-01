Bezpečnostní pracovníci odhalili malware nazývaný „ElectroRAT”, který se zaměřuje na uživatele kryptoměn. Kampaň s cílem rozšířit daný malware mezi velké množství uživatelů různých operačních systémů (Windows, Linux a macOS), probíhala od začátku ledna minulého roku. Malware je vytvořený pomocí open-source kódu „Electron“, jedná se o multiplatformní aplikační framework. Útočníci se snažili získat privátní klíče k uživatelským krypto peněženkám.

Hackeři vytvořili pro tyto účely tři podvodné aplikace, kde ukryli „ElectroRat“ s názvy „Jamm“, „eTrade“ a „DaoPoker“. V případě, že si uživatel nainstaloval jednu ze tří zmíněných aplikací, otevřelo se mu po spuštění neškodné uživatelské prostředí pro správu kryptoměn a na pozadí se spustil ElectroRAT jako „mdworker“, který umožnil útočníkům zaznamenávat stisknuté klávesy uživatelů, nahrávat soubory z disku, stahovat libovolné soubory a provádět škodlivé příkazy.

S odkazem na zjištění společnosti EYE upozorňujeme na závažnou zranitelnost zařízení Zyxel s označením CVE-2020–29583. Ve firmwaru zařízení Zyxel řady ATP, USG, USG FLEX a VPN verze 4.6 a AP controllerů NXC2500, NXC5500 verze 6.00 až 6.10 je od výrobce nastaven skrytý nezdokumentovaný účet „zyfwp" s administrátorským oprávněním a napevno přiděleným heslem, které je na každém zařízení stejné.

Heslo k tomuto účtu lze ze systému získat v čitelné podobě a bylo již v řadě veřejně přístupných článcích zveřejněno. V případě vystavení rozhraní do Internetu může být tento účet snadno zneužitý útočníky např. k rekonfiguraci firewallu, přidání VPN účtů nebo odposlechu provozu, což může vést k celkové kompromitaci infrastruktury.

GovCERT.CZ zachytil nový typ zprávy, kterými se snaží útočník své oběti přesvědčit, že získal přístup k jejich počítači a natočil je přes webkameru. E-maily jsou ve všech případech odeslány z podvržené adresy. Na první pohled to vypadá, že adresát je shodný s odesílatelem.

Předměty e-mailů typicky obsahují adresu příjemce a jsou nazvané „oznámení", „poslední varování", „poslední upozornění" a podobně. Podvodné zprávy se vyznačují relativně kvalitní češtinou, lišící se adresou bitcoinové peněženky, požadovanou hodnotou v bitcoinech nebo eurech a časem výpalného – typicky 24 nebo 48 hodin.

Vtipný nápad, postavit služby Google proti sobě navzájem, demonstroval výzkumník Nikolai Tschacher. Aplikace reCAPTCHA, která patří Google a zabraňuje tomu, aby stránku ovládal robot, může být obelstěna jiným produktem Google, převodníkem řeči na text.

Nápad sám je starý několik let a Google se mu snažil bránit tím, že převodník řeči specializoval na fráze místo na jednotlivá čísla. Nikolai ze začátku roku však potvrdil, že převodník je stále natolik dobrý, že v drtivé většině čísla odposlechne a umožní tak robotu prokázat své lidství. Na systém přitom spoléhají stovky tisíc stránek reCAPTCHA.

Minulou středu se objevila informace týkající se nové verze zásad ochrany osobních údajů aplikace Whatsapp. Zpráva hovoří o tom že uživatelům v Indii se začaly zobrazovat nové podmínky, které musejí do 8. února odsouhlasit, pokud chtějí Whatsapp nadále používat. Hlavní změnou je přitom možnost aplikace sdílet více uživatelských dat s dalšími společnostmi, které vlastní Facebook .

Zanedlouho poté se začalo podobné hlášení zobrazovat i na českých telefonech. Avšak podmínky se malinko liší (pravděpodobně kvůli GDPR). Narozdíl od mimoevropské verze zmiňuje například „direct marketing” a propagaci dalších vlastních služeb, k čemuž plánuje využít například geolokace. Porovnejte evropskou verzi a mimoevropskou.

V souvislosti s celosvětovou vlnou vakcinací na COVID-19 se samozřejmě vyrojila také řada podvodníků. Na problém upozorňují také FBI a Europol. Výrobce bezpečnostního softwaru Check Point například objevil prodejce, který na dark netu nabízí schválenou vakcínu Pfizer za pouhých 250 dolarů. Prodejce tvrdí, že má k dispozici zásoby nově schválené vakcíny Pfizer a může je odeslat do Velké Británie, USA nebo Španělska.

