WhatsApp a Telegram môžu ukradnúť vašu peňaženku s kryptoměnami
Webové stránky napodobňujúce aplikácie na okamžité zasielanie správ, ako sú Telegram a WhatApp, sú využívané na distribúciu trojanizovaných verzií a infikovanie používateľov Androidu a Windows malwarom cryptocurrency clipper.
Boli objavené desiatky napodobenín webových stránok Telegramu a WhatsAppu zameraných najmä na používateľov Androidu a Windowsu s trojanizovanými verziami týchto aplikácií na okamžité zasielanie správ. Väčšina identifikovaných škodlivých aplikácií sú tzv. clippers – typ malwaru, ktorý kradne alebo upravuje obsah clipboardu. Všetky z nich idú po finančných prostriedkoch obetí v kryptomenách, pričom viaceré sa zameriavajú na peňaženky s kryptomenami. Je to prvýkrát, čo boli zaznamenané clippery pre Android zamerané konkrétne na okamžité správy. Niektoré z týchto aplikácií navyše používajú optické rozpoznávanie znakov (OCR) na rozpoznávanie textu zo snímkov obrazovky uložených v napadnutých zariadeniach, čo je ďalšie prvenstvo pre malware v Androide.
Hlavným cieľom objavených clipperov je zachytiť komunikáciu obete v správach a nahradiť všetky odoslané a prijaté adresy peňaženiek s kryptomenovými adresami patriacimi útočníkom. Okrem trojanizovaných aplikácií WhatsApp a Telegram pre Android boli nájdené aj trojanizované verzie tých istých aplikácií pre Windows.
Návrh řešení týmu viz ThreatGuard-ID: 2546
Čínští hackeři zneužívají Fortinet FortiOS k directory traversal útokům
Byla detekována zranitelnost v produktu FortiOS, jež je aktuálně zneužívána čísnkými hackery, a která útočníkům umožňuje provádět na napadeném systému útoky directory traversal.
Byla detekována zranitelnost v produktu FortiOS, jež je aktuálně zneužívána čísnkými hackery, a která útočníkům umožňuje provádět na napadeném systému útoky directory traversal.
Návrh řešení týmu viz ThreatGuard-ID: 2545
Microsoft Outlook umožňuje navýšenie oprávnení
Externí útočníci môžu odoslať špeciálne vytvorené e-maily, ktoré spôsobia pripojenie obete k externému umiestneniu UNC pod kontrolou útočníkov. Tým by unikol hash Net-NTLMv2 obete k útočníkovi, ktorý by ho potom mohol odovzdať inej službe a autentizovať sa ako obeť. E-mail by sa spustil automaticky pri načítaní a spracovaní klientom programu Outlook, čo by mohlo viesť k zneužitiu ešte pred zobrazením e-mailu v paneli náhľadu.
To znamená, že táto zraniteľnosť by sa dala použiť na získanie hashovaného tokenu, ktorý by sa potom mohol použiť pri takzvanom „pass-the-hash“ útoku. Windows NT LAN Manager (NTLM) je autentizačný protokol typu challenge-response, ktorý sa používa na autentizáciu klienta k zdroju v doméne Active Directory. Keď klient požiada o prístup k službe spojenej s doménou, služba odošle klientovi challenge, ktorý vyžaduje, aby klient vykonal matematickú operáciu pomocou svojho autentizačného tokenu, a potom vráti výsledok tejto operácie službe. Služba môže výsledok overiť alebo ho poslať na overenie radiču domény (DC). Ak služba alebo DC potvrdia, že odpoveď klienta je správna, služba umožní klientovi prístup. Hash, ktorý máte, má dostatok informácií na opakované vykonanie tejto matematickej operácie potrebnej na získanie prístupu. Proces overovania nevyžaduje heslo v plaintexte, stačí hash.
Spoločnosť Microsoft umožňuje na vyhodnotenie zraniteľnosti použiť skript, ktorý je dostupný v sekcií zdrojov.
Návrh řešení týmu viz ThreatGuard-ID: 2539
