Hlavní navigace

Postřehy z bezpečnosti: reklamy Google opět zneužity k šíření malware

13. 11. 2023
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
Dnes se podíváme na kampaň šířící malware s využitím Google Ads, která se sofistikovaně bránila odhalení, na další malware v PyPI, na využití AI na GitHubu, na kritickou zranitelnost Confluence a na řadu dalších zranitelností.

Zneužití Google Ads k propagaci trojanu

V minulém týdnu byla identifikována malvertisingová kampaň, která zneužívala Google Ads k distribuci trojanizované verze nástroje CPU-Z. Tento nástroj je oblíbený mezi uživateli Windows pro sledování různých hardwarových komponent. Podle analytiků společnosti Malwarebytes byla využita stejná podpůrná infrastruktura jako u malvertisingu aplikací Notepad++, Citrix a VNC Viewer.

Útočníci vytvořili klon legitimního zpravodajského webu WindowsReport, kde škodlivou verzi CPU-Z hostovali. Když uživatelé klikli na reklamu v Google Ads, byli přesměrováni na tento falešný web. Zajímavým aspektem kampaně je, že útočníci implementovali sofistikovaný mechanismus pro detekci ochranných crawlerů Google a těm zobrazovali web neškodný. Ostatním byl ke stažení nabídnut digitálně podepsaný MSI instalátor obsahující „FakeBat“ loader napsaný v Powershellu. Ten po spuštění na počítač dotáhl Redline Stealer, malware vykrádající citlivé informace (hesla, cookies, VPN přístupy, kryptopeněženky apod.).

Vývojáři pozor na malware v PyPI

Na systémy vývojářů se opět snažil prodat malware prostřednictvím repozitáře PyPI. Maskován jako součást nástroje pro obfuskaci kódu se na jejich systémy dostal malware BlazeStealer. Ten si pak dostahoval další kusy kódu až do stavu, kdy přes Discord bota mohli útočníci zcela ovládnout počítač oběti.

Kampaň byla spuštěna v lednu 2023 a zahrnuje celkem osm balíčků: Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse a pyobfgood.

Na GitHubu vám s pull requesty pomůže AI

Spravujete svůj kód přes GitHub? Pokud ano, čeká vás do budoucna zajímavé zlepšení. Server Maginative.com popisuje, jaké změny se chystají. Ve dvacetivteřinovém videu uvidíte, jak GitHub zkontroloval váš kód přes CodeQL, našel zranitelnosti a rovnou je popsal. K dané zranitelnosti rovnou navrhuje úpravu, kterou stiskem tlačítka můžete přijmout – v tomto případě původní kód neomezoval rychlost přístupu do databáze, kterou umělá inteligence snadno napravila.

Kromě toho GitHub lépe vyhledává hesla, pokud je omylem zapomenete z veřejného kódu smazat a do třetice se můžete pokochat nad generátorem regulárních výrazů. Místo abyste se pachtili se správnou syntaxí která by vypíchla zapomenuté tokeny, stačí když popíšete, jak takový token vypadá a dáte příklad. AI pak připraví návrh regulárního výrazu, který můžete zkontrolovat.

Kritická zranitelnost Confluence (Atlassian)

Confluence, široce používaný nástroj pro podporu týmové spolupráce a sdílení informací obsahuje kritickou chybu CVE-2023–22518. Chyba umožňuje neautorizovanému útočníkovi několika jednoduchými HTTP požadavky založit vlastního uživatele s právy administrátora. Zranitelné jsou všechny instance Confluence Data Center a Confluence server. Aktualizujte na verze 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1.

Podle Microsoft Threat Intelligence týmu je zranitelnost zneužívána už od 14. září. Je tedy vhodné překontrolovat, zda se v systému neobjevily nové neočekávané účty, noví neočekávaní uživatelé ve skupině confluence-administrators, a zda nejsou nainstalovány nové neznámé pluginy (například web.shell.Plugin). Také je nutné ověřit přístupy k /json/setup-restore*  v logu.

Změny v nastavení výchozích pravidel Windows firewallu pro SMB

Firewall Windows Defenderu ve Windows 11 už nebude přidávat některá pravidla při vytváření nových SMB sdílení. Od Windows XP SP2 se při vytváření SMB sdílení automaticky nastavovala pravidla v rámci skupiny „Sdílení souborů a tiskáren“ pro dané profily firewallu. Od verze v Insider Preview Build 25992 se při vytváření SMB sdílení automaticky konfiguruje nová skupina „File and Printer Sharing (Restrictive)“, která již neobsahuje vstupní porty NetBIOS 137–139.

Tato změna by měla zvýšit míru výchozího zabezpečení a přiblížit pravidla firewallu k chování role „File Server“ ve Windows Server. Další novinky představují seznam výjimek pro blokování SMB NTLM, alternativní klientské a serverové porty SMB a možnost využití SAN v certifikátech SMB over QUIC.

Microsoft informuje o možných opatřeních pro zvýšení bezpečnosti voleb

V nedávném hodnocení hrozeb varovala společnost Microsoft před potenciálními bezpečnostními volebními hrozbami pro příští rok. Kromě toho představila sadu bezpečnostních doporučení zaměřených na zvýšení ochrany volebních procesů ve Spojených státech a dalších zemích s klíčovými volbami pro rok 2024. Mezi těmito doporučeními se nachází například zajištění, že informace, které se dostanou k voličům, jsou důvěryhodné a pomohou kandidátům odhalovat a řešit obsah generovaný umělou inteligencí nebo zajištění bezpečných volebních nástrojů pro volební orgány.

Microsoft také sám představuje několik iniciativních kroků, například „Content Credentials as a Service“, umožňující uživatelům digitálně podepisovat a ověřovat média prostřednictvím digitálního vodoznaku s cílem zajistit větší autenticitu obsahu. Také by chtěl vytvořit takzvaný „Election Communications Hub“, pomocí něho by chtěli poskytovat důležité informace a podporu demokratickým vládám po celém světě a zlepšit budování bezpečných volebních procesů. Microsoft navíc uvedl, že bude podporovat legislativní změny na ochranu kampaní a volebních procesů před takzvanými deepfaky vytvářenými pomocí umělé inteligence.

Vlády se shodly na koordinovaném boji proti ransomwaru

Členové Mezinárodní iniciativy proti vyděračskému softwaru (ICRI, International Counter Ransomware Initiative) tvrdí, že postoj vůči hrozbám spojeným s ransomwarem má být mezinárodně jednotný a vlády by v žádném případě neměly platit výkupné požadované kyberzločineckými skupinami.

ICRI se rovněž dohodla na vytvoření sdílené černé listiny, v rámci které by byly zveřejněné údaje o nelegálních peněženkách používaných provozovateli ransomwaru. Mezi členy ICRI patří kromě Evropské unie také USA, Kanada, Velká Británie, Austrálie či Indie. Na iniciativě se rovněž podílí Interpol.

Nové hrozby ve kvantové výpočetní technice

V našem stále více propojeném světě je bezpečný přenos citlivých informací prvořadý. Kryptografie je základem moderní digitální bezpečnosti – od zabezpečení osobních rozhovorů až po ochranu kritické infrastruktury. Konvenční kryptografické metody odolávají zkoušce času a neúprosnému náporu kybernetických hrozeb již desítky let.

ict ve školství 24

Na obzoru je však nový protivník – kvantové počítače. Tato technologie, často označovaná za revoluční skok ve výpočetním výkonu, hrozí podkopáním samotných základů současné kryptografie. S tím, jak kvantová revoluce nabírá na obrátkách, se odborníci na kybernetickou bezpečnost a technologové ptají, zda je kryptografie, jak ji známe, nástupem kvantových počítačů ohrožena.

Ve zkratce

Pro pobavení

Bezpečné to je, jen dokud nepřijde uživatel

Zdroj: Instagram

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.