Domény .ZIP v phishingových kampaních
Společnost Google si v posledních týdnech vysloužila kritiku mnohých členů bezpečnostní komunity v souvislosti se spuštěním registrací domén spadajících do top-level domény ZIP (a v menší míře za spuštění registrací domén spadajících do top-level domény MOV).
Vzhledem k všeobecně častému používání archivů typu ZIP se řada odborníků obávala zneužívání tohoto TLD v rámci phishingových útoků, neboť při jeho použití lze snadno zaměnit jména domén a souborů, v důsledku čehož by odkazy na domény .ZIP mohly být při útocích relativně efektivní.
Nebezpečná URL si lze v tomto případě představit mj. v souvislosti s „open redirect“ zranitelnostmi nebo v souvislosti s využitím možností předávat v rámci URL nejprve uživatelské jméno, pod nímž se chce uživatel přihlásit, a až následně jméno domény, v důsledku čehož mohou vznikat relativně důvěryhodně vyhlížející URL.
Přestože z dostupných analýz vyplývá, že prozatím je většina registrovaných domén ve zmíněném TLD ještě „zaparkovaná“ a značná část těch využívaných vede na obtěžující videa (resp. jsou využívány v rámci tzv. „rickrollingu“), v uplynulém týdnu se již objevily i (nijak překvapivé) zprávy o aktivním využívání těchto domén v rámci phishingových útoků.
Zmínku zaslouží, že na pozoru by se před doménami z TLD .ZIP zjevně měli mít i uživatelé z českých luhů a hájů, neb vybrané zajímavé „české“ domény (např. faktura.zip nebo zaloha.zip) byly již v době psaní tohoto příspěvku mezi registrovanými.
Uniklý zdrojový kód ransomwaru Babuk je stále využíván
Bezpečnostní tým Talos společnosti Cisco publikoval v pondělí analýzu aktivit nově identifikované ransomwarové skupiny RA Group, která dle jmenovaného týmu s vysokou pravděpodobností při útocích využívá zdrojový kód ransomwaru Babuk, který byl volně publikován v září 2021 na ruskojazyčném hackerském fóru.
Nejde přitom zdaleka o jedinou ransomwarovou skupinu, která tento zdrojový kód využívá. Specialisté ze společnosti SentinelOne publikovali v květnu vlastní analýzu, v rámci níž identifikovali celkem 10 skupin, které na základě uniklého zdrojového kódu vytvořily vlastní nástroje pro útoky na hypervisory VMware ESXi.
Zmínku zaslouží, že na zmiňovanou platformu cílí i aktivity v uplynulém týdnu nově identifikovaného ransomware-as-a-service programu označovaného jako MichaelKors.
Zranitelnost v KeePassu umožňuje získat heslo
Nově objevená zranitelnost v open source správci hesel KeePass 2.x, jíž bylo přiřazeno CVE-2023–32784, umožňuje za vybraných okolností vyčítat z obsahu operační paměti (případně ze stránkovacího souboru pagefil.sys, souboru hyberfil.sys apod.) „master“ heslo v čitelné podobě.
Záplata pro zmíněnou zranitelnost by měla být publikována počátkem června.
Vzhledem k tomu, že pro úspěšné získání master hesla musí útočník nejprve získat přístup k obsahu operační paměti, nelze zranitelnost považovat za extrémně významnou, i vzhledem k existenci volně dostupného proof-of-concept kódu pro její zneužití lze všem uživatelům jmenovaného správce hesel doporučit záplatu po jejím vydání aplikovat.
Apple zveřejnil počty zablokovaných aktivit v App Storu
Společnost Apple publikovala v uplynulém týdnu zprávu shrnující detekované a zablokované škodlivé chování ve svém obchodu App Store v průběhu roku 2022. Počty zablokovaných škodlivých aktivit, účtů a aplikací při tom dobře dokumentují vysokou míru snahy škodlivých aktérů o cílení na klienty zmiňované společnosti a o zneužívání obchodů s aplikacemi obecně.
Apple uvedl, že v průběhu loňského roku zablokoval vedle 428 000 podvodných vývojářských účtů i 282 milionů podvodných účtů klientských. Paralelně byla z různých důvodů odmítnuta publikace téměř 1,7 milionu aplikací, přičemž značné procento z nich bylo odmítnuto v souvislosti s bezpečnostními riziky (mj. se více než 400 000 aplikací pokoušelo neoprávněně získávat uživatelská osobní data a téměř 29 000 aplikací obsahovalo skryté nebo nedokumentované funkce). Zmínku rovněž zaslouží zablokování podvodných finančních transakcí ve výši přesahující 2 miliardy dolarů.
Další zajímavosti
- Výzkumníci identifikovali kampaň, v rámci níž byl na téměř 9 milionech zařízení s operačním systémem Android předinstalován škodlivý kód
- Společnost Symantec vydala analýzu backdooru MerDoor, používaného při cílených útocích již od roku 2018
- Dlouhodobá phishingová kampaň užívající zprávy bez viditelného odesilatele cílí na uživatel služby Facebook
- Microsoft údajně začal skenovat šifrované ZIP archivy nahrané do jeho cloudových služeb s pomocí anti-malware technologií
- Tržiště Genesis Market, které bylo dle informací policejních orgánů zlikvidováno, zřejmě dál pokračuje ve svém fungování
- Ransomwarový útok na město Dallas ukazuje možné dopady škodlivých kampaní na prostředí lokálních samospráv
- V Súdánu a Pákistánu stále pokračují výpadky internetu
- Bývalý zaměstnanec společnosti Ubiquity byl odsouzen k šesti letům odnětí svobody za krádež citlivých firemních dat a související pokus o vydírání
- CSIRT.CZ varuje před phishingovými stránkami zneužívajícími Zoo Praha
- Ruský IT specialista byl odsouzen k třem letům odnětí svobody za participaci na proukrajinských DDoS útocích
- Irsko, Island, Japonsko a Ukrajina se oficiálně připojily do NATO Cooperative Cyber Defense Center of Excellence (CCDCoE)
- Návrh nového zákona v USA požaduje systematické vzdělávání pracovníků venkovských nemocnic v oblasti kybernetické bezpečnosti
- Ruské tržiště s přihlašovacími údaji nabízí možnost „předobjednávky“ údajů týkajících se specifických organizací
- Microsoft bude záplaty pro zranitelnost umožňující obcházet Secure Boot vydávat postupně až do Q1 2024
- Společnost Apple vydala záplaty pro 3 aktivně zneužívané zranitelnosti ve svých produktech
- Ransomware MalasLocker požaduje, aby oběť místo zaplacení výkupného přispěla charitativním organizacím
- Google bude mazat uživatelské účty po dvou letech bez přihlášení
- Skupina FIN7 začala využívat ransomware Clop
- Automobilka Hyundai vyplatí kompenzace ve výši až 200 milionů dolarů v souvislosti se zneužíváním zranitelnosti v některých modelech vozů
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU