Novinky eABM
Uživatelé služby Facebook jsou zneužíváni k těžbě Bitcoinů
Stovky uživatelů sociální sítě Facebook byly infikovány novým trojským koněm, který tajně zneužívá jejich systém k těžbě Bitcoinů. Virus se šíří přes soukromé zprávy Facebooku, které jsou zasílány některým z přátel potenciální oběti. Ve zprávě se píše "hahaha" a obsahuje přílohu nazvanou "IMAG00953.zip" obsahující soubor, který na první pohled vypadá jako legitimní .jpg soubor. Ve skutečnosti je to nebezpečný soubor .jar, který je po otevření uživatelem v počítači vykonán.
Google představil BoringSSL, další fork OpenSSL
Společnost Google spustila nový fork OpenSSL, který pojmenovala BoringSSL.
Analytici odhalili sledovací nástroj, který umožňuje vládám hacknout váš smartphone
Analytici společností Kaspersky Lab a Citizen Lab odkryli nové detaily o vyspělém sledovacím nástroji nabízeném italskou společností HackingTeam, včetně dosud neznámých doplňků pro chytré telefony běžící na systémech iOS a Android.
Došlo k dalšímu napadení domácího routeru, nepodceňujte toto riziko
CSIRT.CZ dostal zprávu od uživatele, jehož router byl aktuálně napaden, pravděpodobně kvůli zranitelnosti ROM-0. Pokud se Vám v počítači objeví hláška z obrázku níže, stal se Váš router obětí tohoto útoku. Na odkaz, který směřuje na URL HXXP://54894.getfl.net/?id=t50e0&nor=1&sub=&name=Mozila%20systemtools17%20FireFox.54.5468&url=, v žádném případě neklikejte. Vede ke stažení spustitelného souboru, který dle analýzy z virustotal.com obsahuje škodlivý software. Bezpečnostní tým CSIRT.CZ již požádal o odstranění tohoto malware provozovatele daného serveru.
Microsoft updatoval Malware Protection Engine
Společnost Microsoft vydala update Malware Protection Engine (MPE) který je používán například v produktech Windows Defender a Microsoft Security Essentials. Opravená zranitelnost umožňovala útočníkovi pomocí upraveného souboru způsobit pád MPE a zabránit mu tak v monitorování systému. K odstranění hrozby bylo nutné ručně odstranit škodlivý soubor a restartovat MPE.
Vážná zranitelnost dvoucestné autentizace PayPalu
Společnost Duo Security objevila vážnou zranitelnost dvoucestné autentizace (2FA) u platebního systému PayPal. Vzhledem k tomu, že mobilní aplikace PayPalu 2FA nepodporují, uživatel je při pokusu se přihlásit k PayPal účtu s 2FA odhlášen a na displeji se mu zobrazí varovná zpráva. Předtím je ale k účtu krátce přihlášen. Je tomu tak proto, že mobilní aplikace teprve po přihlášení obdrží zprávu že se jedná o účet s 2FA. Nutnost použití 2FA tak lze snadno obejít krátkodobým odpojením zařízení od internetu nebo zfalšováním atributu zprávy informující o zapnutí 2FA na daném účtu. PayPal už sice uvedenou zranitelnost provizorně opravil, ale je s podivem, že mu oprava takto závažné zranitelnosti trvala téměř tři měsíce od původního oznámení.
Bankovní trojan využívá funkcionalitu Windows k blokování antivirových programů
Společnost Trend Micro informovala o zajímavé vlastnosti bankovního trojanu BKDR_VAWTRAK, který napadá především japonské uživatele. Aby zabránil svému odhalení, VAWTRAK využívá funkcionalitu Windows Software Restriction Policies, která umožňuje uživateli nastavit oprávnění pro určité programy. VAWTRAK se namísto toho po detekci přítomnosti určitého antivirového programu pokusí vložit do registru Windows nový klíč, který způsobí jeho blokování.
Nově vytvořený trojan krade data z webových formulářů
Společnost RSA oznámila, že na černém trhu s malwarem je za cenu 1500,- až 2000,- USD nabízen nový trojan Pandemiya. Poměrně vysoká cena vyplývá i z toho, že na rozdíl od mnoha jiných trojanů objevených v poslední době se nejedná o klon ZeuSu, jehož zdrojový kód unikl v roce 2011, ale o program nově vytvořený v jazyce C. To mu zřejmě zajistí horší detekovatelnost antivirovými nástroji. Pandemiya nabízí podobnou funkcionalitu jako klony ZeuSu, tedy zachytávání dat z webových formulářů, pořizování snímků obrazovky a krádeže souborů určených typů.
Cílené útoky na cloudové platební systémy
Společnost IntelCrawler zaznamenala cílené útoky na platební systémy (POS) hostované na cloudových službách. Útočníci se pomocí zranitelností v Internet Exploreru a Flash Playeru snaží nakazit počítač zaměstnance s přístupem k POS systému a ten potom zneužívají. Jedním z motivů je získání údajů o platebních kartách zákazníků, ale některé z těchto systémů je možné využít i k dalším podvodům, jako například k neoprávněnému vytváření dárkových certifikátů. IntelCrawler varuje, že tento typ útoků je na vzestupu a může představovat vážné nebezpečí.
Microsoft představil Interflow – platformu pro sdílení informací o hrozbách
Společnost Microsoft na konferenci FIRST v Bostonu představila novou iniciativu Microsoft Interflow. Ta prozatím prochází fází vnitřního testování, ale po svém uvolnění by měla odborníkům v oblasti kybernetické bezpečnosti a zejména CERT týmům nabídnout nástroj na snadné sdílení informací o hrozbách. Díky využití standardizovaných formátů dat má umožnit provázání se současnými analytickými nástroji. Svým důrazem na automatické zpracování dat má zejména přinést větší flexibilitu a nižší náklady do systému monitorování hrozeb a řízení rizik.
Brýle Google Glass mohou zjistit vaše heslo
Výzkumníci z Massachusettské univerzity demonstrovali možnost využití Google Glass, chytrých hodinek od Samsungu a iPhonu k získání cizího hesla na iPad nebo jiný obdobný přístroj. Zabudované kamery v těchto přístrojích byly schopny na vzdálenost tří metrů odhadnout použité heslo s přesností vyšší než 80%. Při použití HD kamery se dokonce maximální vzdálenost zvýšila až na 45 metrů. Přitom nemusí mít kamera přímý výhled na obrazovku iPadu. Dokáže totiž reálné zařízení i s jeho náklonem a pohyb prstů uživatele porovnat s referenčním modelem.
Možnost zneužití NTP serverů k DDoS útokům stále zůstává vysoká
(Network Time Protocol) začala být k DDoS útokům masivně zneužívána na konci roku 2013. Za ideálních podmínek může zranitelný NTP server znásobit sílu DDoS útoku i více než 700 krát. Bezpečnostní společnost NSFOCUS zranitelné NTP servery pravidelně monitoruje. Podle jejího zjištění jejich počet od prosince 2013 sice výrazně poklesl (z více než 400 000 na 17 000), ale jejich škodlivý potenciál zůstává vysoký. Je tomu tak i proto, že počet serverů schopných nejvíce znásobit útok se nesnižuje, ale naopak narůstá.