Știrile săptămânii din cybersecurity (08.06.2023)
Actualizări de securitate lunare pentru Android
Google a lansat actualizările de securitate lunare pentru Android, abordând 56 de vulnerabilități.
Printre vulnerabilităție reparate este inclusă vulnerabilitatea de severitate ridicată CVE-2022-22706, specifică Mali GPU kernel driver din cadrul Arm. Conform Google Threat Analysis Group, există indicii pentru exploatarea limitată a vulnerabilității în cadrul unei campanii cu spyware ce vizează dispozitivele Samsung. În plus, CISA a subliniat exploatarea vulnerabilității în martie 2023, în timp ce Samsung a abordat vulnerabilitatea ca parte a actualizărilor din mai 2023.
De asemenea actualizările lansat de Android abordează cinci vulnerabilități de severitate critică, trei fiind pentru executarea codului de la distanță, specifice Android Framework și Android System și afectând Android 11, 12 sau 13, în timp ce două vulnerabilități sunt de tip necunoscut și impactează componentele closed-source Qualcomm.
Grupul de ransomware Clop a lansat note de șantaj către victime
În urma exploatării vulnerabilității CVE-2023-34362, afectând MOVEit, un instrument de transfer de fișiere, grupul de ransomware Clop ar fi reușit să pătrundă în sistemele informatice ale unor mai multor companii din jurul lumii, transmițând note prin care informează că în cazul nerelizării unei plăți, fișierele furate de la companii vor fi publicate.
Conform grupului Clop, „sute” de companii ar fi afectate. Printre victime se află Zellis, o firmă ce furnizează servicii de salarizare și prin intermediul căreia au fost compromise companii precum BBC, British Airways, sau Aer Lingus. De asemenea, guvernul provinciei canadiene Nova Scotia și Universitatea Rochester din New York sunt victime ale exploatării vulnerabilității MOVEit.
Un atac cibernetic afectează mai multe servicii guvernamentale în Martinica
Martinica se confruntă cu un atac cibernetic lansat la 16 mai 2023, ce „a perturbat puternic activitățile comunității și a afectat direct utilizatorii și partenerii”, conform Consiliului Regional al Martinicăi.
Atacul cibernetic a întrerupt accesul la internet în colegii și licee și a afectat servicii financiare asociate cu plata facturilor sau ajutoare sociale, acestea realizându-se pe hârtie din cauza indisponibilității platformelor online. De asemenea, site-ul guvernului local a devenit indisponibil.
Conform Databreaches.net, actorul responsabil pentru atacul cibernetic ar fi grupul de ransomware Rhysida, care și-a asumat resposabilitatea pentru incident și a publicat toate fișierele furate, majoritatea incluzând date guvernamentale.
Actualizare de securitate pentru o vulnerabilitate zero-day a Chrome
La 5 iunie 2023, Google a lansat o actualizare prin care abordează CVE-2023-3079, o vulnerabilitate zero-day de severitate ridicată a browser-ului Chrome. Vulnerabilitatea este de tip type confusion, specifică V8 JavaScript engine și poate permite unui atacator să exploateze heap corruption prin intermediul unei pagini HTML special create.
În plus, vulnerabilitatea ar fi exploatată activ iar Google nu a oferit foarte multe detalii despre atacuri, dar a indicat că există un exploit specific vulnerabilității.
Pentru evitarea potențialelor atacuri, este recomandată actualizarea Chrome la versiunea 114.0.5735.110 pentru Windows și 114.0.5735.106 pentru macOS și Linux. În cazul browserelor Chromium-based, este recomandată aplicarea actualizărilor de îndată ce acestea devin disponibile.
Actualizări BIOS ale Gigabyte pentru eliminarea unui backdoor din sute de plăci de bază
Compania Gigabyte a anunțat lansarea unor actualizări BIOS pentru eliminarea unei funcții backdoor descoperită de cercetătorii de la Eclypsium la peste 270 de plăci de bază Gigabyte.
Firmware-ul componentelor produc un binar Windows executat la boot-up pentru a obține și executa un payload de pe serverele Gigabyte, reprezentând o funcție a Gigabyte App Center. Nu au fost identificate indicii de exploatare activă a backdoor-ului.
Gigabyte a anunțat că sunt disponibile Beta BIOS pe website-ul oficial pentru seriile Intel 700/600 și AMD 500/400 și actualizări BIOS pentru seriile Intel 500/400 și AMD 600.
Peste 60,000 de aplicații adware vizează dispozitivele Android
Compania Bitdefender a descoperit peste 60,000 de aplicații ce sunt prezentate ca versiuni modificate sau cracked ale unor aplicații precum Netflix, YouTube, PDF viewers, VPN, jocuri, sau software de securitate, dar care conțin adware. Aplicațiile nu sunt distribuite prin Google Play Store, ci prin surse terțe identificate prin motoarele de căutare.
Pentru evitarea detecției, aceste aplicații nu au o icoană sau nume și, la prima lansare a aplicației, utilizatorii primesc mesajul „Application is unavailable in your region from where the app serves. Tap OK to uninstall”, activând funcții malițioase în background.
Malware SpinOk identificat în 193 de aplicații Android cu peste 30 de milioane de instalări
Cercetătorii de la CloudSEK au identificat 193 de aplicații pentru Android ce conțineau malware-ul SpinOk, 43 dintre acestea fiind disponibile pe Google Play Store săptămâna trecută, la momentul descoperirii.
Conform cerecetătorilor, SpinOk a fost distribuit printr-un SDK utilizat de dezvoltatorii de aplicații pentru premii zilnice în aplicații. În background, malware-ul poate fi utilizat pentru a fura fișiere sau pentru a înlocui conținut din clipboard.
În acest context, un reprezentant al Google a indicat că sunt luate măsuri împotriva aplicațiilor ce conțin SpinOk SDK.
FBI avertizează că tehnologia deepfake este utilizată pentru fraude de tip sextortion
Conform unui avertisment publicat la 5 iunie 2023 de FBI, atacatorii folosesc fotografii și videoclipuri publicate pe conturile de social media ale potențialelor victime pentru a genera conținut explicit cu ajutorul unor instrumente bazate pe inteligență artificială.
În acest context, atacatorii folosesc conținutul explicit pentru a șantaja victima prin trimiterea conținutului direct către victimă și amenințând cu publicarea acestuia în cazul în care nu este furnizată o sump de bani, sau publicându-l direct pe social media sau site-uri pornografice pentru a pune presiune pe victimă, situație în care eliminarea conținutului poate fi foarte dificilă.
În cadrul avertismentului, FBI a furnizat multiple recomandări, fiind incluse monitorizarea activității online a copiilor (având în vedere că în astfel de fraude au fost implicați minori); evaluarea conținutului personal publicat online; sau realizarea frecventă a căutărilor online care să includă informații precum numele, adresa sau numărul de telefon, pentru a identifica potențiala expunere a informațiilor personale pe internet.
