Hlavní navigace

Postřehy z bezpečnosti: „zip“ nově využíván při útocích nejen jako typ souboru

22. 5. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: PCWorld.com
V dnešním díle Postřehů se podíváme na zneužívání domén z TLD ZIP, ransomwarové skupiny využívající uniklý zdrojový kód ransomwaru Babuk nebo novou zranitelnost ve správci hesel KeePass.

Domény .ZIP v phishingových kampaních

Společnost Google si v posledních týdnech vysloužila kritiku mnohých členů bezpečnostní komunity v souvislosti se spuštěním registrací domén spadajících do top-level domény ZIP (a v menší míře za spuštění registrací domén spadajících do top-level domény MOV).

Vzhledem k všeobecně častému používání archivů typu ZIP se řada odborníků obávala zneužívání tohoto TLD v rámci phishingových útoků, neboť při jeho použití lze snadno zaměnit jména domén a souborů, v důsledku čehož by odkazy na domény .ZIP mohly být při útocích relativně efektivní.

Nebezpečná URL si lze v tomto případě představit mj. v souvislosti s „open redirect“ zranitelnostmi nebo v souvislosti s využitím možností předávat v rámci URL nejprve uživatelské jméno, pod nímž se chce uživatel přihlásit, a až následně jméno domény, v důsledku čehož mohou vznikat relativně důvěryhodně vyhlížející URL.

Přestože z dostupných analýz vyplývá, že prozatím je většina registrovaných domén ve zmíněném TLD ještě „zaparkovaná“ a značná část těch využívaných vede na obtěžující videa (resp. jsou využívány v rámci tzv. „rickrollingu“), v uplynulém týdnu se již objevily i (nijak překvapivé) zprávy o aktivním využívání těchto domén v rámci phishingových útoků.

Zmínku zaslouží, že na pozoru by se před doménami z TLD .ZIP zjevně měli mít i uživatelé z českých luhů a hájů, neb vybrané zajímavé „české“ domény (např. faktura.zip nebo zaloha.zip) byly již v době psaní tohoto příspěvku mezi registrovanými.

Uniklý zdrojový kód ransomwaru Babuk je stále využíván

Bezpečnostní tým Talos společnosti Cisco publikoval v pondělí analýzu aktivit nově identifikované ransomwarové skupiny RA Group, která dle jmenovaného týmu s vysokou pravděpodobností při útocích využívá zdrojový kód ransomwaru Babuk, který byl volně publikován v září 2021 na ruskojazyčném hackerském fóru.

Nejde přitom zdaleka o jedinou ransomwarovou skupinu, která tento zdrojový kód využívá. Specialisté ze společnosti SentinelOne publikovali v květnu vlastní analýzu, v rámci níž identifikovali celkem 10 skupin, které na základě uniklého zdrojového kódu vytvořily vlastní nástroje pro útoky na hypervisory VMware ESXi.

Zmínku zaslouží, že na zmiňovanou platformu cílí i aktivity v uplynulém týdnu nově identifikovaného ransomware-as-a-service programu označovaného jako MichaelKors.

Zranitelnost v KeePassu umožňuje získat heslo

Nově objevená zranitelnost v open source správci hesel KeePass 2.x, jíž bylo přiřazeno CVE-2023–32784, umožňuje za vybraných okolností vyčítat z obsahu operační paměti (případně ze stránkovacího souboru pagefil.sys, souboru hyberfil.sys apod.) „master“ heslo v čitelné podobě.

Záplata pro zmíněnou zranitelnost by měla být publikována počátkem června.

Vzhledem k tomu, že pro úspěšné získání master hesla musí útočník nejprve získat přístup k obsahu operační paměti, nelze zranitelnost považovat za extrémně významnou, i vzhledem k existenci volně dostupného proof-of-concept kódu pro její zneužití lze všem uživatelům jmenovaného správce hesel doporučit záplatu po jejím vydání aplikovat.

Apple zveřejnil počty zablokovaných aktivit v App Storu

Společnost Apple publikovala v uplynulém týdnu zprávu shrnující detekované a zablokované škodlivé chování ve svém obchodu App Store v průběhu roku 2022. Počty zablokovaných škodlivých aktivit, účtů a aplikací při tom dobře dokumentují vysokou míru snahy škodlivých aktérů o cílení na klienty zmiňované společnosti a o zneužívání obchodů s aplikacemi obecně.

Apple uvedl, že v průběhu loňského roku zablokoval vedle 428 000 podvodných vývojářských účtů i 282 milionů podvodných účtů klientských. Paralelně byla z různých důvodů odmítnuta publikace téměř 1,7 milionu aplikací, přičemž značné procento z nich bylo odmítnuto v souvislosti s bezpečnostními riziky (mj. se více než 400 000 aplikací pokoušelo neoprávněně získávat uživatelská osobní data a téměř 29 000 aplikací obsahovalo skryté nebo nedokumentované funkce). Zmínku rovněž zaslouží zablokování podvodných finančních transakcí ve výši přesahující 2 miliardy dolarů.

CS24 tip temata

Další zajímavosti

Pro pobavení

Rusko a Severní Korea představily v OSN společný návrh úmluvy o zajištění mezinárodní bezpečnosti v kyberprostoru

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.