Postřehy z bezpečnosti: phishingová kampaň přes Facebook Messenger

18. 9. 2023
Doba čtení: 6 minut

Sdílet

 Autor: Depositphotos
V aktuálním díle pondělních Postřehů se podíváme na nový phishingový útok, škodlivý kód v balíčku .deb nebo na plejádu zranitelností v Chrome, Firefoxu, Kubernetes a dalších nástrojích.

Útok přes Facebook Messenger ohrožuje uživatele

Nový phishingový útok využívá Facebook Messenger k rozesílání zpráv obsahující škodlivou přílohu. Využívají se nejenom falešně vytvořené účty, ale také ukradené osobní účty. V těchto útocích, nazvaných jako MrTonyScam, jsou potenciálním obětem zasílány zprávy, které je lákají ke kliknutí a spuštění přílohy, která je ve formátu RAR a ZIP, což následně vede k aktivaci podvodného scriptu, který se stáhne z repozitáře na platformě GitHub nebo GitLab. 

Podvodný script založený na Pythonu má za úkol vyextrahovat všechny cookies a přihlašovací údaje z různých webových prohlížečů a odeslat je na konkrétní Telegram nebo Discord API endpoint ovládaný útočníkem. Po odcizení cookies dojde k jejich vymazání, což zajistí odhlášení oběti z jejích vlastních účtů. V této fázi mohou útočníci převzít kontrolu nad účtem pomocí odcizených cookies. 

Přestože pro spuštění podvodného kódu je zapotřebí, aby uživatel stáhl soubor, rozbalil ho a spustil, tak podle Guardio Labs, kampaň dosahuje celkem vysoké úspěšnosti, kdy během posledních 30 dnů byl odhadem infikován jeden z 250 kontaktovaných uživatelů.

Škodlivý kód v .deb balíčku unikal pozornosti dva roky

Webová stránka freedownloadmanager[.]org šířila v letech 2020 až 2022 malware zacílený na linuxové uživatele. Malware byl součástí instalačního balíčku .deb, který měl na systém instalovat aplikaci „Free Download Manager“.

Po napadení systému shromažďoval malware systémové informace, historii prohlížení webů, uložená hesla, soubory kryptoměnových peněženek nebo přihlašovací údaje ke cloudovým službám. Není jasné, jakým způsobem byly oběti vybírány, protože ne každý, kdo si v uvedené době balíček stáhl, získal jako bonus tento nechtěný malware. V současné době již kampaň není aktivní.

Mozilla a Google záplatují

MozillaGoogle vydaly opravné aktualizace kritické zranitelnosti (CVE-2023–4863) v internetovém prohlížeči Chrome, Firefox a e-mailovém klientovi Thunderbird. Zranitelnost sídlí v knihovně libwebp a může umožnit útočníkovi vzdálené spuštění kódu při otevření speciálně upraveného WebP obrázku.

Jedná se prý o aktivně zneužívanou zero-day zranitelnost, kterou objevili odborníci z Apple Security Engineering and Architecture (SEAR) a z organizace Citizen Lab, která se často zabývá cílenými útoky na známé osobnosti (novináře, politiky, disidenty). Je doporučeno všem provést nezbytné aktualizace.

Jak zasquattovat opuštěný projekt na GitHubu

Taky vás štve, že si nemůžete založit účet se jménem, které kdysi někdo používal, ale je dávno neobsazeno? Například pokud zrušíte schránku na Seznamu, už nikdy stejný e-mail nikdo nezaloží. Má to svůj důvod – své o tom ví od minulého týdne GitHub. Ten sice používá politiku na archivování jmenných prostorů; garantují jisté záruky repozitářům, které byly aspoň 100× naklonovány.

Ovšem společnost Checkmarx demonstrovala, že tato politika je děravá. Útočník totiž může využít API, aby udělal dvě věci současně: zabere opuštěné jméno a vytvoří nový repozitář se jménem nějaké používané knihovny. Všechny projekty, které se odkazují na tu knihovnu přes staré opuštěné jméno, najednou skončí v repozitáři útočníka.

Týká se to tisíců open-source projektů, přičemž stovky z nich mají nad tisíc hvězd. Ty ukazují na popularitu daných knihoven, což znamená, že jednorázové zneužití by snadno dopadlo na miliony uživatelů.

Microsoft se pomalu zbavuje NTLM

Microsoft pokračuje ve snaze lépe zabezpečit komunikaci protokolem SMB a postupně se zbavit autentizace pomocí NTLM. Ve Windows 11 Insider Preview Build 25951 umožnil blokaci NTLM autentizace v odchozím SMB provozu, což by mělo zamezit útokům typu NTLM Relay, Pass-the-Hash nebo získání materiálu pro lámání hesel.

To může být užitečné v prostředí, kde by úplné vypnutí NTLM mohlo znamenat problém. Přidal také podporu pro nastavení požadovaného dialektu SMB na straně serveru.

XSS v Azure HDInsight

Bylo objeveno několik XSS zranitelností v komponentách Azure HDInsight, které umožňují exfiltraci dat, únos relace a implantaci škodlivého kódu. Jedná se o zranitelnosti komponent Hadoop, Spark, Kafka, a Oozie které jsou zastřešeny službou Azure HDInsight.

Zranitelností je celkem osm (např. CVE-2023–36881, CVE-2023–35394, CVE-2023–38188, CVE-2023–35393, CVE-2023–36877) a všechny se týkají nedostatečné kontroly uživatelských vstupů. Microsoft chyby již zazáplatoval, ale je vhodné překontrolovat všechny podezřelé aktivity, které se v systému mohly udát před začátkem září.

Zranitelnost v Kubernetes

Byla objevena nová zranitelnost v Kubernetes, jejíž zneužitím lze spustit libovolný kód ve všech Windows instancích v clusteru. Chyba označovaná jako CVE-2023–3676 (CVSS skóre 8,8) ovlivňuje zpracování YAML souborů v Kubernetes, které se používají pro konfiguraci, správu, zpracování tajemství a další účely v rámci systému pro orchestraci kontejnerů. 

Problém spočívá v tom, jak služba kubelet v Kubernetes zpracovává YAML soubory obsahující informace o tom, kde lze sdílet adresář (mezi podem a hostem). Tím, že použije subvlastnost subPath, může uživatel připojit sdílený adresář nebo soubor na požadované místo, a kubelet ověřuje parametry v YAML souboru, aby zajistil, že při použití subPath nejsou vytvářeny symbolické odkazy (symlinks).

Při volání funkce je jako parametr použit subPath, který byl dodán uživatelem v souboru YAML. Tato cesta je poté použita k vytvoření PowerShell příkazu , který slouží k určení typu cesty. Formátovaný PowerShell příkaz je okamžitě spuštěn voláním funkce ‚exec.Command‘, vysvětlují výzkumníci ze společnosti Akamai.

CVE-2023–3676 ovlivňuje všechny verze Kubernetes nižší než 1.28. Uživatelům se doporučuje aktualizovat své instance co nejdříve.

NÚKIB připravil průvodce řízením dodavatelů

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil ve spolupráci se Státní pokladnou Centrem sdílených služeb (SPCSS) podpůrný materiál Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti, který navazuje na dříve vydaného Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti. 

Provedení hodnocení rizik u výběrového řízení před uzavřením smlouvy je klíčovým krokem v rámci řízení dodavatelů. NÚKIB proto ve spolupráci se SPCSS vytvořil Průvodce řízením dodavatelů ve vztahu k hodnocení rizik kybernetické bezpečnosti. Materiál přibližuje problematiku hodnocení rizik u výběrového řízení s důrazem na veřejné zakázky hlavně těm, kteří s ní mají jen minimální nebo žádné zkušenosti. Ti zkušenější, kteří jsou zodpovědní za hodnocení rizik v procesu řízení dodavatelů, mohou dokument využít jako zdroj inspirace k vylepšení vlastních zavedených postupů. 

Nově zveřejněný podpůrný materiál představuje jeden z možných správných postupů. Jedná se pouze o doporučení, přičemž je nutné uvedené principy přizpůsobit prostředí konkrétní organizace.

Kyberútoky cílí na vzdělávací a výzkumné organizace

Školy se snaží zkvalitňovat své služby a stále častěji využívají pro studenty i učitele různé digitální platformy. Ale jako vždy s pokrokem přichází i rizika a nejrůznější hrozby. 

Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies upozorňuje, že sektor vzdělávání a výzkumu čelí největšímu počtu kyberútoků, navíc s obrovským náskokem na ostatní odvětví.

bitcoin školení listopad 24

V letošním roce čelí jedna vzdělávací nebo výzkumná organizace v průměru 2256 kybernetickým útokům týdně. Jedná se sice o mírný pokles (o 1 %) oproti stejnému období v loňském roce, ale i tak je vzdělávání a výzkum jednoznačně nejčastějším terčem kyberzločinců, říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.