RSS

Tag Archives: Malware

Επικίνδυνο malware εξαπλώνεται μέσω του Facebook Messenger

Υπάρχουν διάφορα malware που μετατρέπουν τους υπολογιστές των θυμάτων τους σε συστήματα που παράγουν κρυπτονομίσματα για λογαριασμό των hacker που τα δημιούργησαν, όμως, το Digimine είναι ένα ιδιαίτερα επικίνδυνο διότι μεταδίδεται μέσω Facebook Messenger, οπότε εκατομμύρια χρήστες είναι πιθανοί στόχοι του.

Η γνωστή για τα anti-malware προγράμματά της Trend Micro ήταν η πρώτη που ανακάλυψε το συγκεκριμένο malware, στη Νότια Κορέα. Στη συνέχεια ανιχνεύτηκε σε υπολογιστικά συστήματα και σε άλλες χώρες όπως Βιετνάμ, Αζερμπαϊτζάν, Ουκρανία, Φιλιππίνες, Ταϊλάνδη και Βενεζουέλα. Δεδομένου όμως του τρόπου με τον οποίο διαδίδεται, είναι θέμα χρόνου να το δούμε να εμφανίζεται και σε άλλες περιοχές του κόσμου.

Τα θύματα του συγκεκριμένου malware λαμβάνουν ένα αρχείο με την ονομασία video_xxxx.zip, το οποίο φαίνεται να προέρχεται από κάποια επαφή τους μέσα στον Facebook Messenger. Όταν το ανοίξει ο χρήστης, θα φορτώσει τον Chrome μαζί με κάποια επικίνδυνα extension που περιλαμβάνουν το malware. Μόλις το malware μολύνει το σύστημα, μία ειδικά διασκευασμένη έκδοση του XMRig (εργαλείο για δημιουργία του κρυπτονομίσματος Monero) εγκαθίσταται στο σύστημα. Κατόπιν, ξεκινάει την παραγωγή χρησιμοποιώντας στο παρασκήνιο τον επεξεργαστή του θύματος, στέλνοντας όλα τα κρυπτονομισματα πίσω στους hacker.

Το ιδιαίτερα επικίνδυνο στην περίπτωση του Digmine είναι ο τρόπος με τον οποίο εξαπλώνεται. Αν κάποιος χρήστης έχει ρυθμίσει έτσι το λογαριασμό του στο Facebook ώστε να μπαίνει χωρίς να δίνει κωδικούς, το link με το ψεύτικο βίντεο θα σταλεί αυτόματα σε όλους τους φίλους του μέσω του messenger! Είναι εφικτό επίσης για το συγκεκριμένο malware να μπορεί να πάρει πλήρως τον έλεγχο του Facebook του χρήστη, αλλά προς το παρόν απλώς χρησιμοποιεί τον Messenger για τη διάδοση του.

Τα καλά νέα μέσα σε όλα τα παραπάνω είναι ότι το Digmine μπορεί να εκτελέσει αυτές τις λειτουργίες μόνο στην desktop έκδοση του Messenger σε Chrome, και δεν μπορεί να μολύνει το σύστημα του χρήστη (τουλάχιστον προς το παρόν) από τις εφαρμογές του Facebook και του messenger.

Ύστερα από την αποκάλυψη του συγκεκριμένου malware από την Trend Micro, το Facebook ανακοίνωσε ότι κατέβασε όλα τα link που συνδέονται με το Digmine ώστε να συμβάλει στην εξάλειψη του. Σε κάθε περίπτωση πάντως, ο χρήστης θα πρέπει να είναι σε εγρήγορση και να μην ανοίγει ύποπτα αρχεία και διευθύνσεις, ακόμα και όταν προέρχονται από φίλους στο διαδίκτυο.

[via]

Advertisements
 
Leave a comment

Posted by on 28 December, 2017 in MinOtavrS blog

 

Tags: , , , , ,

Πιο καθαρό το διαδίκτυο μετά την πτώση του “Gamarue”

Οι διωκτικές αρχές κατάφεραν τελικά να ρίξουν ένα από τα μεγαλύτερα επικίνδυνα botnet δίκτυα τα οποία είχαν σαν βασική τους λειτουργία να μεταφέρουν malware σε υπολογιστικά συστήματα τα οποία είχαν παραβιαστεί.

Συγκεκριμένα, πρόκειται για το Andromeda botnet, γνωστό επίσης με την κωδική ονομασία Gamarue, το οποίο θεωρείται πως στον χρόνο της δράσης του έχει μολύνει περισσότερα από 2 εκατομμύρια PC και είχε “μοιράσει” περισσότερα από 80 διαφορετικά είδη malware. Το Gamarue δημιουργήθηκε από κυβερνοεγκληματίες τον Σεπτέμβριο του 2011 και πωλήθηκε ως «crime-kit» σε underground φόρουμ στο Dark Web, με σκοπό την κλοπή διαπιστευτηρίων και τη λήψη και εγκατάσταση επιπλέον κακόβουλου λογισμικού στα συστήματα των χρηστών.

Αυτή η οικογένεια malware αποτελεί ένα bot με δυνατότητες εξατομίκευσης, επιτρέποντας στον ιδιοκτήτη του να δημιουργεί και να χρησιμοποιεί προσαρμοσμένα plugins.Ένα τέτοιο plugin επιτρέπει στον κυβερνοεγκληματία να κλέβει το περιεχόμενο που εισάγουν οι χρήστες σε φόρμες web, ενώ ένα άλλο επιτρέπει τη σύνδεση των εγκληματιών και τον έλεγχο των παραβιασμένων συστημάτων.

Έκλεισε τελικά στις 29 του περασμένου Νοεμβρίου με την συνδυασμένη συνεργασία Europol, FBI, της εταιρίας ασφάλειας ESET και της Microsoft. Οι ερευνητές της ESET και της Microsoft αντάλλαξαν τεχνικές αναλύσεις, στατιστικές πληροφορίες και δημοφιλή domains από C&C servers για να βοηθήσουν στη διακοπή της κακόβουλης δραστηριότητας της ομάδας. Η ESET μοιράστηκε επίσης τις γνώσεις της για το Gamarue, τις οποίες είχε συγκεντρώσει από τη συνεχή παρακολούθηση του malware και των επιπτώσεων του στους χρήστες κατά τα τελευταία χρόνια.

[via]

 
Leave a comment

Posted by on 7 December, 2017 in MinOtavrS blog

 

Tags: , , ,

Τι ξέρουμε μέχρι στιγμής για την κυβερνοεπίθεση Petya;

Η κυβερνοεπίθεση Petya, που ξεκίνησε χθες εναντίον στόχων στην Ευρώπη, μόλυνε τις τελευταίες ώρες χιλιάδες ηλεκτρονικούς υπολογιστές με ransomware, με δεκάδες χρήστες να έχουν μάλιστα πληρώσει ήδη τα λύτρα για να ανακτήσουν τα πολύτιμα δεδομένα τους. Όμως, ευτυχώς, αντίθετα από το WannaCry, το Petya δεν φαίνεται να είναι τόσο εύκολο να μεταδοθεί, αφού σύμφωνα με αρκετούς αναλυτές είναι σχεδιασμένο ώστε να διαδίδεται κυρίως μέσω τοπικών δικτύων – κάτι που υποδηλώνει ότι οι δημιουργοί του μάλλον εξαρχής στόχευαν σε εταιρείες και γενικότερα μεγάλους οργανισμούς, που συνήθως διαθέτουν μεγάλα δίκτυα υπολογιστών.

Διαφέρει επίσης από το WannaCry και όσον αφορά στον τρόπο κρυπτογράφησης, αφού αντί να “επιτεθεί” απευθείας σε αποθηκευμένα δεδομένα, κρυπτογραφεί το Master Boot Record της μονάδας εκκίνησης ενός υπολογιστή, αποτρέποντας έτσι και την φόρτωση του λειτουργικού συστήματος.

Η αρχή και το τέλος του κακού

Πώς όμως ξεκίνησαν όλα; Οι κυβερνοεγκληματίες που βρίσκονται πίσω από την επίθεση κατάφεραν να αποκτήσουν πρόσβαση σε servers της ουκρανικής εταιρείας ανάπτυξης λογισμικού M.E.Doc και να μολύνουν με κακόβουλο φορτίο το update του MEDoc, ενός πολύ δημοφιλούς λογισμικού για λογιστική χρήση, που χρησιμοποιείται σε διάφορους τομείς στην Ουκρανία, μεταξύ των οποίων και σε χρηματοπιστωτικά ιδρύματα. Η διάθεση του συγκεκριμένου update στους χρήστες σήμανε ουσιαστικά και την αρχή της επίθεσης, κάτι το οποίο υποστηρίζουν, μεταξύ άλλων οι Microsoft και ESET. Ο Costin Raiu της Kaspersky εκτιμά πάντως, ότι υπήρξε και μια δεύτερη πηγή μόλυνσης, που πιστεύεται ότι είναι η επίσημη ιστοσελίδα της ουκρανικής πόλης Bahmut, στην οποία είχαν επιτεθεί hackers.

Δεν είναι τυχαίο, σύμφωνα με τα παραπάνω, ότι η επίθεση επικεντρώθηκε σε μεγάλο βαθμό στην Ουκρανία, καθώς και σε γειτονικές χώρες, όπως η Ρωσία. Το malware, αν και αξιοποιεί όπως και το WannaCry το exploit ETERNALBLUE, ενώ έχει και τη δυνατότητα υποκλοπής στοιχείων πρόσβασης, όπως αναφέρεται παραπάνω, δεν φαίνεται να έχει σχεδιαστεί ώστε να διαδίδεται μέσω του Internet, αν και θεωρητικά μπορεί να μολύνει απομακρυσμένα συστήματα μέσω δικτύων VPN, που πρακτικά προσομοιώνουν τη λειτουργία των τοπικών δικτύων.

Αυτή τη στιγμή αρκετοί αναλυτές ασφαλείας θεωρούν ότι η κυβερνοεπίθεση έχει πρακτικά ολοκληρωθεί, χωρίς ωστόσο να αποκλείουν ότι δεν θα επαναληφθεί με κάποια παραλλαγή του malware στο άμεσο μέλλον.

 

[via]

 
Leave a comment

Posted by on 29 June, 2017 in MinOtavrS blog

 

Tags: , , ,

Το πρώτο Android malware που μολύνει και μη-rooted συσκευές είναι ο εφιάλτης μας

Το Android OS είναι εξαιρετικά δημοφιλές παγκοσμίως και παρά τις προσπάθειες της Google να το διατηρήσει καθαρό και ασφαλές από απειλές, αυτό δεν είναι πάντα εφικτό.

Πριν λίγους μήνες ανέλαβε δράση ένα νέο malware, ονόματι Dvmap, το οποίο ήταν εξαιρετικά ικανό στο να μολύνει συσκευές αλλά και να παραμένει μη ανιχνεύσιμο. Το Dvmap είναι το πρώτο του είδους του καθώς χρησιμοποίησε την τεχνική του code injection, με απλά λόγια της εισαγωγής κακόβουλου κώδικα ακόμη και στα modules του ίδιου του λειτουργικό, σε πολύ “χαμηλό” επίπεδο, με αποτέλεσμα το malware να μπορεί να κρύβει τα ίχνη του αλλά και να κατεβάζει αρχεία, να εκτελεί executables και να προσβάλει σοβαρά την ασφάλεια των δεδομένων του χρήστη.

Το Dvmap ενσωματώθηκε σε αρκετές “καθαρές” εφαρμογές που ανέβηκαν στο Google Play και κατέβηκαν περίπου 50.000 φορές, κυρίως παιχνίδια, μολύνοντας στην πορεία τις συσκευές όπου εγκαταστάθηκαν. Οι δημιουργοί του ενσωμάτωναν το malware στα apps αυτά με τη μορφή updates, αφού πρώτα τα ανέβαζαν σαν “καθαρά”, ενώ περιοδικά ανέβαζαν ακόμη μια καθαρή έκδοση μέσω update για να παραπλανήσουν τους ερευνητές όπως την Kaspersky Lab που εντόπισε το Dvmap, αλλά και την ίδια την Google.

Εν τέλει το Dvmap αντιμετωπίστηκε με το κατέβασμα όλων των μολυσμένων εφαρμογών, αλλά πολλές από τις συσκευές Android που προαναφέραμε είναι ακόμη μολυσμένες και αυτό δε λύνεται παρά μόνο με full reset/data wipe. H ύπαρξη του Dvmap σημαίνει την αρχή μιας νέας εποχής για το Android malware και σίγουρα η Google θα πρέπει να λάβει επιπλέον μέτρα για την προφύλαξη των χρηστών, τα οποία όμως μπορεί να μεταφράζονται και σε μια πιο “κλειστή” πλατφόρμα, στο στυλ του iOS.

[via]

 
Leave a comment

Posted by on 14 June, 2017 in MinOtavrS blog

 

Tags: , , ,

Tο Fireball malware φέρεται να έχει μολύνει 250 εκατομμύρια υπολογιστές παγκοσμίως

Μια νέα εκστρατεία κυβερνοεγκλήματος φέρεται πως ξεκίνησε από την Κίνα και έχει επηρεάσει 250 εκατομμύρια υπολογιστές και 20 % των εταιρικών δικτύων παγκοσμίως, σύμφωνα με στοιχεία της Check Point security.

Το Fireball malware παίρνει εντολές από το digital marketing agency Rafotech με έδρα το Πεκίνο και λειτουργεί σαν browser hijacker και malware downloader. Η Rafotech εμφανίζεται να προσφέρει υπηρεσίες ψηφιακού marketing και gaming εφαρμογές σε 300 εκατομμύρια πελάτες. Χρησιμοποιεί το Fireball για να αλλάζει την search engine στον browser του χρήστη και να συλλέγει δεδομένα. Επιπλέον εγκαθιστά backdoor που επιτρέπει περαιτέρω επιθέσεις στο σύστημα, μετά την εγκατάσταση του.

Although Rafotech is presently using the Fireball for collecting data as well as monetary gain, a backdoor is provided by the malware which could be exploited for more attacks. Once it gets installed on the machine of a victim, the Fireball also can execute code on the device for stealing information or dropping more malware.

Another threat is contained by the Fireball: fake search engine comprises tracking the pixels used for collecting users’ private information, thus Fireball could further spy on the victims. Fireball turns out infectious, with huge infection rate. Largest infections proportions are in Mexico, Brazil, and India; and there are over 5.5Mn in United States. Based on global sensors of Check Point, percentages of the corporate networks that are affected were much more: Hit rates in US (10.7%) as well as China (4.7%) were alarming, and much more in Indonesia (60%), India (43%) and Brazil (38%).

Η απεγκατάσταση του είναι εύκολη, μέσω του Control Panel των Windows και του App Finder των Mac.

[via]

 
Leave a comment

Posted by on 8 June, 2017 in MinOtavrS blog

 

Tags: , , , , ,

Οι υπότιτλοι των ταινιών σας ίσως αποτελούν “Δούρειο Ίππο” για malware

 

Ένα νέο τρόπο κυβερνοεπίθεσης φαίνεται ότι ανακάλυψαν hackers, αφού σύμφωνα με την εταιρεία ασφαλείας Check Point, είναι πλέον εφικτή η κατάληψη ενός συστήματος μέσω κακόβουλων… υποτίτλων, οι οποίοι μπορούν να τρέξουν σε δημοφιλείς εφαρμογές αναπαραγωγής περιεχομένου, όπως τα Kodi, Popcorn Time και VLC media player.

Οι ερευνητές της Check Point έκρουσαν τον κώδωνα του κινδύνου, αφού εκτιμούν ότι αυτός ο τρόπος επίθεσης μπορεί να διαδοθεί ραγδαία, να γίνει εύκολα κατανοητός από επιτήδειους, ενώ είναι δύσκολη και η αντιμετώπισή του.

Η ενδεχόμενη ζημιά που μπορεί να προκαλέσει κάποιος εκτείνεται από την υποκλοπή ευαίσθητων δεδομένων, μέχρι την εγκατάσταση ransomware, ή την πραγματοποίηση μαζικών επιθέσεων Denial of Service”, αναφέρουν οι ερευνητές.

Μπορείτε να δείτε πώς λειτουργεί η νέα μέθοδος επίθεσης στο βίντεο που ακολουθεί:

 

[via]

 
Leave a comment

Posted by on 26 May, 2017 in MinOtavrS blog

 

Tags: , , , , ,

Νέο malware εισβάλει σε τράπεζες και οργανισμούς παγκοσμίως

Σύμφωνα με το Gizmodo ένας απόγονος του Stuxnet έκανε την εμφάνιση του σε τραπεζικά ιδρύματα και άλλους οργανισμούς παγκοσμίως.

Το malware που πήρε την κωδική ονομασία Duqu 2.0, δεν εντοπίζεται μετά την μόλυνση του server και χρησιμοποιείται για την κλοπή χρημάτων από λογαριασμούς.

Μετά την επιτυχή μόλυνση ενός συστήματος, το αποκαλούμενο fileless malware, στο επόμενο reboot μετονομάζει τον εαυτό του και διαγράφει κάθε είδος παρουσίας του.

Η Kaspersky εντόπισε μολύνσεις σε πάνω από 140 οργανισμούς εως τώρα και ίχνη του σε 40 χώρες, με 21 μολύνσεις να έχουν γίνει στις ΗΠΑ.

Σχετικά δημοσιεύθηκε αναφορά με περισσότερα στοιχεία να δίνονται τον Απρίλιο.

[via]

 
Leave a comment

Posted by on 12 February, 2017 in MinOtavrS blog

 

Tags: , , ,