Zestawienie tygodniowe 22 - 29 czerwca

Interesujący i stosunkowo nowatorski atak ujawnił Malwarebytes. Jedna z grup cyberprzestępców ukrywała skimmera w metadanych EXIF obrazu, który następnie został załadowany przez sklepy internetowe. Chociaż pliki graficzne od dawna są wykorzystywane do przenoszenia złośliwego kodu i eksfiltracji danych (steganografia stała się popularną sztuczką wśród hakerów kilka lat temu), to nietypowe jest ukrywanie w plikach graficznych skimmerów internetowych. Takie skrypty mają na celu identyfikację i kradzież danych kart kredytowych i innych poufnych informacji, które niepodejrzewający niczego użytkownicy wprowadzają na zaatakowane witryny internetowe e-commerce.

Badacze bezpieczeństwa Malwarebytes twierdzą, że niedawno zaobserwowany atak wyróżnia się nie tylko ze względu na użycie obrazów do ukrycia skimmerów, ale także dlatego, że wykorzystuje zdjęcia do ekstrakcji skradzionych danych kart. Według Malwarebytes, JavaScript jest ładowany ze sklepu internetowego z wtyczką WooCommerce do WordPress, gdzie dodatkowy kod został dołączony do legalnego skryptu hostowanego przez kupca. Skrypt załadowałby plik favicon identyczny z faviconem używanym przez zaatakowany sklep, a skimmer sieciowy ładowany był z pola metadanych autorskich tego obrazu.

Skimmer został zaprojektowany do przechwytywania zawartości pól wejściowych, w których kupujący online wprowadzają swoje imię i nazwisko, adres rozliczeniowy oraz dane karty kredytowej. Skimmer koduje również zebrane dane, odwraca ciąg i wysyła informacje do zewnętrznego serwera jako plik obrazu za pośrednictwem żądania POST.

„Aktorzy zagrożeń prawdopodobnie zdecydowali się pozostać przy temacie obrazu, aby ukryć również eksfiltrowane dane za pomocą pliku favicon.ico”, zauważa Malwarebytes.

Podczas dochodzenia analitycy bezpieczeństwa znaleźli kopię kodu źródłowego skimmera w otwartym katalogu zainfekowanej witryny, co dało im możliwość zrozumienia, w jaki sposób plik favicon.ico jest wykonywany za pomocą wstrzykiwanego skryptu wewnątrz pola Copyright. Malwarebytes był również w stanie zidentyfikować wcześniejszą wersję skimmera, która nie zawierała „zaciemnienia” z najnowszej iteracji, ale miała te same funkcje kodu i uważa, że to oprogramowanie może mieć powiązania z Magecart Group 9.

Autor: Kapitan Hack Data dodania: 29 cze 2020 11:05 7 min czytania

Lucyfer atakuje DDos-em!

Z kolei Palo Alto Networks donosi, że ostatnio zidentyfikowano złośliwe oprogramowanie do szyfrowania, które zawiera funkcje pozwalające jego operatorom na przeprowadzanie rozproszonych ataków typu „odmowa usługi” (DDoS). Nazywane „Lucyferem” złośliwe oprogramowanie zostało po raz pierwszy zaobserwowane 29 maja w ramach kampanii, która wciąż trwa, ale 11 czerwca przeszła na ulepszoną wersję.

„Lucyfer” może rozprzestrzeniać się samodzielnie, atakując różne luki, jest w stanie kontrolować operacje (C&C), a także wprowadza i uruchamia backdoor EternalBlue, EternalRomance i DoublePulsar na wrażliwych obiektach w infrastrukturze. Oprogramowanie wykorzystuje kolekcje ponad kilkunastu znanych błędów, zapewniając atakującym możliwość wykonywania kodu na komputerach docelowych. Chociaż aktualizacje oprogramowania mające na celu rozwiązanie tych problemów były dostępne od pewnego czasu, wiele systemów pozostaje w starych, narażonych na ataki, wersjach.

Szkodliwe oprogramowanie zawiera trzy sekcje zasobów, z których każda ma plik binarny do określonego celu: wersje XMRig 5.5.0 z pakietami x86 i x64 UPX oraz exploity Equation Group (EternalBlue i EternalRomance oraz implant backdoor DoublePulsar). Po zainfekowaniu komputera „Lucyfer” kontynuuje działanie, ustawiając określone wartości kluczy rejestru. Złośliwe oprogramowanie włącza się z uprawnieniami do debugowania i rozpoczyna działanie od uruchomienia kilku wątków. W celu rozprzestrzeniania szkodliwe oprogramowanie skanuje w poszukiwaniu otwartych portów TCP 135 (RPC) i 1433 (MSSQL) i próbuje uzyskać dostęp poprzez wypróbowanie często używanych poświadczeń, wykorzystuje exploity grupy równań lub wykorzystuje żądania HTTP w celu zbadania zewnętrznych, narażonych systemów. Ładunki dostarczone do zidentyfikowanych podatnych systemów pobierają replikę złośliwego oprogramowania za pośrednictwem certutil.

Uaktualniona wersja złośliwego oprogramowania ma takie same możliwości i zachowanie jak jego poprzednik, ale zawiera także funkcję ochrony przed „piaskownicą”, sprawdzając nazwę użytkownika i nazwę komputera zainfekowanego hosta na wstępnie zdefiniowanej liście, a także pod kątem obecności określonego urządzenia sterowniki, biblioteki DLL i urządzenia wirtualne oraz zatrzymywanie operacji, jeśli zostanie znalezione dopasowanie. Obejmuje również funkcje antydebugera.

„Lucifer to nowa hybryda złośliwego oprogramowania do szyfrowania i DDoS, która wykorzystuje stare luki w zabezpieczeniach do rozprzestrzeniania się i wykonywania złośliwych działań na platformach Windows. Zaleca się stosowanie aktualizacji i poprawek do oprogramowania, którego dotyczy problem”, podsumowuje Palo Alto Networks.

Sąd skazuje za przestępstwa przeciw własności intelektualnej Broadcom

Sędzia federalny USA skazał obywatela Chin za szpiegostwo gospodarcze, kradzież tajemnic handlowych i udział w spisku na rzecz rządu swojego kraju. Hao Zhanga ma 41 lat. Jest absolwentem University of Southern California. Uznano jego winę, w trzech zarzutach, w piątek, po czterodniowym procesie. Decyzja zapada pięć lat po tym, jak Zhang został oskarżony o spiskowanie w celu kradzieży technologii dwóch firm: Skyworks Solutions w Woburn w stanie Massachusetts i Avago Technlogies, firmę z San Jose w Kalifornii, później przejętą przez znanego producenta chipów Broadcom.

Stosowana technologia pomaga odfiltrować niechciane sygnały do smartfonów.

To kolejna odsłona wojny amerykańsko-chińskiej, której przejawem są wysiłki zmierzające do rozwiązania problemu rzekomej kradzieży przez Chiny opatentowanej technologii stworzonej w USA. Rząd Chin konsekwentnie zaprzecza, że jest zaangażowany w jakiekolwiek próby kradzieży technologii amerykańskiej.

Werdykt „jest ważnym krokiem w pociągnięciu do odpowiedzialności osoby, która okradła swojego amerykańskiego pracodawcę z tajemnic handlowych i starała się powielić technologię firmy i zastąpić jej udział w rynku”, powiedział John Demers, zastępca prokuratora generalnego Departamentu Sprawiedliwości ds. Bezpieczeństwa narodowego.

Adwokat Zhanga, Daniel Olmos, odmówił skomentowania wyroku. Zhang podlega karze pozbawienia wolności od 10 do 15 lat i grzywnom w wysokości do 250 000 USD za każde z trzech wyroków skazujących na przestępstwo.