Hlavní navigace

Postřehy z bezpečnosti: phishingová kampaň útočí na držitele domén

28. 9. 2020
Doba čtení: 5 minut

Sdílet

Dnes se podíváme na novou phishingovou kampaň útočící na držitele domén, dále na první úmrtí v důsledku útoku ransomwaru na nemocnici, na kritické zranitelnosti Instagramu a Samby nebo na nové kousky malwaru a ransomwaru.

Útok na držitele domén

Od nedělního večera probíhá sofistikovaná phishingová kampaň na majitele domén. Zprvu byli cílem zákazníci Forpsi (důkladný rozbor na blogu) a od středy o tomtéž informovala i společnost Active24. Nutno říci, že jde i o zákazníky domnělé: falešný e-mail obsahuje v poli „od” název hostingu a pak doménu, aby útočníci zvýšili důvěryhodnost. Zpráva je psána celkem dobrou češtinou a na první pohled nerozeznatelná od pravé zprávy. I platební odkaz vede zdánlivě na oficiální stránky hostera, až při najetí myší si bystrý uživatel musí všimnout, že odkaz vede jinam.

Pokud si uživatel nevšimne, že odkaz vede jinam a ani v prohlížeči nezkontroluje, na jaké doméně přistál, uvidí dovedně napodobenou platební bránu, kde se po něm chce zaplatit 80 Kč. V potvrzovací SMS je však už požadavek na 800 eur. A co víc, brána tvrdí, že platba neproběhla a vzápětí pošle další platební SMS. Metody útočníků se mohou měnit ze dne na den, obezřetnost při klikání na odkazy, kontrola domény v prohlížeči a kontrola částky v potvrzovací SMS však zůstávají dobrou obranou.

První úmrtí pacienta v souvislosti s útokem ransomwaru

V Německu zaznamenali první případ úmrtí pacienta, které je dáváno do přímé souvislosti s útokem ransomwaru. Obětí je žena, která potřebovala urgentní péči, ale kvůli útoku ransomwaru musela být převezena do jiného města.

Celá věc je o to nešťastnější, že nemocnice byla zasažena omylem. Útočníci, kteří zneužili při útoku chybu Citrix ADC CVE-2019–19781 ve skutečnosti útočili na univerzitu Heinricha Heineho. Po té, co vyšetřovatelé informovali útočníky, že omylem napadli nemocnici, útočníci stáhli požadavek na výkupné a poskytli klíč k dešifrování dat. Případ je momentálně vyšetřován jako vražda.

Kritická zranitelnost Instagramu

Kritická zranitelnost CVE-2020–1895 v aplikaci Instagram (verze pro Android), mohla umožnit útočníkům převzít kontrolu na uživatelským zařízením a to pouze zasláním speciálně upraveného obrázku. Ještě znepokojivější je, že chyba nejen umožňuje útočníkům vykonávat akce jménem uživatele v této aplikaci, například špehování soukromých zpráv oběti, mazání nebo zveřejňování fotografií z jejich účtů, ale také spustit libovolný kód v zařízení.

Podle vyjádření Facebooku, se chyba týká všech verzí až do verze 128.0.0.26.128, která byla vydána v únoru letošního roku. Důvod proč Facebook informoval uživatele o zranitelnosti až po šesti měsících od opravení chyby, je údajně ten, aby každý měl dostatek času na aktualizace.

Jak běloruští poskytovatelé připojení blokují nevhodné stránky

Nadace Quorium média se zaměřila na to, jakým způsobem jsou v Bělorusku blokovány nepohodlné stránky. V této zemi není implementován centrální firewall jako v některých modernějších diktaturách, ale každý provider provádí blokování stránek s využitím vlastní infrastruktury.

Někteří tak využívají transparentní web proxy s podvrženými HTTPS certifikáty, jiní deep packet inspection a někteří se cenzuře učili u českého ministerstva financí a svým zákazníkům podstrkují falešné odpovědi na DNS dotazy.

Zerologon a SAMBA

Chybou CVE-2020–1472 je zasažena také Samba, která slouží k pohodlnému sdílení souborů mezi operačními systémy Linux a Windows. Pokud používáte Sambu jako doménový kontroler, můžete být také zranitelní. Verze od 4.8 výše implicitně zranitelné nejsou, protože používají „secure netlogon”; ekvivalent nastavení server schannel = yes v konfiguračním souboru  smb.conf.

Zranitelní ale jste, pokud jste z nějakého důvodu nastavili v smb.conf  volbu server schannel = no nebo server schannel = auto. Samba verze 4.7 a nižší je zranitelná a bránit se můžete i v tomto případě nastavením server schannel = yes v konfiguračním souboru  smb.conf.

Nový ransomware OldGremlin

Byl objeven nový ransomware pod jménem OldGremlin. Tento malware primárně útočí na ruské organizace. Mezi nakažené patří i zdravotnická společnost, které malware zašifroval celou síť a po společnosti bylo vyžadováno výkupné ve výši 50 000 dolarů. Hlavním útočným vektorem je i v tomto případě spear-phishing.

Windows Defender dokázal sice detekovat malware po 20 vteřinách od spuštění, ale i to stačilo k tomu, aby přiložený trojan získal na systému persistenci. Uživatel si přitom ničeho podezřelého nevšiml. Útočníci pak získali kontrolu nad celou sítí, včetně účtu doménového administrátora. Aby si pojistili svůj přístup, založili si dokonce sekundární účet se stejným oprávněním. Po několika týdnech sbírání informací naráz infikovali několik stovek počítačů společnosti ransomwarem a začali žádat o výkupné.

Bankovní malware Cerberus obejde i 2F autentizaci

Cerberus je sofistikovaný bankovní malware pro Android, který byl prvně zaznamenán v létě 2019. K jeho aktivní distribuci došlo na řadě hackerských fór, kde byl k dispozici jako MaaS (Malware-as-a-Service). Nedávný únik zdrojového kódu (označovaný jako Cerberus v2) otevírá kyberzločincům nové široké možnosti, jak ohrozit bankovní sektor prostřednictvím zařízení s operačním systémem Android.

Přestože rusky mluvící vývojáři malwaru Cerberus v dubnu letošního roku definovali pro tento projekt novou vizi, došlo už v červenci k prvním aukcím zdrojového kódu, protože se vývojářský tým rozpadl. Z nejasných důvodů se později autoři rozhodli zpřístupnit zdrojový kód projektu prémiovým uživatelům oblíbeného ruskojazyčného hackerského fóra. To mělo za následek okamžitý nárůst infekcí mobilních aplikací a pokusů o krádež financí uživatelů v Rusku a napříč Evropou.

K malwaru se totiž dostávalo čím dál více kyberzločinců zcela zdarma. Sofistikovanost malwaru se přitom od zahájení své aktivity v roce 2019 neustále navyšuje. Připomíná tak podobný bankovní malware Anubis zaměřený na Android, který byl zveřejněný ke konci loňského roku.

Root online školení

Phishingové triky aneb 10 nejběžnějších podvodů roku 2020

Kybernetičtí podvodníci nás neustále testují a zkouší, kam až mohou zajít, takže jednou z možných ochran je i testovat sami sebe, abychom si před útočníky udrželi náskok. Existují nástroje, které umožňují IT oddělením odesílat realisticky vypadající podvržené e-maily vlastním zaměstnancům, takže když se nechají zmást a kliknou na ně, nehrozí organizaci žádné nebezpečí, protože na druhé straně nejsou skuteční podvodníci. Se svým simulátorem phishingových útoků Sophos Phish Threat odhalila společnost Sophos několik zajímavých statistik, které letos získala od reálných uživatelů tohoto produktu.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.