MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Нов Android малвер дистрибуиран како SDK реклама е откриен во повеќе апликации, многумина претходно на Google Play и збирно преземени над 400 милиони пати.

Безбедносните истражувачи од Dr. Web го открија spyware модулот и го следеа како „SpinOk“, предупредувајќи дека може да украде приватни податоци складирани на уредите на корисниците и да ги испрати на оддалечен сервер.

Антивирусната компанија изјави дека SpinkOk демонстрира навидум легитимно однесување, користејќи мини игри кои водат до „дневни награди“ за да предизвика интерес кај корисниците.

„Од површината, SpinOk модулот е дизајниран да го одржува интересот на корисниците за апликациите со помош на мини игри, систем на задачи и наводни награди и цртежи на награди“, стои во извештајот на Doctor Web.

Во позадина, сепак, SDK тројанецот ги проверува податоците од сензорот на Android (жироскоп, магнетометар) за да потврди дека не работи во sandbox околина, што најчесто се користи од страна на истражувачите кога анализираат потенцијално Android малициозни апликации.

Апликацијата потоа се поврзува со оддалечен сервер за да преземе список со отворени URL-адреси што се користат за прикажување на очекуваните мини игри.

Додека мини-игрите се прикажуваат на корисниците на апликациите како што се очекуваше, d-r Web изјави дека во позадина, SDK е способен за дополнителна малициозна функционалност, вклучувајќи наведување датотеки во директориуми, пребарување на одредени датотеки, поставување датотеки од уредот или копирање и замена на содржината на таблата со исечоци.

Функционалноста за ексфилтрација на датотеки е особено загрижувачка бидејќи може да изложи приватни слики, видеа и документи.

Дополнително, кодот за функционалност за модификација на таблата со исечоци им овозможува на SDK креаторите да украдат лозинки за сметки и податоци за кредитни картички или да крадат плаќања со криптовалути на нивните сопствени адреси на крипто-паричник.

D-r Web тврди дека оваа SDK бил пронајден во 101 апликација кои биле преземени вкупно 421.290.300 пати од Google Play, а најсимнуваните се наведени подолу:

Noizz: видео едитор со музика (100.000.000 преземања)

Zapya – пренос на датотеки, споделување (100.000.000 преземања; Dr. Web изјави дека тројанскиот модул бил присутен во верзијата 6.3.3 до верзијата 6.4 и повеќе не е присутен во тековната верзија 6.4.1)

VFly: уредувач на видео и креатор на видео (50.000.000 преземања)

MVBit – креатор на MV видео статус (50.000.000 преземања)

Biugo – креатор на видео и уредувач на видеа (50.000.000 преземања)

Crazy Drop (10.000.000 преземања)

Cashzine – награда за заработување пари (10.000.000 преземања)

Роман Fizzo – читање офлајн (10.000.000 преземања)

CashEM: добивање награди (5.000.000 преземања)

Tick: гледајте за да заработите (5.000.000 преземања)

Сите, освен една од горенаведените апликации се отстранети од Google Play, што покажува дека Google добивал извештаи за малициозниот SDK и ги отстранил навредливите апликации додека програмерите не поднесат чиста верзија.

Комплетна листа на апликации за кои наводно се користи SDK може да се најде на страницата на D-r Web.

Не е јасно дали издавачите на тројанизираните апликации биле измамени од дистрибутерот на SDK или свесно го вклучиле во нивниот код, но овие инфекции најчесто произлегуваат од supply-chain напад од трета страна.

Ако користите некоја од апликациите наведени погоре, треба да ја ажурирате најновата верзија достапна преку Google Play, која треба да биде чиста.

Ако апликацијата не е достапна во Android официјалната продавница за апликации, се препорачува веднаш да ја деинсталирате и да го скенирате уредот со мобилна антивирусна алатка за да се осигурате дека ќе се отстранат сите spyware остатоци.

BleepingComputer се обрати до Google за изјава за оваа огромна база на инфекции, но коментарот не беше достапен до времето на објавување.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата кампања која дистрибуира RomCom backdoor малвер претставува имитирање на веб-страници на добро познат или измислен софтвер, мамејќи ги корисниците да преземаат и стартуваат малициозни инсталатери.

Последната кампања беше откриена од страна на Trend Micro, кој го следеше RomCom од летото 2022 година. Истражувачите известуваат дека заканите кои стојат зад малициозниот софтвер ја ескалирале неговата евазија користејќи payload шифрирање и ги прошириле можностите на алатката со воведување нови и моќни команди.

Повеќето веб-страници што се користат за дистрибуција на RomCom до жртви се однесуваат на remote desktop апликации за управување, што ја зголемува веројатноста напаѓачите да користат phishing или social engineering за да им пристапат на жртвите.

Првата документирана употреба на RomCom беше пријавена во август 2022 година од страна на Palo Alto Networks, припишувајќи ги нападите на Cuba ransomware што ја нарекоа „Tropical Scorpius“. Trend Micro користи „Void Rabisu“ за да го следи истиот напаѓач.

Во октомври 2022 година, украинскиот CERT-UA објави дека RomCom малвер се користи во напади против критичните мрежи во земјата.

Друг извештај објавен речиси истовремено од BlackBerry тврди дека е поврзан со Cuba ransomware, но ги потврди нападите во Украина, а исто така укажува дека има жртви на малициозен софтвер во САД, Бразил и Филипините.

Следниот извештај на BlackBerry во ноември 2022 година илустрираше како RomCom имитираше легитимен софтвер, вклучувајќи го SolarWinds Network Performance Monitor (NPM), менаџерот за лозинки KeePass и PDF Reader Pro.

Извештајот на Trend Micro за најновата активност на RomCom наведува неколку примери на веб-страници што ги користеле напаѓачите помеѓу декември 2022 и април 2023 година, кои имитираат легитимен софтвер, како Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja, Devolutions’ Remote Desktop Manager, и други.

Некои од малициозните страници користени во споменатиот временски период се:

gllmp.com (офлајн) – Го имитира бесплатниот уредувач на слики со отворен код

gotomeet.us (офлајн) – Ја имитира cloud апликацијата за видео состаноци и конференции

singularlabs.org (офлајн) – имитира PC-алатка за чистење

chatgpt4beta.com (онлајн) – ја имитира AI-четбот платформата

astrachats.com (офлајн) – Го имитира безбедниот chat софтвер

devolutionrdp.com (онлајн) – имитира remote desktop алатка за управување

cozy-sofware.com (офлајн) – имитира remote desktop алатка за управување

vectordmanagesoft.com (офлајн) – имитира remote desktop алатка за управување

devolrdm.com (онлајн) – имитира remote desktop алатка за управување

dirwinstat.com (онлајн) – имитира диск прегледувач и алатка за чистење

Овие лажни сајтови се промовираат преку реклами на Google и високо таргетирани phishing-мејлови, а повеќето од жртвите се наоѓаат во Источна Европа.

Веб-страниците дистрибуираат MSI инсталатери кои се имитираат на ветената апликација, но се тројанизирани со малициозна DLL-датотека („InstallA.dll“).

Оваа датотека извлекува уште три DLL во %PUBLIC%\Libraries папката на жртвата, која се справува со command & control сервер комуникациите и извршување на команди.

Најновата верзија на RomCom payload, анализирана од страна на Trend Micro, покажува дека неговите автори работеле на имплементација на дополнителни малициозни команди, при што нивниот број на команди растел од 20 на 42.

Некои од нагласените команди што може да се притиснат на уред инфициран со RomCom се:

Стартувај cmd.exe

Симнете датотека на компјутерот на жртвата за да вметнете повеќе payloads

Поставете процес со PID измама за да изгледа легитимен

Ексфилтрирајте ги податоците од компромитираниот систем

Поставете proxy преку SSH

Ажурирајте го малициозниот софтвер на уредот

Стартувај AnyDesk на скриен прозорец

Компресирајте дадена папка и испратете ја до серверот на напаѓачите.

Овие команди веќе им даваат на напаѓачите широки можности, но компанијата за сајбер-безбедност известува дека видела неколку случаи на дополнителни малициозни payloads кои се инсталирани преку RomCom.

Stealer компонентите преземени од страна на RomCom на компромитирани уреди вклучуваат:

PhotoDirector.dll – Алатка за снимање слики од екранот која ги компресира сликите во ZIP архивите за ексфилтрација

procsys.dll – Веб-прелистувач (Chrome, Firefox, Edge) крадец на колачиња

wallet.exe – Крадец на паричник на криптовалути

msg.dll – Крадец за инстант пораки

FileInfo.dll – Крадец на FTP акредитиви кој поставува податоци на FTP сервер

Креаторите на RomCom сега го користат VMProtect софтверот за заштита на кодот и анти VM способностите. Исто така, користи енкрипција за payload, чиј клуч не е тврдо кодиран, туку земен со надворешна адреса.

Малициозниот софтвер користи нула бајти во својата C2 комуникација за да избегне откривање од алатките за следење на мрежата.

Конечно, софтверот преземен од малициозните веб-страници е потпишан од навидум легитимни компании наводно со седиште во САД и Канада, чии веб-страници се полни со лажна или плагијатна содржина.

RomCom е поврзан со ransomware, шпионажа и војување, а точните цели на неговите креатори остануваат непознати. Како и да е, тоа е сестрана закана што може да предизвика значителна штета.

Trend Micro обезбеди сеопфатна листа на индикатори за компромис (IoCs) за најновата RomCom кампања и Yara правила за да им помогне на бранителите да ги откријат и запрат нападите.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Севернокорејските хакери поддржани од страна на државата, познати како Lazarus група, сега ги таргетираат ранливите Windows Internet Information Services (IIS) веб сервери за да добијат првичен пристап до корпоративните мрежи.

Lazarus првенствено е финансиски мотивирана група, а многу аналитичари веруваат дека малициозните активности на хакерите помагаат во финансирањето на програмите за развој на оружје на Северна Кореја. Меѓутоа, групата била вклучена и во неколку шпионски операции.

Најновата тактика на таргетирање на Windows IIS серверите беше откриена од страна на јужнокорејски истражувачи во AhnLab Security Emergency Response Center (ASEC).

Windows Internet Information Services (IIS) веб серверите се користат од страна на организации од сите големини за хостирање на веб-содржини како што се сајтови, апликации и услуги, како што е Microsoft Exchange Outlook на Интернет.

Тоа е флексибилно решение кое е достапно од лансирањето на Windows NT, поддржувајќи ги HTTP, HTTPS, FTP, FTPS, SMTP и NNTP протоколите.

Меѓутоа, ако серверите се лошо управувани или застарени, тие можат да дејствуваат како влезни точки на мрежата за хакерите.

Претходно, Symantec објави дека хакери шират малициозен софтвер на IIS за извршување на команди на пробиените системи преку веб-барања, избегнувајќи откривање од страна на безбедносните алатки.

Посебен извештај откри дека хакерската група наречена „Cranfly“ користела непозната техника за контрола на малициозен софтвер со користење на IIS веб сервер логови.

Lazarus најпрво добива пристап до IIS серверите користејќи познати пропусти или погрешни конфигурации кои им овозможуваат на хакерите да креираат датотеки на IIS серверот користејќи го w3wp.exe процесот.

Хакерите пуштаат „Wordconv.exe“, легитимна датотека што е дел од Microsoft Office, малициозен DLL („msvcr100.dll“) во истата папка и кодирана датотека со име „msvcr100.dat“.

По стартувањето на „Wordconv.exe“, малициозниот код во DLL се вчитува за да се дешифрира извршната датотека кодирана со Salsa20 од msvcr100.dat и да се изврши во меморијата каде што антивирусните алатки не можат да го откријат.

ASEC откри неколку сличности со кодот помеѓу „msvcr100.dll“ и друг малициозен софтвер што го забележа минатата година, „cylvc.dll“, кој беше користен од страна на Lazarus за да ги оневозможи програмите против малициозен софтвер користејќи ја „bring your own vulnerable driver“ техниката.

Оттука, ASEC ја смета новооткриената DLL-датотека за нова варијанта на истиот малициозен софтвер.

Во втората фаза од нападот, Lazarus создава втор малициозен софтвер (‘diagn.dll’) со искористување на Notepad++.

Вториот малициозен софтвер добива нов payload кодиран со алгоритмот RC6, го дешифрира со помош на хард-кодиран клуч и го извршува во меморијата поради евазија.

ASEC не можеше да утврди што направи овој payload на пробиениот систем, но забележа знаци на LSASS што укажува на активност на кражба на акредитиви.

Последниот чекор од Lazarus нападот беше да се изврши мрежно извидување и странично движење преку 3389 портата (Remote Desktop) користејќи валидни кориснички акредитиви, веројатно украдени во претходниот чекор.

Сепак, ASEC не откри никакви дополнителни малициозни активности откако хакерите се проширија странично на мрежата.

Бидејќи Lazarus во голема мера се потпира на DLL странично оптоварување како дел од нивните напади, ASEC препорачува организациите да следат за ненормално извршување на процесот.

„Конкретно, бидејќи хакерската група првенствено ја користи техниката на странично DLL вчитување за време на нивните првични инфилтрации, компаниите треба проактивно да ги следат абнормалните односи на извршување на процесите и да преземат превентивни мерки за да ги спречат хакерите да извршуваат активности како што се ексфилтрација на информации и странично движење. “ стои во извештајот на ASEC.

Извор: BleepingComputer