Zneužití Google Ads k propagaci trojanu
V minulém týdnu byla identifikována malvertisingová kampaň, která zneužívala Google Ads k distribuci trojanizované verze nástroje CPU-Z. Tento nástroj je oblíbený mezi uživateli Windows pro sledování různých hardwarových komponent. Podle analytiků společnosti Malwarebytes byla využita stejná podpůrná infrastruktura jako u malvertisingu aplikací Notepad++, Citrix a VNC Viewer.
Útočníci vytvořili klon legitimního zpravodajského webu WindowsReport, kde škodlivou verzi CPU-Z hostovali. Když uživatelé klikli na reklamu v Google Ads, byli přesměrováni na tento falešný web. Zajímavým aspektem kampaně je, že útočníci implementovali sofistikovaný mechanismus pro detekci ochranných crawlerů Google a těm zobrazovali web neškodný. Ostatním byl ke stažení nabídnut digitálně podepsaný MSI instalátor obsahující „FakeBat“ loader napsaný v Powershellu. Ten po spuštění na počítač dotáhl Redline Stealer, malware vykrádající citlivé informace (hesla, cookies, VPN přístupy, kryptopeněženky apod.).
Vývojáři pozor na malware v PyPI
Na systémy vývojářů se opět snažil prodat malware prostřednictvím repozitáře PyPI. Maskován jako součást nástroje pro obfuskaci kódu se na jejich systémy dostal malware BlazeStealer. Ten si pak dostahoval další kusy kódu až do stavu, kdy přes Discord bota mohli útočníci zcela ovládnout počítač oběti.
Kampaň byla spuštěna v lednu 2023 a zahrnuje celkem osm balíčků: Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse a pyobfgood.
Na GitHubu vám s pull requesty pomůže AI
Spravujete svůj kód přes GitHub? Pokud ano, čeká vás do budoucna zajímavé zlepšení. Server Maginative.com popisuje, jaké změny se chystají. Ve dvacetivteřinovém videu uvidíte, jak GitHub zkontroloval váš kód přes CodeQL, našel zranitelnosti a rovnou je popsal. K dané zranitelnosti rovnou navrhuje úpravu, kterou stiskem tlačítka můžete přijmout – v tomto případě původní kód neomezoval rychlost přístupu do databáze, kterou umělá inteligence snadno napravila.
Kromě toho GitHub lépe vyhledává hesla, pokud je omylem zapomenete z veřejného kódu smazat a do třetice se můžete pokochat nad generátorem regulárních výrazů. Místo abyste se pachtili se správnou syntaxí která by vypíchla zapomenuté tokeny, stačí když popíšete, jak takový token vypadá a dáte příklad. AI pak připraví návrh regulárního výrazu, který můžete zkontrolovat.
Kritická zranitelnost Confluence (Atlassian)
Confluence, široce používaný nástroj pro podporu týmové spolupráce a sdílení informací obsahuje kritickou chybu CVE-2023–22518. Chyba umožňuje neautorizovanému útočníkovi několika jednoduchými HTTP požadavky založit vlastního uživatele s právy administrátora. Zranitelné jsou všechny instance Confluence Data Center a Confluence server. Aktualizujte na verze 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1.
Podle Microsoft Threat Intelligence týmu je zranitelnost zneužívána už od 14. září. Je tedy vhodné překontrolovat, zda se v systému neobjevily nové neočekávané účty, noví neočekávaní uživatelé ve skupině confluence-administrators, a zda nejsou nainstalovány nové neznámé pluginy (například web.shell.Plugin). Také je nutné ověřit přístupy k /json/setup-restore* v logu.
Změny v nastavení výchozích pravidel Windows firewallu pro SMB
Firewall Windows Defenderu ve Windows 11 už nebude přidávat některá pravidla při vytváření nových SMB sdílení. Od Windows XP SP2 se při vytváření SMB sdílení automaticky nastavovala pravidla v rámci skupiny „Sdílení souborů a tiskáren“ pro dané profily firewallu. Od verze v Insider Preview Build 25992 se při vytváření SMB sdílení automaticky konfiguruje nová skupina „File and Printer Sharing (Restrictive)“, která již neobsahuje vstupní porty NetBIOS 137–139.
Tato změna by měla zvýšit míru výchozího zabezpečení a přiblížit pravidla firewallu k chování role „File Server“ ve Windows Server. Další novinky představují seznam výjimek pro blokování SMB NTLM, alternativní klientské a serverové porty SMB a možnost využití SAN v certifikátech SMB over QUIC.
Microsoft informuje o možných opatřeních pro zvýšení bezpečnosti voleb
V nedávném hodnocení hrozeb varovala společnost Microsoft před potenciálními bezpečnostními volebními hrozbami pro příští rok. Kromě toho představila sadu bezpečnostních doporučení zaměřených na zvýšení ochrany volebních procesů ve Spojených státech a dalších zemích s klíčovými volbami pro rok 2024. Mezi těmito doporučeními se nachází například zajištění, že informace, které se dostanou k voličům, jsou důvěryhodné a pomohou kandidátům odhalovat a řešit obsah generovaný umělou inteligencí nebo zajištění bezpečných volebních nástrojů pro volební orgány.
Microsoft také sám představuje několik iniciativních kroků, například „Content Credentials as a Service“, umožňující uživatelům digitálně podepisovat a ověřovat média prostřednictvím digitálního vodoznaku s cílem zajistit větší autenticitu obsahu. Také by chtěl vytvořit takzvaný „Election Communications Hub“, pomocí něho by chtěli poskytovat důležité informace a podporu demokratickým vládám po celém světě a zlepšit budování bezpečných volebních procesů. Microsoft navíc uvedl, že bude podporovat legislativní změny na ochranu kampaní a volebních procesů před takzvanými deepfaky vytvářenými pomocí umělé inteligence.
Vlády se shodly na koordinovaném boji proti ransomwaru
Členové Mezinárodní iniciativy proti vyděračskému softwaru (ICRI, International Counter Ransomware Initiative) tvrdí, že postoj vůči hrozbám spojeným s ransomwarem má být mezinárodně jednotný a vlády by v žádném případě neměly platit výkupné požadované kyberzločineckými skupinami.
ICRI se rovněž dohodla na vytvoření sdílené černé listiny, v rámci které by byly zveřejněné údaje o nelegálních peněženkách používaných provozovateli ransomwaru. Mezi členy ICRI patří kromě Evropské unie také USA, Kanada, Velká Británie, Austrálie či Indie. Na iniciativě se rovněž podílí Interpol.
Nové hrozby ve kvantové výpočetní technice
V našem stále více propojeném světě je bezpečný přenos citlivých informací prvořadý. Kryptografie je základem moderní digitální bezpečnosti – od zabezpečení osobních rozhovorů až po ochranu kritické infrastruktury. Konvenční kryptografické metody odolávají zkoušce času a neúprosnému náporu kybernetických hrozeb již desítky let.
Na obzoru je však nový protivník – kvantové počítače. Tato technologie, často označovaná za revoluční skok ve výpočetním výkonu, hrozí podkopáním samotných základů současné kryptografie. S tím, jak kvantová revoluce nabírá na obrátkách, se odborníci na kybernetickou bezpečnost a technologové ptají, zda je kryptografie, jak ji známe, nástupem kvantových počítačů ohrožena.
Ve zkratce
- Propaleštinští hackeři tvrdí, že se jim podařilo získat přístup do vnitřní infrastruktury izraelského závodu na výrobu mouky a poškodit její výrobní cyklus
- EFF varuje kvůli eIDAS 2.0
- WhatsApp bude nově skrývat vaši IP
- Platforma pro podporu SOC týmů Mandian publikovala rozsáhlou analýzu hrozby Sandworm
Pro pobavení
Bezpečné to je, jen dokud nepřijde uživatel
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU