Hlavní navigace

Postřehy z bezpečnosti: vyděrači zneužívají koronavirus

23. 3. 2020
Doba čtení: 3 minuty

Sdílet

V dnešním díle postřehů se podíváme na zneužívání situace kolem koronaviru, zatýkání podvodníků se SIM kartami Europolem, záplaty od Adobe a Cisco a na další zajímavosti ze světa výpočetní techniky.

Europol zatýká

Europol zatkl 26 podvodníků se SIM kartami kvůli krádeži více než 3 milionu dolarů. Jednalo se o 12 lidí ze Španělska a 14 z Rumunska, kteří byli zatčeni v průběhu spojené operace proti dvěma různým skupinám podvodníků se SIM kartami. Podvodníci použili tzv. „SIM swapping attack“, při kterém se pomocí sociálního inženýrství snaží přemluvit telekomunikačního operátora k výměně SIM karty (resp. k vydání nové k témuž telefonnímu číslu).

Následně mají podvodníci přístup k příchozím voláním, textovým zprávám a jednorázovým bezpečnostním kódům, které bývají použité při dvoufaktorovém ověřování např. při přístupu k internetovému bankovnictví. Pokud máte podezření na to, že jste obětí výše popsaného útoku, kontaktujte co nejdříve svého poskytovatele služeb, sledujte transakce na svém bankovním účtu a okamžitě změňte hesla.

Nový vyděračský software

Bezpečnostní experti z MalwareHunterTeam odhalili nový vyděračský software zvaný Coronavirus, který byl distribuován prostřednictvím škodlivého webu, který inzeroval legitimní software pro systémovou optimalizaci a nástroje od WiseCleaner. Webová stránka distribuovala soubor WSHSetup.exe, který slouží ke stažení jak vyděračského software Coronavirus, tak trojského koně Kpot, sloužícího jako zloděj hesel.

Kpot se zaměřuje na odcizování hesel z prohlížečů, programů pro výměnu zpráv, emailů, VPN, RDP, FTP, kryptoměnového a herního software. Škodlivý software je také schopen dělat snímky obrazovky a vyděračský software přejmenuje jednotku C: na Coronavirus a po restartu zobrazí zamčenou obrazovku s vyděračským textem.

Záplaty od Adobe

Adobe vydal kolekci aktualizací software, která záplatuje celkem 41 zranitelností v 6 jejích produktech. Aktualizace záplatují kritické a důležité zranitelnosti, jejichž zneužití umožňuje spuštění libovolného kódu v kontextu aktuálního uživatele.

Zranitelnosti jsou v následujících produktech:

  • Genuine Integrity Service
  • Acrobat and Reader
  • Photoshop
  • Experience Manager
  • ColdFusion
  • Bridge

Agresivní sledovací aplikace

Výzkumníci dávají červenou distribuci agresivní sledovací aplikace zvané Monitor Minor. Výzkumníci oznámili, že verze aplikace pro Android dává sledovačům absolutní kontrolu cílového zařízení včetně zachycení odemykacího kódu telefonu.

Aplikace není dostupná prostřednictvím Google Play ani App Store, ale je prodávána online jakožto monitorovací nástroj pro sledování dětské aktivity na telefonu. Sledovací nástroj se umí nabourat do hlasové komunikace více než 12 aplikací včetně Gmailu, WhatsApp, Skype a Snapchat.

root_podpora

Nový modul botnetu Stantinko

Nový modul botnetu Stantinko, který slouží k těžení kryptoměn používá techniky utajení, z nichž některé ještě nebyly veřejně popsané:

  • utajení řetězců – řetězce jsou konstruovány a přítomné pouze v paměti, když je potřeba je použít
  • utajení řídícího toku – transformace řídícího toku do formy, která je obtížně čitelná a pořadí spouštění jednotlivých bloků je bez rozsáhlé analýzy obtížně predikovatelné
  • mrtvý kód – přidání kódu, který není nikdy spuštěn (včetně funkcí, které jsou sice exportovány, ale nejsou nikdy volány), jehož účelem je, aby aplikace vypadala legitimně
  • kód, který nic nedělá – kód, který je sice spuštěn, ale nemá vliv na celkovou funkcionalitu. Záměr je ten, aby se předešlo odhalení analýzou chování
  • mrtvé řetězce a zdroje – přidání zdrojů a řetězců s žádným dopadem na celkovou funkcionalitu

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.