Uwaga na niebezpieczne luki w popularnych modemach i routerach
Podatności w modemach i routerach
Analitycy bezpieczeństwa informują o luce w modemach kablowych wykorzystujących układy firmy Broadcom. Wada ta, nazwana Cable Haunt, może być obecna w ponad 200 milionach modemów w Europie. Zainstalowany w nich firmware jest podatny na ataki odbicia DNS. Po wejściu na złośliwą stronę phishingową za pomocą przeglądarki na podłączonym do takiego modemu komputerze, specjalnie spreparowany pakiet może wykorzystać lukę i umożliwić wykonanie dowolnych komend na modemie, przy jednoczesnym uzyskaniu pełnego dostępu do urządzenia. Badacze obawiają się, że stosujący te układy z niezabezpieczonym firmware’em producenci modemów kablowych automatycznie przenieśli tę podatność do swoich urządzeń. Tego typu słabe punkty należy jak najszybciej usunąć poprzez aktualizację firmware’u, a jeśli nie jest dostępna jego nowa wersja, zaprzestanie korzystania z takiego modemu.
Analitycy wykryli również próbę wykorzystania luki Authentication Bypass w routerach Linksys. Jej powstanie jest efektem braku weryfikowania danych przychodzących podczas obsługi spreparowanego przez cyberprzestępców żądania HTTP. Zdalny użytkownik może wykorzystać tę lukę do wykonania dowolnego kodu. Wśród produktów, w których jest ona obecna, są routery Wi-Fi Linksys oraz punkty dostępowe. Największa liczba podatnych urządzeń znajduje się w Korei, Australii, USA i na Tajwanie.
Ransomware przez protokół RDP
Phobos jest złośliwym programem typu ransomware i wykorzystuje popularny protokół RDP (Remote Desktop Protocol) jako wektor ataku. Na całym świecie miliony systemów wyposażonych w RDP są podatne na różne rodzaje ataków, głównie dlatego, że brakuje w nich aktualnych łatek bezpieczeństwa. Dzięki nim Phobos może uzyskiwać dostęp do sieci korporacyjnej w celu przeprowadzenia ataku. To narzędzie jest sprzedawane również w darkwebie jako usługa, w modelu Ransomware-as-a-Service (RaaS), co sprawia, że nawet mniej zaawansowanym technicznie przestępcom bardzo łatwo jest zaatakować firmy na całym świecie.
Trojany wciąż niebezpieczne
Badacze z FortiGuard odkryli niedawno narzędzie Trojan-Dropper.AndroidOS.Shopper, które jest używane przez cyberprzestępców do podwyższania oceny wybranych aplikacji mobilnych i w konsekwencji zwiększania liczby ich instalacji. Może być ono wykorzystane do promowania oprogramowania służącego do kryminalnych celów lub nieuczciwego zwiększania oceny aplikacji, świadczonego jako usługa na rzecz jej autorów.
Na zainfekowanym urządzeniu trojan może również wyświetlać komunikaty reklamowe i tworzyć skróty do witryn reklamowych. Potrafi też napisać fałszywą recenzję użytkownika, instalować aplikacje poprzez sklep Google Play i inne platformy, a także rejestrować użytkowników z wykorzystaniem ich kont Google lub Facebook w fałszywych aplikacjach, udających oprogramowanie przeznaczone do zakupów w takich serwisach jak AliExpress, Lazada, Zalora i innych.
Czytaj także: Cyberwojna już trwa − kogo dotyczy?
Tego typu aktywność trojana jest nadużyciem reguł korzystania z usług Google – nie ma on praw do instalacji aplikacji ze źródeł zewnętrznych, a także jest w stanie wyłączyć ochronę Google Play. Złośliwe oprogramowanie zwodzi potencjalną ofiarę, udając aplikację systemową. Na koniec zbiera informacje o urządzeniu ofiary, takie jak kraj pochodzenia, typ sieci, sprzedawca, model smartfona, adres e-mail, IMEI i IMSI, a następnie przekazuje je na serwer przestępców.
Ciekawym przypadkiem, wykrytym przez analityków Fortinet, jest również trojan o nazwie Lampion. To złośliwe oprogramowanie było rozprowadzane za pomocą wiadomości e-mail skierowanych do portugalskiego ministerstwa finansów. Z analizy wynika, że Lampion przypomina rodzinę Trojan Banker.Win32.ChePro, ale z pewnymi ulepszeniami, które są trudne do wykrycia i przeanalizowania.
W kampanii phishingowej wykorzystano szablon e-maila ze złośliwym załącznikiem o nazwie FacturaNovembro-4492154-2019-10_8.zip. W pierwszym etapie Lampion generuje losowe nazwy, które zostaną nadane złośliwemu plikowi tekstowemu utworzonemu na zainfekowanym urządzeniu, a następnie rozszyfrowuje adres URL do pobrania złośliwego oprogramowania. Następnie zbiera dane ze schowka, dysku oraz przeglądarek i wysyła je na serwer Command&Control (C&C, C2), jeśli otrzyma z niego takie żądanie.