Știrile săptămânii din cybersecurity (10.02.2022)
Analiză a campaniei PrivateLoader PPI
Cercetătorii de la Intel471 au realizat un studiu al PrivateLoader, un downloader modular conectat la un serviciu neidentificat de pay-per-install (PPI). PrivateLoader este livrat sub forma unei arhive .zip prin intermediul unor site-uri care pun la dispoziție software piratat.
Ulterior, prin PrivateLoader sunt răspândite alte tipuri de malware precum banking trojan, information stealers sau ransomware, având ca exemple concrete Qbot, Kronos, Vidar sau LockBit.
Activarea 2FA a scăzut cu 50% numărul de conturi Google compromise
În urma activării opțiunii de autentificare prin doi factori (2FA) pentru 150 milioane de utilizatori Gmail și 2 milioane de conturi pentru Youtube creators, Google susține că a observat o scădere de 50% a numărului de conturi compromise.
Astfel, în 2022, Google intenționează să continue inițiativa de conștientizare a beneficiilor 2FA și să activeze opțiunea pentru mai mulți utilizatori.
Hackeri sponsorizați de China, responsabili pentru atacul BEC împotriva News Corp
În urma unui atac „business email compromise” (BEC) din 20 ianuarie 2022, News Corp, o companie din industria media, a indicat că hackerii au obținut acces la date sensibile aparținând unor jurnaliști de la News UK, Wall Street Journal sau New York Post.
Conform firmei de securitate cibernetică Mandiant, atacul a reprezentat o acțiune de spionaj cibernetic pentru a obține informații utile intereselor Chinei.
Medusa și FluBot utilizează aceeași infrastructură de smishing
Conform unui studiu al ThreatFabric, Medusa și FluBot, troieni bancari pentru Android, utilizează aceeași infrastructură de smishing și realizează o campanie de infectări simultane.
Descoperit inițial în 2020 în urma unor atacuri împotriva unor instituții financiare din Turcia, Medusa vizează în prezent și ținte din Canada și S.U.A. Funcțiile actuale ale Medusa includ keylogging, accessibility event logging, streaming video și audio, furtul de fonduri din aplicațiile bancare.
Cercetătorii au observat o nouă funcție și la FluBot, aceea de a intercepta și manipula notificările de la anumite aplicații pentru Android, implicit, de a oferi răspunsuri automate la mesajele din aplicații precum WhatsApp pentru a răspândi link-uri de phishing.
O nouă campanie malițioasă se răspândește în Europa
Cercetătorii de la SecureList au publicat o analiză a campaniei Roaming Mantis, ce vizează dispozitivele Android și răspândește malware în principal prin smishing (SMS phishing).
Mesajele sunt de tipul „coletul dumneavoastră a fost livrat” și conțin link-uri care, în urma accesării, redirecționează victimele către pagini de phishing sau care răspândesc malware precum troianul Wroba.
Pe lângă țările vizate anterior, precum Japonia, Coreea de Sud și Taiwan, cercetătorii au descoperit extinderea campaniei în Germania și Franța.
Antifake, proiectul Amprenta Digitală: RANSOMWARE
Campaniile de ransomware sunt accentuate în preajma perioadelor electorale sau în contextul actualei crize sanitare, vizând cu precădere instituțiile guvernamentale și pe cele de interes public.
Acestea se corelează cu campaniile de dezinformare, având, deseori, obiective comune, precum: alimentarea neîncrederii în autorități și instituții, subminarea cunoașterii de tip expert, crearea instabilității politice și sociale prin exploatarea nesiguranței și a panicii. Mai multe despre acest tip de atac, în articolul de pe site.
'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar DNSC
