Postřehy z bezpečnosti: vyděrači zneužívají koronavirus

Europol zatýká

Europol zatkl 26 podvodníků se SIM kartami kvůli krádeži více než 3 milionu dolarů. Jednalo se o 12 lidí ze Španělska a 14 z Rumunska, kteří byli zatčeni v průběhu spojené operace proti dvěma různým skupinám podvodníků se SIM kartami. Podvodníci použili tzv. „SIM swapping attack“, při kterém se pomocí sociálního inženýrství snaží přemluvit telekomunikačního operátora k výměně SIM karty (resp. k vydání nové k témuž telefonnímu číslu).

Následně mají podvodníci přístup k příchozím voláním, textovým zprávám a jednorázovým bezpečnostním kódům, které bývají použité při dvoufaktorovém ověřování např. při přístupu k internetovému bankovnictví. Pokud máte podezření na to, že jste obětí výše popsaného útoku, kontaktujte co nejdříve svého poskytovatele služeb, sledujte transakce na svém bankovním účtu a okamžitě změňte hesla.

Nový vyděračský software

Bezpečnostní experti z MalwareHunterTeam odhalili nový vyděračský software zvaný Coronavirus, který byl distribuován prostřednictvím škodlivého webu, který inzeroval legitimní software pro systémovou optimalizaci a nástroje od WiseCleaner. Webová stránka distribuovala soubor WSHSetup.exe, který slouží ke stažení jak vyděračského software Coronavirus, tak trojského koně Kpot, sloužícího jako zloděj hesel.

Kpot se zaměřuje na odcizování hesel z prohlížečů, programů pro výměnu zpráv, emailů, VPN, RDP, FTP, kryptoměnového a herního software. Škodlivý software je také schopen dělat snímky obrazovky a vyděračský software přejmenuje jednotku C: na Coronavirus a po restartu zobrazí zamčenou obrazovku s vyděračským textem.

Záplaty od Adobe

Adobe vydal kolekci aktualizací software, která záplatuje celkem 41 zranitelností v 6 jejích produktech. Aktualizace záplatují kritické a důležité zranitelnosti, jejichž zneužití umožňuje spuštění libovolného kódu v kontextu aktuálního uživatele.

Zranitelnosti jsou v následujících produktech:

• Genuine Integrity Service
• Acrobat and Reader
• Photoshop
• Experience Manager
• ColdFusion
• Bridge

Agresivní sledovací aplikace

Výzkumníci dávají červenou distribuci agresivní sledovací aplikace zvané Monitor Minor. Výzkumníci oznámili, že verze aplikace pro Android dává sledovačům absolutní kontrolu cílového zařízení včetně zachycení odemykacího kódu telefonu.

Aplikace není dostupná prostřednictvím Google Play ani App Store, ale je prodávána online jakožto monitorovací nástroj pro sledování dětské aktivity na telefonu. Sledovací nástroj se umí nabourat do hlasové komunikace více než 12 aplikací včetně Gmailu, WhatsApp, Skype a Snapchat.

Nový modul botnetu Stantinko

Nový modul botnetu Stantinko, který slouží k těžení kryptoměn používá techniky utajení, z nichž některé ještě nebyly veřejně popsané:

• utajení řetězců – řetězce jsou konstruovány a přítomné pouze v paměti, když je potřeba je použít
• utajení řídícího toku – transformace řídícího toku do formy, která je obtížně čitelná a pořadí spouštění jednotlivých bloků je bez rozsáhlé analýzy obtížně predikovatelné
• mrtvý kód – přidání kódu, který není nikdy spuštěn (včetně funkcí, které jsou sice exportovány, ale nejsou nikdy volány), jehož účelem je, aby aplikace vypadala legitimně
• kód, který nic nedělá – kód, který je sice spuštěn, ale nemá vliv na celkovou funkcionalitu. Záměr je ten, aby se předešlo odhalení analýzou chování
• mrtvé řetězce a zdroje – přidání zdrojů a řetězců s žádným dopadem na celkovou funkcionalitu

Ve zkratce

• Soutěž Pwn2Own 2020
• Zneužívání koronaviru při útocích
• Emotet a Trickbot zneužívají zprávy o koronaviru
• Zlomyslné domény jsou vytvářeny každý den
• VMware záplatuje chyby ve svých produktech
• Cisco záplatuje svoje SD-WAN řešení
• Vývojáři Drupalu záplatují

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…