RSS

Tag Archives: Malware

Τι ξέρουμε μέχρι στιγμής για την κυβερνοεπίθεση Petya;

Η κυβερνοεπίθεση Petya, που ξεκίνησε χθες εναντίον στόχων στην Ευρώπη, μόλυνε τις τελευταίες ώρες χιλιάδες ηλεκτρονικούς υπολογιστές με ransomware, με δεκάδες χρήστες να έχουν μάλιστα πληρώσει ήδη τα λύτρα για να ανακτήσουν τα πολύτιμα δεδομένα τους. Όμως, ευτυχώς, αντίθετα από το WannaCry, το Petya δεν φαίνεται να είναι τόσο εύκολο να μεταδοθεί, αφού σύμφωνα με αρκετούς αναλυτές είναι σχεδιασμένο ώστε να διαδίδεται κυρίως μέσω τοπικών δικτύων – κάτι που υποδηλώνει ότι οι δημιουργοί του μάλλον εξαρχής στόχευαν σε εταιρείες και γενικότερα μεγάλους οργανισμούς, που συνήθως διαθέτουν μεγάλα δίκτυα υπολογιστών.

Διαφέρει επίσης από το WannaCry και όσον αφορά στον τρόπο κρυπτογράφησης, αφού αντί να “επιτεθεί” απευθείας σε αποθηκευμένα δεδομένα, κρυπτογραφεί το Master Boot Record της μονάδας εκκίνησης ενός υπολογιστή, αποτρέποντας έτσι και την φόρτωση του λειτουργικού συστήματος.

Η αρχή και το τέλος του κακού

Πώς όμως ξεκίνησαν όλα; Οι κυβερνοεγκληματίες που βρίσκονται πίσω από την επίθεση κατάφεραν να αποκτήσουν πρόσβαση σε servers της ουκρανικής εταιρείας ανάπτυξης λογισμικού M.E.Doc και να μολύνουν με κακόβουλο φορτίο το update του MEDoc, ενός πολύ δημοφιλούς λογισμικού για λογιστική χρήση, που χρησιμοποιείται σε διάφορους τομείς στην Ουκρανία, μεταξύ των οποίων και σε χρηματοπιστωτικά ιδρύματα. Η διάθεση του συγκεκριμένου update στους χρήστες σήμανε ουσιαστικά και την αρχή της επίθεσης, κάτι το οποίο υποστηρίζουν, μεταξύ άλλων οι Microsoft και ESET. Ο Costin Raiu της Kaspersky εκτιμά πάντως, ότι υπήρξε και μια δεύτερη πηγή μόλυνσης, που πιστεύεται ότι είναι η επίσημη ιστοσελίδα της ουκρανικής πόλης Bahmut, στην οποία είχαν επιτεθεί hackers.

Δεν είναι τυχαίο, σύμφωνα με τα παραπάνω, ότι η επίθεση επικεντρώθηκε σε μεγάλο βαθμό στην Ουκρανία, καθώς και σε γειτονικές χώρες, όπως η Ρωσία. Το malware, αν και αξιοποιεί όπως και το WannaCry το exploit ETERNALBLUE, ενώ έχει και τη δυνατότητα υποκλοπής στοιχείων πρόσβασης, όπως αναφέρεται παραπάνω, δεν φαίνεται να έχει σχεδιαστεί ώστε να διαδίδεται μέσω του Internet, αν και θεωρητικά μπορεί να μολύνει απομακρυσμένα συστήματα μέσω δικτύων VPN, που πρακτικά προσομοιώνουν τη λειτουργία των τοπικών δικτύων.

Αυτή τη στιγμή αρκετοί αναλυτές ασφαλείας θεωρούν ότι η κυβερνοεπίθεση έχει πρακτικά ολοκληρωθεί, χωρίς ωστόσο να αποκλείουν ότι δεν θα επαναληφθεί με κάποια παραλλαγή του malware στο άμεσο μέλλον.

 

[via]

 
Leave a comment

Posted by on 29 June, 2017 in MinOtavrS blog

 

Tags: , , ,

Το πρώτο Android malware που μολύνει και μη-rooted συσκευές είναι ο εφιάλτης μας

Το Android OS είναι εξαιρετικά δημοφιλές παγκοσμίως και παρά τις προσπάθειες της Google να το διατηρήσει καθαρό και ασφαλές από απειλές, αυτό δεν είναι πάντα εφικτό.

Πριν λίγους μήνες ανέλαβε δράση ένα νέο malware, ονόματι Dvmap, το οποίο ήταν εξαιρετικά ικανό στο να μολύνει συσκευές αλλά και να παραμένει μη ανιχνεύσιμο. Το Dvmap είναι το πρώτο του είδους του καθώς χρησιμοποίησε την τεχνική του code injection, με απλά λόγια της εισαγωγής κακόβουλου κώδικα ακόμη και στα modules του ίδιου του λειτουργικό, σε πολύ “χαμηλό” επίπεδο, με αποτέλεσμα το malware να μπορεί να κρύβει τα ίχνη του αλλά και να κατεβάζει αρχεία, να εκτελεί executables και να προσβάλει σοβαρά την ασφάλεια των δεδομένων του χρήστη.

Το Dvmap ενσωματώθηκε σε αρκετές “καθαρές” εφαρμογές που ανέβηκαν στο Google Play και κατέβηκαν περίπου 50.000 φορές, κυρίως παιχνίδια, μολύνοντας στην πορεία τις συσκευές όπου εγκαταστάθηκαν. Οι δημιουργοί του ενσωμάτωναν το malware στα apps αυτά με τη μορφή updates, αφού πρώτα τα ανέβαζαν σαν “καθαρά”, ενώ περιοδικά ανέβαζαν ακόμη μια καθαρή έκδοση μέσω update για να παραπλανήσουν τους ερευνητές όπως την Kaspersky Lab που εντόπισε το Dvmap, αλλά και την ίδια την Google.

Εν τέλει το Dvmap αντιμετωπίστηκε με το κατέβασμα όλων των μολυσμένων εφαρμογών, αλλά πολλές από τις συσκευές Android που προαναφέραμε είναι ακόμη μολυσμένες και αυτό δε λύνεται παρά μόνο με full reset/data wipe. H ύπαρξη του Dvmap σημαίνει την αρχή μιας νέας εποχής για το Android malware και σίγουρα η Google θα πρέπει να λάβει επιπλέον μέτρα για την προφύλαξη των χρηστών, τα οποία όμως μπορεί να μεταφράζονται και σε μια πιο “κλειστή” πλατφόρμα, στο στυλ του iOS.

[via]

 
Leave a comment

Posted by on 14 June, 2017 in MinOtavrS blog

 

Tags: , , ,

Tο Fireball malware φέρεται να έχει μολύνει 250 εκατομμύρια υπολογιστές παγκοσμίως

Μια νέα εκστρατεία κυβερνοεγκλήματος φέρεται πως ξεκίνησε από την Κίνα και έχει επηρεάσει 250 εκατομμύρια υπολογιστές και 20 % των εταιρικών δικτύων παγκοσμίως, σύμφωνα με στοιχεία της Check Point security.

Το Fireball malware παίρνει εντολές από το digital marketing agency Rafotech με έδρα το Πεκίνο και λειτουργεί σαν browser hijacker και malware downloader. Η Rafotech εμφανίζεται να προσφέρει υπηρεσίες ψηφιακού marketing και gaming εφαρμογές σε 300 εκατομμύρια πελάτες. Χρησιμοποιεί το Fireball για να αλλάζει την search engine στον browser του χρήστη και να συλλέγει δεδομένα. Επιπλέον εγκαθιστά backdoor που επιτρέπει περαιτέρω επιθέσεις στο σύστημα, μετά την εγκατάσταση του.

Although Rafotech is presently using the Fireball for collecting data as well as monetary gain, a backdoor is provided by the malware which could be exploited for more attacks. Once it gets installed on the machine of a victim, the Fireball also can execute code on the device for stealing information or dropping more malware.

Another threat is contained by the Fireball: fake search engine comprises tracking the pixels used for collecting users’ private information, thus Fireball could further spy on the victims. Fireball turns out infectious, with huge infection rate. Largest infections proportions are in Mexico, Brazil, and India; and there are over 5.5Mn in United States. Based on global sensors of Check Point, percentages of the corporate networks that are affected were much more: Hit rates in US (10.7%) as well as China (4.7%) were alarming, and much more in Indonesia (60%), India (43%) and Brazil (38%).

Η απεγκατάσταση του είναι εύκολη, μέσω του Control Panel των Windows και του App Finder των Mac.

[via]

 
Leave a comment

Posted by on 8 June, 2017 in MinOtavrS blog

 

Tags: , , , , ,

Οι υπότιτλοι των ταινιών σας ίσως αποτελούν “Δούρειο Ίππο” για malware

 

Ένα νέο τρόπο κυβερνοεπίθεσης φαίνεται ότι ανακάλυψαν hackers, αφού σύμφωνα με την εταιρεία ασφαλείας Check Point, είναι πλέον εφικτή η κατάληψη ενός συστήματος μέσω κακόβουλων… υποτίτλων, οι οποίοι μπορούν να τρέξουν σε δημοφιλείς εφαρμογές αναπαραγωγής περιεχομένου, όπως τα Kodi, Popcorn Time και VLC media player.

Οι ερευνητές της Check Point έκρουσαν τον κώδωνα του κινδύνου, αφού εκτιμούν ότι αυτός ο τρόπος επίθεσης μπορεί να διαδοθεί ραγδαία, να γίνει εύκολα κατανοητός από επιτήδειους, ενώ είναι δύσκολη και η αντιμετώπισή του.

Η ενδεχόμενη ζημιά που μπορεί να προκαλέσει κάποιος εκτείνεται από την υποκλοπή ευαίσθητων δεδομένων, μέχρι την εγκατάσταση ransomware, ή την πραγματοποίηση μαζικών επιθέσεων Denial of Service”, αναφέρουν οι ερευνητές.

Μπορείτε να δείτε πώς λειτουργεί η νέα μέθοδος επίθεσης στο βίντεο που ακολουθεί:

 

[via]

 
Leave a comment

Posted by on 26 May, 2017 in MinOtavrS blog

 

Tags: , , , , ,

Νέο malware εισβάλει σε τράπεζες και οργανισμούς παγκοσμίως

Σύμφωνα με το Gizmodo ένας απόγονος του Stuxnet έκανε την εμφάνιση του σε τραπεζικά ιδρύματα και άλλους οργανισμούς παγκοσμίως.

Το malware που πήρε την κωδική ονομασία Duqu 2.0, δεν εντοπίζεται μετά την μόλυνση του server και χρησιμοποιείται για την κλοπή χρημάτων από λογαριασμούς.

Μετά την επιτυχή μόλυνση ενός συστήματος, το αποκαλούμενο fileless malware, στο επόμενο reboot μετονομάζει τον εαυτό του και διαγράφει κάθε είδος παρουσίας του.

Η Kaspersky εντόπισε μολύνσεις σε πάνω από 140 οργανισμούς εως τώρα και ίχνη του σε 40 χώρες, με 21 μολύνσεις να έχουν γίνει στις ΗΠΑ.

Σχετικά δημοσιεύθηκε αναφορά με περισσότερα στοιχεία να δίνονται τον Απρίλιο.

[via]

 
Leave a comment

Posted by on 12 February, 2017 in MinOtavrS blog

 

Tags: , , ,

Malware εγκαθίσταται μέσω χρήσης VPN σε Android

 

Σύμφωνα με μελέτες απο το πανεπιστήμιο του Berkeley και το πανεπιστήμιο New South Wales , πάνω απο 200 εφαρμογές διασύνδεσης VPN (Virtual Private Network) επάνω στην πλατφόρμα Android πολλές είναι προβληματικές έως τελείως επικίνδυνες.

Συγκεκριμένα απο την μελέτη 283 εφαρμογών ασφαλούς διαδικτύωσης VPN για την πλατφόρμα Android, προκύπτουν:

1. Το 18% των εφαρμογών αυτών κάνουν μόνο tunneling χωρίς καθόλου κρυπτογράφηση, με αποτέλεσμα να είναι “αναγνώσιμα” τα δεδομένα που υποτίθεται περνούν μέσω της “ασφαλούς” διασύνδεσης, είτε απο τους παρόχους είτε απο κρατικές υπηρεσίες.
2. Το 84% δεν κάνει tunneling σε κίνηση που αφορά IPv6
3. To 66% παρόλου που διακινεί τα δεδομένα μέσω του VPN, συνεχίζει όμως να χρησιμοποιεί απο την κανονική σύνδεση (δεν κάνει δηλαδή μέσω της ασφαλούς διασύνδεσης) την κίνηση που αφορά DNS requests. Που σημαίνει ότι είναι ανιχνεύσιμη η δραστηριότητα, σε ποιά sites/serves απευθύνεται ο χρήστης.
4. Πάνω απο το 38% των εφαρμογών αυτών, εγκαθιστά κάποιας μορφής malware, όχι απλά ad-ware. Αν και είναι πλέον συνηθισμένο φαινόμενο ότι υποτίθεται δωρεάν εφαρμογές συνοδεύονται απο διαφημίσεις εντός εφαρμογής κλπ, συνήθως αυτές είναι άλλες εφαρμογές κατασκευασμένες απο τρίτους ενσωματωμένες στην κανονική εφαρμογή, οπότε η ασφάλεια ή μη-ασφάλεια όσον αφορά την συνοδευτική – υποχρεωτική εφαρμογή, δεν μπορεί να ελεχθεί απο τον κατασκευαστή του αρχικού λογισμικού. Και μπορεί λοιπόν ναναι οτιδήποτε. Παρόλα αυτά είναι αξιοσημείωτο ότι ελάχιστοι χρήστες τέτοιων εφαρμογών έχουν ευαισθητοποιηθεί στο θέμα αυτό.
5. Παρόλο που υποτίθεται ότι οι εφαρμογές για ασφαλή διασύνδεση VPN χρησιμοποιούνται απο χρήστες που έχουν λόγους για μια ασφαλή (και ίσως ανώνυμη) διασύδενση, ωστόσο το 75% χρησιμοποιούν βιβλιοθήκες τρίτων (που σημαίνει ότι δεν μπορούν να έχουν τον έλεγχο και την αξιοπιστία να γνωρίζουν ή να πιστοποιήσουν ότι είναι πράγματι ασφαλής.
6. Απο τις εφαρμογές αυτές, το εξαιρετικά μεγάλο ποσοστό 82% ζητά δικαίωμα πρόσβασης σε επαφές, μυνήματα και άλλο ευαίσθητο περιεχόμενο στο κινητό που λογικά ΔΕΝ ΧΡΕΙΑΖΕΤΑΙ για μια υπηρεσία ασφαλούς διασύδενσης. Το ποσοστό αυτό εγείρει ερωτήματα κατα πόσο η δυνατότητα πρόσβασης αυτής δεν χρησιμοποιειται για πιθανά δόλιους σκοπούς ή καταγραφή των δεδομένων χρήστη.
7. Εχει βρεθεί μέχρι και Javascript injection προκειμένου για tracking και διαφημιστικά. Δηλαδή μέσω της σύνδεσης, και όχι κατα την εγκατάσταση, δυναμικά, σου φορτώνει στην ιστοσελίδα που βλέπεις υποτίθεται μέσω “ασφαλούς” διασύδενσης ότι javascript θέλει ο κατασκευαστής της VPN εφαρμογής, και φυσικά δυναμικά, δηλαδή μπορεί να αλλάζει, μιας και μπορεί να το φορτώνει εκείνη την στιγμή απο κάποιο δικό του σαιτ…

Υπάρχουν πάρα πολλές ιδιαιτερότητες ανάλογα με το πακέτο VPN, πχ ενός κατασκευαστή υλοποιούσε το εξής, εαν πήγενες σε ένα απο τα γνωστά site για e-shopping (πχ AliBaba) σου έκανε redirect όλο το traffic μέσω ενός δικού του proxy και συστήματος sites.
Απο όλες τις εφαρμογές βρέθηκε μόλις το 1% (δηλαδή τρείς)

Αναφέρεται ότι εκτός του ότι η διασύνδεση δεν γίνεται κρυπτογραφημένα επαρκώς (ή και καθόλου) με αποτέλεσμα μια εύκολη Man in the middle attack, δηλαδή οποιοσδήποτε ενδιάμεσος (πχ πάροχος, κάποια υπηρεσία πληροφοριών κλπ) να μπορεί να δεί όλα τα δεδομένα που ανταλλάσονται μέσω της VPN σύνδεσης. Κάπου 18% των εφαρμογών αυτών δεν προσφέρουν κρυπτογράφηση ή είναι τελείως ανεπαρκής.

Ομως το χειρότερο είναι ότι βρέθηκε το 38% των εφαρμογών αυτών για διασύνδεση VPN, να εγκαθιστούν malware εν αγνοία του χρήστη μέσω της διασύνδεσης αυτής. Και επίσης πάνω απο 80% των εφαρμογών αυτών απαιτούν δυνατότητα πρόσβασης σε ευαίσθητο περιεχόμενο στο κινητό, όπως επαφές και φωτογραφίες και τα μυνήματα του χρήστη, πραγμα που κανονικά μια εφαρμογή ασφαλούς διαδικτύωσης λογικά δεν χρειάζεται.

Σύμφωνα με την αναφορά, μόλις 1% των εφαρμογών (δηλαδή μόλις τρείς) καλύπτουν όλες τις προυποθέσεις ασφαλείας. Εφιστάται η προσοχή ολων όσων θέλουν εφαρμογές τύπου VPN για ασφαλή πλοήγηση, ειδικά εαν μάλιστα πληρωνουν κιόλας για αυτό.

[via]

 
Leave a comment

Posted by on 26 January, 2017 in MinOtavrS blog

 

Tags: , , ,

macOS : Νέο Malware εκμεταλλεύεται… αρχαίο κώδικα

Αν και οι υπολογιστές της Apple είναι κατά γενική ομολογία αρκετά ασφαλείς, σε καμία περίπτωση δεν είναι άτρωτοι απέναντι σε επιθέσεις κακόβουλου λογισμικού, οι οποίες πολλές φορές μπορεί να είναι εξαιρετικά σοβαρές.

Η γνωστή εταιρεία ασφαλείας Malwarebytes ανακάλυψε ένα νέο malware που στοχεύει σε συστήματα Mac, το οποίο έλαβε την ονομασία “OSX.Backdoor.Quimtchin”, ενώ αποκαλείται από τους ερευνητές και “Fruitfly”.

Αυτό που το καθιστά ξεχωριστό, πέραν του ότι είναι το πρώτο κακόβουλο λογισμικό για Mac που εντοπίστηκε μέσα στο 2017, είναι ότι εκμεταλλεύεται… αρχαίο κώδικα στην πλατφόρμα της Apple, ο οποίος υπάρχει πολύ πριν αυτή περάσει στην εποχή του OSX!

Το Fruitfly φαίνεται πάντως ότι είναι εξαιρετικά εξειδικευμένο και εικάζεται ότι στοχεύει στην βιομηχανική κατασκοπεία, αφού έχει σχεδιαστεί ώστε να πλήττει υπολογιστές που χρησιμοποιούνται από ερευνητικά κέντρα στο χώρο της βιοϊατρικής.

Εξαιρετικά ανησυχητικό είναι το γεγονός ότι σύμφωνα με τη σχετική αναφορά της Malwarebytes, υπάρχουν ενδείξεις ότι το malware μπορεί να μολύνει και υπολογιστές με Linux, ένα άλλο λειτουργικό σύστημα που φημίζεται για την ασφάλειά του. Αυτό βέβαια δεν έχει ακόμα επιβεβαιωθεί.

Όσον αφορά πάντως στην Apple, η εταιρεία είναι ενήμερη και εργάζεται ήδη επάνω στην ανάπτυξη ενός patch που μπορεί να εξουδετερώσει το κενό ασφαλείας.

Μπορείτε να διαβάσετε περισσότερο στο άρθρο της Malwarebytes.

[via]

 
Leave a comment

Posted by on 20 January, 2017 in MinOtavrS blog

 

Tags: , , , ,