piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Analiza FortiGuard: podatności w popularnych urządzeniach sieciowych

    Zobacz również

    Niebezpieczne luki w popularnych modemach i routerach, nowe trojany i oprogramowanie typu ransomware – analitycy z FortiGuard Labs firmy Fortinet prezentują najciekawsze odkrycia ostatnich dni. Analitycy bezpieczeństwa informują o luce w modemach kablowych wykorzystujących układy firmy Broadcom. Wada ta, nazwana Cable Haunt, może być obecna w ponad 200 milionach modemów w Europie. Zainstalowany w nich firmware jest podatny na ataki odbicia DNS.

    - Reklama -

    Po wejściu na złośliwą stronę phishingową za pomocą przeglądarki na podłączonym do takiego modemu komputerze, specjalnie spreparowany pakiet może wykorzystać lukę i umożliwić wykonanie dowolnych komend na modemie, przy jednoczesnym uzyskaniu pełnego dostępu do urządzenia. Badacze obawiają się, że stosujący te układy z niezabezpieczonym firmware’em producenci modemów kablowych automatycznie przenieśli tę podatność do swoich urządzeń. Tego typu słabe punkty należy jak najszybciej usunąć poprzez aktualizację firmware’u, a jeśli nie jest dostępna jego nowa wersja, zaprzestanie korzystania z takiego modemu.

    Analitycy wykryli również próbę wykorzystania luki Authentication Bypass w routerach Linksys. Jej powstanie jest efektem braku weryfikowania danych przychodzących podczas obsługi spreparowanego przez cyberprzestępców żądania HTTP. Zdalny użytkownik może wykorzystać tę lukę do wykonania dowolnego kodu. Wśród produktów, w których jest ona obecna, są routery Wi-Fi Linksys oraz punkty dostępowe. Największa liczba podatnych urządzeń znajduje się w Korei, Australii, USA i na Tajwanie.

    Ransomware przez protokół RDP

    Phobos jest złośliwym programem typu ransomware i wykorzystuje popularny protokół RDP (Remote Desktop Protocol) jako wektor ataku. Na całym świecie miliony systemów wyposażonych w RDP są podatne na różne rodzaje ataków, głównie dlatego, że brakuje w nich aktualnych łatek bezpieczeństwa. Dzięki nim Phobos może uzyskiwać dostęp do sieci korporacyjnej w celu przeprowadzenia ataku. To narzędzie jest sprzedawane również w darkwebie jako usługa, w modelu Ransomware-as-a-Service (RaaS), co sprawia, że nawet mniej zaawansowanym technicznie przestępcom bardzo łatwo jest zaatakować firmy na całym świecie.

    Trojany wciąż niebezpieczne

    Badacze z FortiGuard odkryli niedawno narzędzie Trojan-Dropper.AndroidOS.Shopper, które jest używane przez cyberprzestępców do podwyższania oceny wybranych aplikacji mobilnych i w konsekwencji zwiększania liczby ich instalacji. Może być ono wykorzystane do promowania oprogramowania służącego do kryminalnych celów lub nieuczciwego zwiększania oceny aplikacji, świadczonego jako usługa na rzecz jej autorów.

    Na zainfekowanym urządzeniu trojan może również wyświetlać komunikaty reklamowe i tworzyć skróty do witryn reklamowych. Potrafi też napisać fałszywą recenzję użytkownika, instalować aplikacje poprzez sklep Google Play i inne platformy, a także rejestrować użytkowników z wykorzystaniem ich kont Google lub Facebook w fałszywych aplikacjach, udających oprogramowanie przeznaczone do zakupów w takich serwisach jak AliExpress, Lazada, Zalora i innych.

    Tego typu aktywność trojana jest nadużyciem reguł korzystania z usług Google – nie ma on praw do instalacji aplikacji ze źródeł zewnętrznych, a także jest w stanie wyłączyć ochronę Google Play. Złośliwe oprogramowanie zwodzi potencjalną ofiarę, udając aplikację systemową. Na koniec zbiera informacje o urządzeniu ofiary, takie jak kraj pochodzenia, typ sieci, sprzedawca, model smartfona, adres e-mail, IMEI i IMSI, a następnie przekazuje je na serwer przestępców.

    Ciekawym przypadkiem, wykrytym przez analityków Fortinet, jest również trojan o nazwie Lampion. To złośliwe oprogramowanie było rozprowadzane za pomocą wiadomości e-mail skierowanych do portugalskiego ministerstwa finansów. Z analizy wynika, że Lampion przypomina rodzinę Trojan Banker.Win32.ChePro, ale z pewnymi ulepszeniami, które są trudne do wykrycia i przeanalizowania.

    W kampanii phishingowej wykorzystano szablon e-maila ze złośliwym załącznikiem o nazwie FacturaNovembro-4492154-2019-10_8.zip. W pierwszym etapie Lampion generuje losowe nazwy, które zostaną nadane złośliwemu plikowi tekstowemu utworzonemu na zainfekowanym urządzeniu, a następnie rozszyfrowuje adres URL do pobrania złośliwego oprogramowania. Następnie zbiera dane ze schowka, dysku oraz przeglądarek i wysyła je na serwer Command&Control (C&C, C2), jeśli otrzyma z niego takie żądanie.

    ŹródłoFortinet
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    Dołącz ze SkyCash do programu Mastercard Bezcenne Chwile

    Bezcenne Chwile to wyjątkowy program, w którym płatności pracują na Ciebie! Płać kartą Mastercard zarejestrowaną w programie w aplikacji SkyCash...