AntiBotNet


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Критична RCE ранливост откриена во ClamAV антивирусен софтвер со отворен код

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Cisco објави безбедносни ажурирања за да одговори на критичниот пропуст пријавен во ClamAV антивирусниот софтвер со отворен код што може да доведе до далечинско извршување на кодот на подложни уреди.

Следено како CVE-2023-20032 (CVSS оцена: 9,8), проблемот се однесува на случај на далечинско извршување на кодот што се наоѓа во HFS+ file parser компонентата.

Пропустот влијае на верзиите 1.0.0 и порано, 0.105.1 и порано, 0.103.7 и порано. Безбедносниот инженер на Google, Simon Scannell, е заслужен за откривање и пријавување на ранливоста.

„Оваа ранливост се должи на недостигната проверка на големината на баферот што може да резултира со прелевање на баферот“, изјави Cisco Talos во советот. „Напаѓачот би можел да ја искористи оваа ранливост со поднесување на изработена HFS+ датотека со партиција што треба да се скенира од ClamAV на засегнатиот уред”.

Успешното искористување на слабоста може да му овозможи на напаѓачот да изврши произволен код со истите привилегии како оној на процесот на скенирање на ClamAV или да го прекине процесот, што ќе резултира со denial-of-service (DoS) состојба.

Тимот за вмрежување изјави дека следните производи се ранливи:

– Secure Endpoint, порано Advanced Malware Protection (AMP) за крајни точки (Windows, macOS и Linux)

– Secure Endpoint Private Cloud

– Secure Web Appliance, порано Web Security Appliance

Потоа потврди дека ранливоста не влијае на Secure Email Gateway (порано Email Security Appliance) и Secure Email and Web Manager (порано Security Management Appliance) производите.

Исто така, закрпена е ранливоста за далечинско протекување на информации во ClamAV DMG file parser (CVE-2023-20052, CVSS резултат: 5.3) од страна на Cisco што може да биде искористена од страна на неавтентициран, далечински напаѓач.

„Оваа ранливост се должи на овозможување замена на XML ентитет што може да резултира со вметнување на надворешен XML ентитет“, забележа Cisco. „Напаѓачот би можел да ја искористи оваа ранливост со поднесување на изработена DMG-датотека што ќе го скенира ClamAV на погодениот уред“.

Вреди да се истакне дека CVE-2023-20052 не влијае на Cisco Secure Web Appliance. Сепак, и двата пропусти се адресирани во ClamAV верзии 0.103.8, 0.105.2 и 1.0.1.

Cisco исто така, ја реши denial-of-service (DoS) ранливоста што влијаеше на Cisco Nexus Dashboard (CVE-2023-20014, CVSS резултат: 7,5) и два други недостатоци во зголемувањето на привилегиите и вметнување на команди во Email Security Appliance (ESA) и безбедна е-пошта и Веб-менаџер (CVE-2023-20009 и CVE-2023-20075, CVSS резултати: 6,5).

Извор: TheHackerNews

Enigma, Vector и TgToxic: Новите закани за корисниците на криптовалути

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Осомничените руски хакери ги таргетираат корисниците од Источна Европа во крипто индустријата со лажни можности за работа како мамка за инсталирање малициозен софтвер за крадење информации на компромитирани домаќини.

Напаѓачите „користат неколку недоволно развиени техники со цел да ги заразат оние кои се вклучени во индустријата за криптовалути со Enigma“, изјавија истражувачите на Trend Micro, Aliakbar Zahravi и Peter Girnus во извештајот оваа недела.

Enigma е изменета верзија на Stealerium, малициозен софтвер базиран на C# со отворен код кој делува како stealer, clipper и keylogger.

Инфекцијата започнува со лажна RAR архивска датотека што се дистрибуира преку phishing или платформи на социјалните медиуми. Содржи два документи, од кои едниот е .TXT-датотека која вклучува збир од прашања за интервју поврзани со криптовалутите.

Втората датотека е Microsoft Word документ кој, иако служи како мамка, има задача да ја стартува првата фаза на Enigma, кој, пак, презема и извршува payload од секундарна фаза преку Telegram.

„За да ја преземете следната фаза, малициозниот софтвер прво испраќа барање до Telegram каналот контролиран од напаѓачот за да ја добие патеката на датотеката“, изјавија истражувачите. „Овој пристап му овозможува на напаѓачот постојано ажурирање и ја елиминира зависноста од фиксните имиња на датотеките.

Преземањето од втората фаза, кое се извршува со зголемени привилегии, е дизајниран да го оневозможи Microsoft Defender и да инсталира трета фаза со распоредување на легитимно потпишан kernel mode Intel driver кој е ранлив на CVE-2015-2291 во техника наречена Bring Your Own Vulnerable Driver (BYOVD).

Вреди да се напомене дека U.S. Cybersecurity and Infrastructure Security Agency (CISA) ја додаде ранливоста во својот каталог на познати експлоатирани ранливости (KEV), наведувајќи докази за активна експлоатација.

Третата фаза на крајот го отвора патот за преземање на Enigma Stealer преку Telegram канал контролиран од напаѓачот. Малициозниот софтвер, доаѓа со функции за собирање чувствителни информации, снимање притискања на тастатурата и снимање слики од екранот, а сето тоа се ексфилтрира назад со помош на Telegram.

Лажните понуди за работа се испробана и проверена тактика што ја користи Lazarus Групацијата поддржана од Северна Кореја во нејзините напади насочени кон крипто секторот. Усвојувањето на овој начин на работа од страна на руските хакери „покажува упорен и профитабилен начин за напад“.

Наодите доаѓаат откако Uptycs објави детали за кампања за напад што го користи малициозниот софтвер Stealerium за да ги презема личните податоци, вклучително и ингеренциите за паричници со криптовалути како што се Armory, Atomic Wallet, Coinomi, Electrum, Exodus, Guarda, Jaxx Liberty и Zcash, меѓу другите.

Придружувањето на Enigma Stealer и Stealerium во таргетирањето на паричниците со криптовалути е уште еден малициозен софтвер наречен Vector Stealer кој исто така доаѓа со можности за крадење на .RDP датотеки, овозможувајќи им на хакерите да извршат RDP hijacking за далечински пристап, изјави Cyble во техничкото пишување.

Синџирите за напади документирани од фирмите за сајбер-безбедност покажуваат дека групите на малициозен софтвер се испорачуваат преку Microsoft Office прилозите кои содржат малициозни макроа, што сугерира дека хакерите сè уште се потпираат на методот и покрај обидите на Microsoft да ја затвори дупката.

Сличен метод е употребен и за распоредување на Monero наспроти позадината на кампањата за cryptojacking и phishing наменета за шпанските корисници, според Fortinet FortiGuard Labs.

Развојот е исто така најнов во долгата листа на напади кои имаат за цел да ги украдат криптовалутите на жртвите низ платформите.

Ова се состои од „rapidly evolving“ Android банкарски trojan познат како TgToxic, кој ги краде ингеренциите и средствата од крипто паричниците, како и од банкарските и финансиските апликации. Тековната кампања за малициозен софтвер, активна од јули 2022 година, е насочена кон мобилни корисници во Тајван, Тајланд и Индонезија.

„Кога жртвата ќе ја преземе лажната апликација од веб-страната дадена од страна на хакерот или ако жртвата се обиде да испрати директна порака до хакерот преку апликации за пораки како што се WhatsApp или Viber, сајбер криминалецот го мами корисникот да се регистрира, инсталирајќи малициозен софтвер , и овозможување на дозволите што му се потребни“, изјави Trend Micro.

Апликациите, освен што ги злоупотребуваат Android услугите за пристапност за извршување на неовластени трансфери на средства, се значајни и по искористувањето на легитимните рамки за автоматизација како Easyclick и Auto.js за извршување на кликови и гестови, што го прави вториот Android малициозен софтвер по PixPirate.

Кампањите за social engineering, исто така, отидоа подалеку од „phishing“ и „smishing“ на социјалните мрежи со поставување убедливи целни страници кои имитираат популарни крипто услуги со цел да се пренесат Ethereum и NFT од хакираните паричници.

Ова, според Recorded Future, се постигнува со вметнување на крипто скрипта во phishing страницата, која ги мами жртвите да ги поврзат нивните паричници со non-fungible tokens (NFT).

Ваквите готови phishing страници се продаваат на darknet форумите како дел од она што се нарекува phishing-as-a-service (PhaaS), дозволувајќи им на другите хакери да ги изнајмуваат овие пакети и брзо да спроведуваат малициозни операции во обем.

„Crypto drainers“ се малициозни скрипти кои функционираат како е-скимери и се користат со phishing техники за да се украдат крипто средствата на жртвите“, изјави компанијата во извештајот објавен минатата недела, опишувајќи ги измамите како ефективни и брзо растечки.

„Употребата на легитимни услуги на crypto drainer phishing страниците може да ја зголеми веројатноста дека страницата за кражба на идентитет ќе го помине корисничкиот „scam litmus тест“. Откако крипто-паричниците ќе бидат компромитирани, не постојат заштитни мерки за да се спречи незаконскиот пренос на средства во паричниците на напаѓачите“.

Нападите доаѓаат во време кога криминалните групи украдоа рекордни 3,8 милијарди долари од крипто бизниси во 2022 година, а голем дел од скокот им се припишува на хакерските екипи спонзорирани од Северна Кореја.

Извор: TheHackerNews

ВНИМАНИЕ!!! Лажни електронски пораки се испраќаат во име на МВР, станува збор за phishing со обид за измама

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

ВНИМАНИЕ!!!

Во однос на пристигнати голем број на пријави од граѓани за добиенa електронска порака наводно во име на министерот за внатрешни работи и/или други вработени од миситерството, во соработка со полициската канцеларија на Европол, во која во вид на повик за појавување во суд од страна на Сектор за прекршоци, примачот на пораката се известува дека е предмет на наводни правни постапки за низа измислени кривични дела, кои ги нема сторено.

MKD-CIRT ги известува граѓаните дека станува збор за лажна електронска порака која не е испратена од страна на МВР, ниту од било која институција за спроведување на законот.

Во испратените мејлови, примачот на пораката се повикува да го контактира испраќачот преку viber/skype/drug линк или. Овие електронски пораки се класичен обид за измама (phishing) во кој целта на измамниците е да дојдат до личните податоци на испраќачот со цел нивна понатамошна злоупотреба.

MKD-CIRT исто така предупредува да внимавате и да не ги отворате линковите и датотеките кои се испратени во прилог на е-мејл пораката која доаѓа од непознат испраќач, со цел заштита на вашиот компјутерски систем од малициозен софтвер.

Воедно, MKD-CIRT ве информира дека ваквите обиди за измама се со меѓународен предзнак, имајќи предвид дека електронски пораки со слична содржина беа испраќани и на граѓани во земјите од регионот во изминатиот период.

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB