Postřehy z bezpečnosti: zatýkání kyberzločinců během operace Cronos

Bankovní trojan v našich končinách

Bylo pozorováno oživení bankovního trojanu Anatsa v České republice, na Slovensku a Slovinsku. Aktivita trojanu je cílená a zaměřuje se většinou na 3 až 5 regionů. Škodlivé aplikace umožňující aktivaci trojanu byly nahrány na Google Play, kde pro oklamání potenciálních uživatelů o nich útočníci tvrdili, že zaujímají přední místa v žebříčku nových aplikací zdarma.

Jak uvádí report publikovaný serverem ThreatFabric, škodlivé aplikace použily víceúrovňový infekční mechanizmus a dynamické stahování konfigurace a spustitelného kódu z jejich C2 serveru.

Operace Cronos

Bezpečnostní složky Spojeného Království ve spolupráci s FBI a bezpečnostními složkami jiných států potvrdily, že se jim v rámci operace Cronos podařilo získat zdrojový kód od ransomwaru LockBit, že byli kriminálníci uvězněni a že byly uvolněny dešifrovací klíče.

Část dat na systémech LockBitu patřila obětem, které zaplatily výkupné, z čehož vyplývá ponaučení, že i když zaplatíte výkupné, tak to ještě neznamená, že vaše data budou obnovena do původního stavu a že budou ze serverů útočníků následně smazána.

Signál zavádí uživatelská jména

Aplikace s koncovým šifrováním Signál pilotně zavádí novou vlastnost, která uživatelům umožní vytvořit unikátní uživatelské jméno a v té souvislosti utajit své telefonní číslo. Uživatelské jméno (nezaměňujte s názvem profilu) místo telefonního čísla má sloužit k navázání konverzace mezi účastníky.

Uživatelské jméno může být mnohokrát měněno s tím, že je vyžadováno mít na jeho konci dvě nebo více číslic.

Mustang Panda cílí na Asii

S Čínou spojená zločinecká skupina Mustang Panda zaútočila na země v Asii za použití varianty backdooru PlugX zvané DOPLUGS. Malware útočil primárně na cíle v Taiwanu a Vietnamu. Řetězec kompromitace zahrnuje phishingové zprávy, které slouží jako prostředník k doručení první fáze payloadu.

Následně po otevření dokumentu, sloužícího jako návnada se rozbalí legitimní podepsaná binárka, která je zranitelná a jejím prostřednictvím se načte zákeřná knihovna, která následně dešifruje a spustí PlugX.

Objeveny nové Wi-Fi zranitelnosti

Bezpečnostní výzkumníci objevili dvě zranitelnosti typu obejití ověření v open source softwaru, který je použitý na zařízeních Android, Linux a ChromeOS. Zranitelnosti mohou přimět uživatele k připojení ke klonu legitimní sítě nebo dovolit útočníkovi připojit se k důvěryhodné síti bez hesla.

Majoritní linuxové distribuce jako Debian, Red Hat, SUSE a Ubuntu vydaly bezpečnostní upozornění, wpa_supplicant byl opraven v ChromeOS od verze 118. Záplaty pro Android však ještě nebyly vydány.

Zneužití open source nástroje SSH-Snake

SSH-Snake je samomodifikující se červ, který využívá SSH přístupové údaje objevené na kompromitovaném stroji ke svému šíření po síti. Červ automaticky prohledává známá místa uložení přístupových údajů a příkazovou historii k tomu, aby rozpoznal další cíle svého šíření.

Při žádosti o komentář sdělil autor softwaru serveru The Hacker News, že nástroj slouží legitimním vlastníkům systémů k tomu, aby včas odhalili nedostatky v infrastruktuře dříve, než to udělají útočníci.

Obří pokuta pro Avast

Výrobce antiviru Avast obdržel od americké federální obchodní komise pokutu ve výši 16,5 miliónu dolarů za to, že firma prodávala údaje zákazníků o prohlížení webu zadavatelům reklamy. Firmě bylo zakázáno prodávání nebo licencování dat o prohlížení webu pro reklamní účely.

Také bude muset informovat uživatele, jejichž data byla prodána třetím subjektům bez jejich souhlasu. Zkrátka Avast sliboval uživatelům, že jeho produkty budou chránit soukromí včetně dat o prohlížení webu, ale dělal pravý opak.

Ve zkratce

• Nalezena kritická chyba ve VMware EAP
• Záplatovány kritické chyby v RAT ScreenConnect
• Apple záplatuje kritickou chybu
• Apple představil PQ3 protokol
• Ruský vládní software se zadními vrátky

Pro pobavení