MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новиот „File Archiver in the Browser“ phishing комплет ги злоупотребува ZIP домените со прикажување лажни WinRAR или Windows File Explorer прозори во прелистувачот за да ги убеди корисниците да стартуваат малициозни датотеки.

На почетокот на овој месец, Google започна да нуди можност за регистрирање ZIP TLD домени, како што е bleepingcomputer.zip, за хостирање веб-страници или мејл адреси.

Од објавувањето на TLD, имаше доста дебати околу тоа дали тие се грешка и дали претставуваат ризик по сајбер безбедноста за корисниците.

Додека некои експерти веруваат дека стравовите се претерани, главната грижа е дека некои сајтови автоматски ќе претворат низа што завршува со „.zip“, како што е setup.zip, во линк што може да се кликне и кој може да се користи за испорака на малициозен софтвер или phishing напади.

На пример, ако некому му испратите инструкции за преземање датотека наречена setup.zip, Twitter автоматски ќе го претвори setup.zip во линк, со што луѓето мислат дека треба да кликнат на него за да ја преземат датотеката.

Кога ќе кликнете на тој линк, вашиот прелистувач ќе се обиде да ја отвори https://setup.zip страницата, која може да ве пренасочи на друга страница, да прикаже HTML страница или да ве поттикне да преземете датотека.

Сепак, како и сите кампањи за испорака на малициозен софтвер или phishing, прво мора да го убедите корисникот да отвори датотека, што може да биде предизвик.

Истражувачот за безбедност mr.d0x разви паметен phishing пакет со алатки кој ви овозможува да креирате лажни WinRar инстанци во прелистувачот и Windows Explorer на датотеки кои се прикажуваат на ZIP домени со цел да ги измамат корисниците да мислат дека се отворени .zip-датотеки.

„Со овој phishing напад, вие симулирате софтвер за архивирање датотеки (на пр. WinRAR) во прелистувачот и користите .zip домен за да изгледа полегитимно“, се објаснува во новата објава на блогот на истражувачот.

Во демонстрација споделена со BleepingComputer, комплетот со алатки може да се користи за да се вгради лажен WinRar прозорец директно во прелистувачот кога ќе се отвори .zip доменот, со што изгледа дека корисникот отворил ZIP архива и сега ги гледа датотеките во неа.

Иако изгледа убаво кога се прикажува во прелистувачот, сјае како скокачки прозорец, бидејќи можете да ја отстраните лентата за адреси и лентата за лизгање, оставајќи го она што изгледа како WinRar прозорец прикажан на екранот.

За да го направат лажниот WinRar прозорец уште поубедлив, истражувачите имплементирале лажно безбедносно Scan копче кое, кога ќе се кликне, покажува дека датотеките биле скенирани и не биле откриени закани.

Додека комплетот со алатки сè уште ја прикажува лентата за адреси на прелистувачот, сепак веројатно ќе измами некои корисници да мислат дека ова е легитимна WinRar архива. Понатаму, креативните CSS и HTML најверојатно би можеле да се користат за дополнително да се усоврши комплетот со алатки.

mr.d0x, исто така, создаде друга варијанта што прикажува лажен Windows File Explorer во прелистувачот кој се преправа дека отвора ZIP-датотека. Овој шаблон е повеќе од работа во тек, па затоа недостасуваат некои ставки.

mr.d0x објаснува дека овој комплет phishing алатки може да се користи и за кражба на ингеренциите и за испорака на малициозен софтвер.

На пример, ако корисникот кликне двапати на PDF во лажниот WinRar прозорец, тој може да го пренасочи посетителот на друга страница барајќи ги нивните ингеренции за најава за правилно да ја прегледа датотеката.

Комплетот со алатки може да се користи и за испорака на малициозен софтвер со прикажување на PDF-датотека што презема слично име .exe, наместо кога ќе се кликне.
На пример, прозорецот за лажна архива може да прикаже датотека document.pdf, но кога ќе се кликне, прелистувачот презема document.pdf.exe.

Бидејќи Windows стандардно не прикажува екстензии на датотеки, корисникот само ќе види PDF-датотека во папката за преземања и потенцијално ќе кликне двапати на неа, не сфаќајќи дека е извршна датотека.

Од особен интерес е како Windows пребарува датотеки и, кога не е пронајден, се обидува да ја отвори бараната низа во прелистувачот. Ако таа низа е легитимен домен, тогаш веб-страницата ќе се отвори; во спротивно, ќе ги прикаже резултатите од Bing пребарувањето.

Ако некој регистрира zip домен што е исто како и вообичаеното име на датотека и некој изврши пребарување во Windows, оперативниот систем автоматски ќе ја отвори страницата во прелистувачот.

Доколку таа страница го хостираше phishing комплетот „File Archiver in the Browser“, може да го измами корисникот да помисли дека WinRar прикажува вистинска ZIP архива.

Оваа техника илустрира како ZIP домените може да се злоупотребуваат за да се создадат паметни phishing напади и испорака на малициозен софтвер или кражба на ингеренциите.

mr.d0x е познат по претходните паметни phishing алатки, како што е користењето VNC за phishing за да се заобиколи MFA и Browser-in-the-Browser техниката. Хакерите го искористија второто за да ги украдат Steam ингеренциите.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Напаѓачите користат шифрирани RPMSG прилози испратени преку компромитирани сметки на Microsoft 365 со цел да украдат Microsoft акредитиви во таргетирани phishing напади дизајнирани да избегнуваат откривање преку безбедносните порти за е-пошта.

RPMSG-датотеките (исто така познати како датотеки со пораки со ограничена дозвола) се шифрирани мејл прилози создадени со помош на Microsoft Rights Management Services (RMS) и нудат дополнителен слој на заштита на чувствителните информации со ограничување на пристапот до овластените примачи.

Примателите кои сакаат да ги прочитаат мора да се автентицираат користејќи ја нивната сметка на Microsoft или да добијат еднократна лозинка за дешифрирање на содржината.

Како што Trustwave неодамна откри, барањата за автентикација на RPMSG сега се експлоатираат за да ги измамат жртвите да ги предадат нивните Microsoft акредитиви користејќи лажни форми за најавување.

„Ова започнува со мејл што потекнува од компромитирана сметка на Microsoft 365, во овој случај од Talus Pay, компанија за обработка на плаќања“, изјави Trustwave.

„Примачите беа корисници во одделот за наплата на компанијата-примач.
Пораката покажува Microsoft шифрирана порака“.

Мејлот на напаѓачите бара од жртвите да кликнат на копчето „Прочитај ја пораката“ за да ја дешифрираат и отворат заштитената порака, пренасочувајќи ги на веб-страница на Office 365 со барање да се пријават на нивната сметка на Microsoft.

По автентикацијата со користење на оваа легитимна Microsoft услуга, примателите конечно можат да ја видат phishing – поштата на напаѓачите што ќе ги испрати до лажен SharePoint документ хостиран на InDesign услугата на Adobe откако ќе кликнат на копчето „Кликнете овде за да продолжите“.

Оттаму, кликнувањето на „Кликни овде за да го видиш документот“ води до крајната дестинација која прикажува празна страница и порака „Се вчитува…почекај“ во насловната лента што делува како мамка за да овозможи малициозната скрипта да собира различни системски информации.

Собраните податоци вклучуваат ID на посетител, токен за поврзување и хаш, информации за рендерирање на видео картички, системски јазик, меморија на уредот, хардверска конкуренција, инсталирани browser plugins, детали за прозорецот на прелистувачот и ОС архитектурата.

Откако скриптата ќе заврши со собирање на податоците за жртвите, страницата ќе прикаже клонирана форма за најавување на Microsoft 365 која ќе ги испрати внесените кориснички имиња и лозинки до сервери контролирани од страна на напаѓачот.

Откривањето и спротивставувањето на таквите phishing напади може да се покаже доста предизвикувачки поради нивниот мал обем и таргетирана природа, како што забележаа Trustwave истражувачите.

Покрај тоа, употребата на доверливи cloud услуги од страна на напаѓачите, како што се Microsoft и Adobe, за испраќање phishing мејлови и содржини за домаќини додава дополнителен слој на сложеност и доверливост.

Шифрираните RPMSG прилози, исто така, ги кријат phishing пораките од портите за скенирање на е-пошта, со оглед на тоа што единствената хиперврска во почетната phishing порака ги насочува потенцијалните жртви кон легитимна Microsoft услуга.

„Едуцирајте ги вашите корисници за природата на заканата, наместо да се обидувате да ги дешифрирате или отклучите неочекуваните пораки од надворешни извори“, Trustwave ги советува компаниите кои сакаат да ги ублажат ризиците од овој тип на phishing напади.

„За да спречите компромитирање на сметките на Microsoft 365, овозможете повеќе -факторска автентикација (MFA).“

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

ESET малвер истражувачите пронајдоа нов remote access trojan (RAT) на Google Play Store, скриен во Android апликација за снимање екран со десетици илјади инсталации.

Додека за прв пат беше додадена во продавницата во септември 2021 година, апликацијата „iRecorder – Screen Recorder“ веројатно беше тројанизирана преку малициозно ажурирање објавено речиси една година подоцна, во август 2022 година.

Името на апликацијата го олесни барањето дозвола за снимање аудио и пристап до датотеки на заразените уреди бидејќи барањето се совпаѓа со очекуваните можности на алатката за снимање екран.

Пред нејзиното отстранување, апликацијата собра над 50.000 инсталации на Google Play Store, изложувајќи ги корисниците на инфекции со малициозен софтвер.

„По нашето известување за малициозното однесување на iRecorder, безбедносниот тим на Google Play го отстрани од продавницата“, изјави Lukas Stefanko, ESET малвер истражувач.

„Сепак, важно е да се напомене дека апликацијата може да се најде и на алтернативни и неофицијални Android пазари. Развивачот на iRecorder обезбедува и други апликации на Google Play, но тие не содржат малициозен код.

Малициозен софтвер за кој станува збор, наречен AhRat од страна на ESET, се базира на Android RAT со отворен код, познат како AhMyth.

Има широк опсег на можности, вклучувајќи, но не ограничувајќи се на следење на локацијата на заразените уреди, крадење дневници на повици, контакти и текстуални пораки, испраќање СМС пораки, фотографирање и снимање аудио во позадина.

По внимателно испитување, ESET откри дека самата малициозна апликација за снимање екран користела само подгрупа од RAT можностите бидејќи се користела само за создавање и ексфилтрација на снимки од амбиенталниот звук и за кражба на датотеки со специфични екстензии, навестувајќи потенцијални активности за шпионажа.

Ова не е прв случај на AhMyth-базиран на Android малициозен софтвер кој се инфилтрира во Google Play store. ESET, исто така, објави детали во 2019 година за друга тројанизирана апликација од AhMyth која двапати го измами процесот на проверка на апликациите на Google со тоа што се маскираше во апликација за радио стриминг.

„Претходно, софтверот со отворен код AhMyth беше вработен од Transparent Tribe, исто така познат како APT36, сајбер-шпионажна група позната по својата широка употреба на social engineering техники и таргетирање на владини и воени организации во Јужна Азија“, изјави Stefanko.

„Сепак, не можеме да ги припишеме тековните примероци на некоја специфична група и нема индикации дека тие се произведени од позната advanced persistent threat (APT) група.

Извор: BleepingComputer