Hlavní navigace

Postřehy z bezpečnosti: nechvalně známý malware

10. 12. 2018
Doba čtení: 3 minuty

Sdílet

V dnešním díle postřehů se podíváme na novou verzi nechvalně známého malware, na únik dat, na nový ransomware působící v Číně, na záplaty od Google a Adobe a jiné zajímavosti z počítačové bezpečnosti.

Nechvalně známý malware

V posledních týdnech byla objevena nová varianta nechvalně známého malwaru Ursnif, která zasáhla italské uživatele prostřednictvím malspamové kampaně. Bezpečnostní experti z Yoroi-Cybaze ZLAB izolovali několik škodlivých e-mailů s následujícím obsahem:

Předmět: "VS Spedizione DHL AWB 94856978972 proveniente dalla GRAN BRETAGNA AVVISO DI GIACENZA"
Příloha: "GR930495-30495.zip"

Obsah přílohy je soubor .js, a když je spuštěn, zahájí infekci stahováním dalších komponent z Internetu.

Celý řetězec infekce by mohl být shrnut do čtyř fází:

  1. generování síťového šumu pro skrytí infrastruktury útočníka
  2. stahování spustitelného payloadu
  3. dosažení persistence pomocí nainstalovaného klíče registru
  4. kontroly a stahování modulů Ursnif

Quoru postihl únik dat 100 milionů uživatelů

Společnost Quora, provozující web zabývající se dotazy a odpověďmi, upozorňuje postižené uživatele na incident a jako preventivní opatření jim mění hesla. Společnost o incidentu informovala úřady a najala forenzní a bezpečnostní firmu, aby pomohla s vyšetřováním.

Quora identifikovala příčinu úniku dat a již provedla protiopatření, ale nezveřejnila technické detaily incidentu. Firma dále uvádí, že ne všichni uživatelé byli postiženi a že někteří byli zasaženi více než jiní.

Nový ransomware v Číně již infikoval 100 000 počítačů

Nový ransomware se rychle šíří po celé Číně, již v posledních čtyřech dnech napadl více než 100 000 počítačů a počet infikovaných uživatelů se neustále zvyšuje každou hodinu.

Zajímavé je to, že na rozdíl od téměř každého malwaru typu ransomware nový virus nevyžaduje výkupné v Bitcoinech.

Místo toho útočníci chtějí po oběti, aby zaplatila 110 juanů (téměř 16 USD) jako výkupné prostřednictvím WeChat Pay – platební funkce nabízené nejpopulárnější aplikací pro zasílání zpráv v Číně.

Podle čínské kyberneticko-bezpečnostní a antivirové firmy Velvet Security útočníci přidali škodlivý kód do programovacího softwaru „EasyLanguage“, používaného velkým počtem vývojářů aplikací.

Zákeřně modifikovaný programovací software byl navržen tak, aby zavedl kód ransomware do každé aplikace a softwarového produktu, který byl zkompilován.

Opravy chyb prohlížeče Chrome

Prohlížeč Chrome přichází s novou sadou ochrany proti vyskakujícím oknům. Nejnovější verze prohlížeče přináší nové bezpečnostní funkce a spoustu oprav.

Celkově společnost Google vydala 43 opravných balíčků s aktualizací zabezpečení pro Chrome 71. Nejnovější verze, 71.0.3578.80, obsahuje také řadu oprav chyb.

Opravy chyb zahrnují např.:

  • záplatu chyby zápisu mimo rozsah (CVE-2018–17480) v Chrome V8 open-source jádru JavaScriptu;
  • opravu zranitelností použití po uvolnění (CVE-2018–17481 a CVE-2018–18336) v knihovně Google PDF (PDFium);
  • opravu přetečení vyrovnávací paměti (CVE-2018–18341) v prohlížečovém jádru Google Blink použitém v prohlížeči Chrome.

Adobe záplatuje Flash Player

Společnost Adobe vydala několik neplánovaných oprav pro přehrávač Flash Player, včetně kritické chyby zabezpečení, která již byla zneužívána.

Kritická zranitelnost, CVE-2018–15982, je chyba použití po uvolnění umožňující libovolné spuštění kódu ve formátu Flash.

Chybou postižené jsou aplikace Adobe Flash Player Desktop Runtime, Adobe Flash Player pro Google Chrome, Adobe Flash Player pro Microsoft Edge a Internet Explorer 11 – vše se týká verze 31.0.0.153 a starší. Rovněž je chybou ovlivněn program Adobe Flash Player Installer verze 31.0.0.108 a starší.

Google vydává záplaty pro Android

Prosincový bezpečnostní bulletin pro Android společnosti Google se zabývá 53 jedinečnými vadami, mezi nimiž dominují chyby umožňující vzdálené spuštění kódu.

Z 53 chyb je jich 11 kritických – z nichž šest jsou závady RCE spojené s mediálními a systémovými komponentami operačního systému.

Podle Googlu neexistují žádné zprávy o tom, že některá z unikátních chyb byla zneužita. Záplaty se vztahují na zařízení Google Pixel a Nexus spolu s moderními telefony Android od společností Samsung, LG, HTC a dalších.

Průnik nebo vynucený reset hesla?

Softwarový gigant Citrix Systems nedávno vynutil změnu hesla mnoha uživatelů své služby Sharefile a zároveň varoval, že to může dělat pravidelně jako preventivní opatření proti útokům hádajícím hesla, které ohrožují zejména uživatele, kteří stejné heslo používají pro více služeb.

root_podpora

Mnoho uživatelů tento krok Citrixu považovalo za reakci na průnik do služby Sharefile, ale firma toto odmítá. Firma rovněž tvrdí, že se vynucená změna hesla netýká uživatelů, kteří používají vícefaktorové ověřování.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.