Știrile săptămânii din cybersecurity (13.04.2023)
Noi amenințări spyware care vizează jurnaliști și personalități politice
Experții în securitate cibernetică au avertizat cu privire la apariția unui spyware necunoscut anterior, cu capacități de hacking comparabile cu Pegasus al Grupului NSO, care a fost deja utilizat de clienți pentru a viza jurnaliști, personalități ale opoziției politice și un angajat al unui ONG.
Cercetătorii de la Citizen Lab de la Universitatea din Toronto au declarat că spyware-ul, care este realizat de o companie israeliană numită Quadream, a infectat telefoanele unor victime prin trimiterea unei invitații de calendar iCloud utilizatorilor de telefonie mobilă de la operatorii spyware-ului, care sunt susceptibile de a fi clienți guvernamentali.
Victimele nu au fost informate cu privire la invitațiile calendaristice, deoarece au fost trimise pentru evenimente înregistrate în trecut, făcându-le invizibile pentru țintele atacului. Astfel de atacuri sunt cunoscute sub numele de „zero-click” deoarece utilizatorii telefonului mobil nu trebuie să facă clic pe niciun link malițios sau să ia măsuri pentru a fi infectați.
Potrivit raportului Citizen Lab, instrumentul de hacking este comercializat de Quadream sub numele de Reign. Atacurile descoperite au avut loc între 2019 și 2021.
Angajații Samsung au furnizat, neintenționat, date sensibile serviciului de chatbot ChatGPT
Compania Samsung a suferit trei scurgeri de date cauzate de angajații săi care au partajat documente interne, inclusiv note de întâlnire și cod sursă cu serviciul de chatbot ChatGPT, deși în ghidul de utilizare al chatbot-ului, la punctul 8, OpenAI specifică ”nu partajați informații sensibile în conversațiile dvs.”.
Într-unul dintre cele trei incidente de introducere accidentală a informațiilor, unul dintre angajați a cerut ChatGPT să optimizeze secvențele de testare pentru identificarea defecțiunilor în cipurile pe care le proiectau, iar într-un alt caz, un angajat a folosit ChatGpt pentru a converti notele unei întâlniri într-o prezentare.
Samsung a trimis angajaților săi un avertisment cu privire la potențialele pericole ale scurgerii de informații confidențiale spunând că datele sunt imposibil de recuperat deoarece sunt stocate pe serverele OpenAI. De asemenea, compania a început să-și dezvolte acum propriul instrument AI pentru uz intern, dar angajații pot folosi doar solicitări ce sunt limitate la 1024 de octeți.
DNSC și Revolut îi sfătuiesc pe utilizatori să acorde mai multă atenție riscurilor legate de fraude și să trateze cu suspiciune mesajele care pretind că vin din partea unor companii și le solicită să comunice date personale. În perioadele în care consumatorii fac multe cumpărături - cum sunt sărbătorile sau pregătirile pentru mini-vacanțe sau vacanța de vară - se intensifică și activitatea infractorilor cibernetici, iar modalitățile de a atrage în capcană consumatorii sunt tot mai diverse. Educația financiară înseamnă nu numai să știm cum să obținem maximum de la banii noștri, ci și cum să ne protejăm fondurile personale de atacurile răufăcătorilor cibernetici.
„Capcanele s-au diversificat în ultimii ani și cu ajutorul tehnologiei, care avansează într-un ritm alert. Atacatorii se pot folosi, de exemplu, de inteligența artificială pentru a pune bazele unor scenarii din ce în ce mai plauzibile prin care determină potențialele victime să ofere date sensibile, mai ales date financiare. Textele sunt din ce în ce mai corect scrise și adaptate în limba română, astfel că unul dintre indiciile prin care un utilizator putea detecta o tentativă de phishing – textul plin de greșeli în limba română - nu mai este suficient astăzi”, explică Mihai Rotariu, Manager Direcția Comunicare, Marketing și Media al Directoratului Național de Securitate Cibernetică (DNSC).
Autoritățile mai arată că metoda preferată de atacatori este exploatarea contextului (sărbători naționale, evenimente importante la nivel național sau internațional, termene-limită pentru efectuarea unor acțiuni) și deghizarea lor în autorități (Poliție, Interpol, Europol, ANAF, DNSC) ori branduri cu reputație din diverse industrii.
Vulnerabilitatea Log4j este exploatată în noile atacuri proxyjacking
Echipa Sysdig de cercetare a amenințărilor a detectat o campanie caracterizată de o nouă tehnică de atac, denumită proxyjacking, în care atacatorii exploatează vulnerabilitatea Log4j (CVE-2021-44228) pentru accesul inițial, instalează un proxyware în sistemul victimei și apoi vând detaliile adreselor IP cu până la 10 USD pe lună pentru fiecare dispozitiv compromis.
”Log4j nu este singurul vector de atac pentru implementarea programelor malware de tip proxyjacking, dar numai această vulnerabilitate ar putea oferi, teoretic, un profit de peste 220.000 USD pe lună”, au declarat cercetătorii, care au menționat totodată că, potrivit Censys, peste 23.000 dintre sistemele vulnerabile la Log4j sunt accesibile de pe internet.
În campania descoperită de Sysdig, un atacator a vizat infrastructura Kubernetes, în special un serviciu Apache Solr, pentru a prelua controlul asupra containerului.
Grupul de analiză a amenințărilor (TAG) de la Google avertizează asupra grupării de criminalitate cibernetică ARCHIPELAGO, atacatori susținuți de Coreea de Nord, care vizează personalul guvernamental și militar, factorii de decizie, cadrele universitare și cercetătorii din mai multe țări, în special din Coreea de Sud și din SUA.
Lanțurile de atac orchestrate de ARCHIPELAGO implică utilizarea de e-mailuri de phishing care conțin link-uri malițioase ce redirecționează victima către pagini false de autentificare, concepute pentru colectarea de credențiale.
Cercetătorii TAG au început să urmărească gruparea din 2012 și, de-a lungul timpului, au observat schimbări în tacticile de phishing, un exemplu de campanie nouă atrăgând atenția la sfârșitul anului 2022, când atacatorii au folosit link-uri ce trimiteau către fișiere PDF unice și personalizate pentru fiecare victimă, găzduite în OneDrive. Fișierele pretindeau a fi mesaje de la Uniunea Federală de Credit al Departamentului de Stat prin care clienții erau anunțați că au fost detectate autentificări malițioase în conturile lor Google și că trebuie să acceseze un link din PDF pentru a verifica activitatea din cont.
Atacatorii au folosit, de asemenea, extensii Chrome malițioase în combinație cu phishing și malware, cea mai recentă fiind SHARPEXT care poate analiza e-mailurile din Gmail sau AOL Mail și le poate exfiltra într-un server controlat de atacator.
Scutul anti-phishing din Belgia a prevenit, în 2022, 14 milioane de click-uri periculoase
Aproximativ 14 milioane de click-uri către site-uri web malițioase au fost evitate în 2022 datorită unui sistem dezvoltat de Centrul Belgian pentru Securitate Cibernetică (CCB) în scopul de a avertiza utilizatorii de internet, în timp real, cu privire la posibile site-uri web frauduloase.
”Prin implicarea publicului larg, în 2022 au fost evitate până la 14 milioane de click-uri către site-uri web suspecte. Acest lucru echivalează cu aproximativ 25 de alerte/minut pentru utilizatorii de internet.” a declarat CCB.
Publicul are la dispoziție adresa de e-mail [email protected] unde CCB încurajează utilizatorii de internet să raporteze mesajele e-mail suspecte, astfel că, în 2022, 6 milioane de mesaje au fost redirecționate către adresa de e-mail și au fost detectate 665.000 adrese URL suspecte.
CCB declară că rata de succes a adresei [email protected] este în creștere în 2023, utilizatorii redirecționând, în medie, până la 30.000 de mesaje suspecte pe zi.
CCB, împreună cu furnizorii de servicii de internet Belnet, Proximus, Telenet și Orange au dezvoltat un sistem și o procedură pentru a alerta utilizatorii de internet, în timp real, asupra site-urilor web malițioase și au numit acest sistem, unic în Europa, Belgium Anti-Phishing Shield (BAPS).
O nouă campanie de phishing impersonează platforma YouTube
YouTube, care are peste 2,5 miliarde de utilizatori lunar, a publicat un avertisment prin care informează că există mai multe reclamații privind o campanie de phishing în plină desfășurare ce impersonează chiar platforma de partajare video.
Expeditorul e-mailuri-lor malițioase pare a fi no-reply@youtube[.]com, un cont YouTube autentic, iar în mesaj victima este anunțată că platforma își va schimba regulile și politicile de generare a veniturilor, e-mailul conținând un videoclip și un link către Google Drive la accesarea căruia victimei i se solicită credențialele de conectare pe Youtube. Victimelor li se cere să revizuiască și să accepte noile reguli în termen de șapte zile, în caz contrar accesul acestora va fi restricționat, conform mesajului malițios.
S-ar părea că atacatorii abuzează de caracteristica YouTube ”Share Video by Email” care permite utilizatorilor să-și partajeze videoclipurile private prin canalul oficial de notificare via e-mail al platformei.
Experții recomandă utilizatorilor să fie vigilenți atunci când furnizează informații sensibile, în special când este vorba despre acreditări. De asemenea, utilizatorii sunt sfătuiți să verifice autenticitatea oricărui e-mail sau link scanându-le cu un software de securitate autentic.
Peste un milion de site-uri WordPress infectate în campania Balada Injector
Cercetătorii Sucuri au publicat un amplu raport în care dezvăluie că peste un milion de site-uri web WordPress au fost infectate cu malware într-o campanie în curs de desfășurare, activă de aproximativ 5 ani, pe care au numit-o Balada Injector și prezintă diferitele metode și abordări folosite pentru infectarea site-urilor web.
Atacurile au fost observate cu o frecvență de un val de infecții pe lună, cel mai recent dintre acestea fiind observat în urmă cu doar câteva zile, atacatorii vizând plugin-ul Elementor Pro pentru WordPress.
Caracteristicile obișnuite ale acestei campanii sunt utilizarea de domenii nou înregistrate care găzduiesc scripturi malițioase pe subdomenii aleatorii și redirecționări către diverse site-uri frauduloase.
Campania folosește mai multe metode de atac, cum ar fi exploatarea vulnerabilităților, bruteforce și mai multe metode de injectare precum injectarea HTML, database, PHP în fișierele principale WordPress sau JavaScript în fișiere .js.
Vulnerabilitățile în temele și plugin-urile WordPress pot permite unui atacator să injecteze cod sau să obțină acces neautorizat la site și ulterior să ajungă la nivelul la care sunt posibile injecțiile de cod. În atacurile Balada Injector sunt exfiltrate informațiile, inclusiv fișierele de configurare, acreditările bazei de date, jurnalele de acces, arhivele de rezervă și alte date sensibile. Raportul cuprinde și recomandări de atenuare a amenințării.
O grupare de criminalitate cibernetică nou apărută, denumită ”Money Message”, susține că a furat codul sursă și bazele de date CTMS și ERP ale producătorului taiwanez de piese pentru PC-uri, Micro-Star International (MSI).
MSI produce plăci de bază, plăci grafice, desktop-uri, laptop-uri, servere, sisteme industriale, periferice pentru PC și produse de infotainment și are un venit anual de peste 6,5 miliarde de dolari.
Atacatorii au listat MSI pe site-ul lor de scurgeri de date și au anunțat că îi acordă MSI cinci zile pentru plata unei răscumpărări de 4 milioane de dolari, în caz contrar amenință că vor publica 1,5 TB de date furate.
Colegul nostru Mihai Rotariu, manager Comunicare, Marketing și Media DNSC, a fost ieri la Știrile ProTV pentru a oferi utilizatorilor o serie de sfaturi esențiale despre cum se pot proteja de tentativele de fraudă din preajma sărbătorilor, cum pot face cumpărături în siguranță online și ce instrumente gratis au la dispoziție pentru a verifica securitatea link-urilor sau atașamentelor, dar și reputația magazinelor online.
Fiți vigilenți în această perioadă și rămâneți 100% concentrați pe ceea ce faceți în mediul online, mai ales când urmează să furnizați date sensibile! Atenția distributivă poate duce la erori. Antrenați-vă pentru a depista cele mai pregnante amenințări de pe internet pe site-ul proiectului național de conștientizare #SigurantaOnline, lansat și derulat de DNSC, Asociația Română a Băncilor (ARB) și Poliția Română: https://sigurantaonline.ro
Apple lansează actualizări pentru remedierea unei perechi de vulnerabilități de tip zero-day
Două vulnerabilități de securitate de tip zero-day au fost remediate de Apple vineri, 8 aprilie 2023, prin lansarea de actualizări de securitate pentru iPadOS, macOS și iOS.
Cele două vulnerabilități sunt identificate prin CVE-2023-28205, găsită în WebKit și care ar putea duce la execuția arbitrară de cod la procesarea conținutului web special creat, respectiv CVE-2023-28206 care afectează IOSurfaceAccelerator și care, în cazul exploatării cu succes, poate oferi atacatorilor cel mai înalt nivel de acces la dispozitivul țintă.
Actualizările de securitate sunt disponibile în versiunile iOS 16.4.1, iPadOS 16.4.1, macOs Ventura 13.3.1 și Safari 16.4.1 și acoperă o gamă largă de dispozitive, lista acestora incluzând iPhone 8 și versiunile ulterioare, toate modelele de iPad Pro, Mac-uri ce rulează macOS Ventura, Big Sur și Monterey, a treia generație de iPad Air și versiuni ulterioare, a cincea generație de iPad și versiuni ulterioare, precum și a cincea generație de iPad mini și versiuni ulterioare.
De la începutul anului 2023 Apple a remediat trei vulnerabilități de tip zero-day, prima dintre acestea, CVE-2023-23529, ce afectează WebKit și ar putea duce la execuția arbitrară de cod fiind abordată în februarie.
Cercetători din China și din SUA au publicat detalii despre o vulnerabilitate de securitate a unităților de procesare a rețelei (NPU) din chipset-urile Qualcomm și HiSilicon aflate în cel puțin 55 de modele de routere Wi-Fi.
Vulnerabilitatea, identificată prin CVE-2022-25667, împiedică dispozitivele să blocheze mesajele ICMP falsificate, iar aceste mesaje pot fi folosite pentru deturnarea și observarea conectivității wireless a victimei.
ICPM este un protocol utilizat pentru diagnosticarea problemelor de trafic în rețea și este folosit, în principal, pentru raportarea erorilor.
Noi completări aduse catalogului KEV al CISA
CISA a adăugat vineri, 7 aprilie 2023, încă cinci vulnerabilități de securitate la catalogul său KEV, în baza dovezilor de exploatare activă.
Trei dintre cele cinci rezidă în software-ul Veritas Backup Exec Agent, sunt de severitate mare, au fost remediate în martie 2021, iar într-un raport publicat de Mandiant pe 3 aprilie 2023 a fost dezvăluit faptul că un afliliat al operațiunii BlackCat, urmărit sub denumirea UNC4466, exploatează aceste trei vulnerabilități identificate prin CVE-2021-27876 (scor CVSS: 8,1), CVE-2021-27877 (scor CVSS: 8,2) și CVE-2021-27878 (scor CVSS: 8,8).
A patra vulnerabilitate adăugată de CISA la catalogul său afectează Microsoft Windows Certificate Dialog, este identificată prin CVE-2019-1388 (scor CVSS: 7,8) și ar putea fi exploatată de un atacator pentru a rula procese cu permisiuni ridicate pe o gazdă deja compromisă.
De asemenea, CISA a completat catalogul cu CVE-2023-26083, o vulnerabilitate de dezvăluire a informațiilor in driverul kernel GPU Arm Mali despre care Grupul de analiză a amenințărilor de la Google (TAG) a făcut cunoscut, la sfârșitul lunii martie, că ar fi abuzată de un furnizor de spyware pentru a pătrunde în smartphone-urile Android Samsung.
Microsoft remediază un total de 97 de vulnerabilități de securitate
Microsoft a lansat actualizările Patch Tuesday din luna aprilie, ocazie cu care a abordat un total de 97 de vulnerabilități de securitate, dintre care una a fost deja exploatată activ, deci o vulnerabilitate de tip zero-day, iar șapte dintre ele sunt considerate critice.
Vulnerabilitatea de tip zero-day este identificată prin CVE-2023-28252, are un scor CVSS de 7,8 și este o eroare de escaladare a privilegiilor în driverul Windows Common Log File System (CLFS).
”Un atacator care exploatează cu succes această vulnerabilitate poate obține privilegii de SISTEM” se arată în avizul Microsoft, CISA adăugând vulnerabilitatea la catalogul său KEV și ordonând agențiilor federale să remedieze eroare până pe 2 mai 2023.
De asemenea, sunt abordate vulnerabilități critice de execuție a codului de la distanță care afectează DHCP Server Service, Raw Image Extension, Winods Point-to-Point Tunneling Protocol, Windows Pragmatic General Multicast, MSMQ și L2TP.
Microsoft a lansat și actualizarea cumulativă Windows 11 KB5025239 pentru versiunea 22H2.
Sophos remediază trei vulnerabilități de securitate
Sophos a lansat actualizări de securitate care abordează trei vulnerabilități ale aplicației Sophos Web, cea mai gravă dintre acestea fiind identificată prin CVE-2023-1671 (scor CVSS:9,8), o vulnerabilitate critică ce ar putea permite unui atacator execuția codului, celelalte fiind identificate prin CVE-2022-4934, o problemă de execuție a codului de mare severitate, respectiv CVE-2020-36692, o defecțiune XSS de severitate medie.
Sophos Web Appliance este o soluție de securitate web ce permite administratorilor să creeze, să aplice și să gestioneze politicile de acces web dintr-o singură interfață, iar vulnerabilitățile au fost remediate odată cu lansarea Sophos Web Appliance versiunea 4.3.10.4.
Actualizările sunt livrate automat utilizatorilor Sophos Web Appliance, iar utilizatorii ar trebui să plaseze dispozitivul în spatele unui firewall și să blocheze accesul acestuia la internet.
Datorită faptului că aplicația va ajunge la sfârșitul vieții (EoL) pe 20 iulie 2023, Sophos recomandă clienților Web Appliance să migreze la Sophos Firewall.
Am intrat în perioada sărbătorilor pascale, iar infractorii cibernetici vor încerca să exploateze acest context pentru a-și perfecționa tehnicile de atac. În aceste săptămâni, utilizatorii fac de obicei mai multe cumpărături online, operează mai multe tranzacții financiare pe internet și primesc colete, dar mai ales mesaje de felicitare din partea familiei sau a prietenilor.
De parea cealaltă, atacatorii se pot deghiza în autorități, retaileri online, bănci ori pot asuma chiar identitatea unor conturi de social media, pentru a fura date de la potențialele victime. Păstrați-vă vigilența atunci când activați online și urmează să introduceți date personale, date financiare sau date de autentificare! Asigurați-vă că sunteți 100% prezenți și concentrați pe ceea ce aveți de făcut, verificând în tot acest timp:
- Sursa reală a mesajelor primite. Atunci când aveți suspiciuni, contactați expeditorul mesajului pe un canal separat de comunicare
- Link-urile și atașamentele primite prin mesaje sau email-uri, înainte de a le accesa. Folosiți o soluție de tip antivirus pe fiecare dispozitiv. Puteți utiliza și soluții de securitate disponibile gratis online, precum https://www.virustotal.com
- Domeniul site-ului pe care urmează să introducem date. De multe ori atacatorii lansează site-uri-clonă, care arată similar cu cele originale (site-ul băncii, de exemplu), dar care sunt găzuite pe pagini de internet compromise sau nou-create, care au o denumire total diferită de sursa originală. Pentru siguranță, introduceți manual în bara de adrese site-ul pe care doriți să îl vizitați
- Reputația site-ului de pe care doriți să faceți cumpărături. Pentru că există mai multe elemente de securitate pe care ar trebui să le luați în considerare (existența unui certificat de securitate, recenzii ale utilizatorilor, existența unei politici clare de retur a produsului, etc.), puteți folosi un instrument gratis online pentru a scana aceste site-uri: https://www.scamadviser.com Dacă rating-ul site-ului analizat este unul scăzut, evitați-l.
