MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Услугата за phishing и измама со криптовалути наречена „Inferno Drainer“ наводно украла крипто во вредност од над 5,9 милиони долари од 4.888 жртви.

Според извештајот на Web3Anti-Scam компанијата „Scam Sniffer“, phishing услугата создала најмалку 689 лажни веб-страници од 27 март 2023 година.

Повеќето од phishing страниците се појавија на интернет по 14 мај 2023 година, при што аналитичарите пријавија скок во активноста за градење сајтови околу тоа време.

Малициозните веб-страници создадени со Inferno Drainer таргетираат 229 популарни брендови, вклучувајќи ги Pepe, Bob, MetaMask, OpenSea, Collab.Land, LayerZero Labs и други.

Scam Sniffer ја открил услугата откако забележал член на Inferno Drainer кој ја промовирал услугата на Telegram со објавување на скриншот од кражба од 103.000 долари што ги покажува нивните способности.

„Со барање на хашот на трансакцијата заматен во скриншот, ја најдовме оваа трансакција во базата на податоци на ScamSniffer и ја поврзавме со некои познати малициозни адреси во нашата база на податоци за малициозни адреси“, објаснува Scam Sniffer.

Inferno Drainer промовира multichain измама, Aave токен и Art Blocks, експлоати за одобрување на MetaMask токени и многу повеќе.

Авторите на пакетот алатки „drainer“ обезбедуваат модерен административен панел со опции за прилагодување, па дури и нудат пробен период за заинтересираните купувачи.

Операторите му плаќаат на Inferno Drainer 20% од своите приходи, додека намалувањето се зголемува до 30% за услугите кои вклучуваат создавање на phishing сајтови.

Сепак, поради големата побарувачка, услугата ќе им понуди phishing сајтови само на „добри клиенти“ или клиенти кои го докажале својот потенцијал да генерираат многу пари.

Scam Sniffer ја истражуваше работата на Inferno Drainer и откри дека услугата е активна од февруари 2023 година и го зголеми својот оперативен волумен почнувајќи од средината на април 2023 година.

Повеќето средства (4,3 милиони долари) беа украдени од Mainnet, 790 илјади долари беа одземени од Arbitrum, 410 илјади долари од Polygon и 390 илјади долари од BNB, вкупно 5,9 милиони долари.

Една од најголемите жртви идентификувана од страна на аналитичарите изгубила имот во вредност од 400.000 долари. Жртвата контактирала со напаѓачите и им понудила 50% од сумата за законски да не ги гонат, но сторителите ги игнорирале тие пораки.

Scam Sniffer изјави дека напаѓачите ги дистрибуираат средствата што ги собираат од таксите за напад на пет адреси на криптовалути кои моментално чуваат помеѓу 250 и 400 ETH.

Поседувачите на криптовалути треба да внимаваат при сите трансакции, да ги третираат дојдовните пораки со скептицизам, да го потврдат идентитетот на испраќачот, да користат повеќефакторска автентикација за да ги заштитат своите сметки и да го ажурираат нивниот софтвер.

Идеално, не откривајте никакви лични информации на интернет и користете хардверски „cold“ паричници за складирање на повеќето од вашите дигитални средства.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Истражувачите од Tencent Labs и Zhejiang Универзитетот претставија нов напад наречен „BrutePrint“, кој со помош на brute-force техника со отпечатоци од прсти ги таргетира современите паметни телефони со цел да ја заобиколи автентикацијата на корисниците и да ја преземе контролата врз уредот.

Brute-force нападите се потпираат на многу обиди и грешки за да пробијат код, клуч или лозинка и да добијат неовластен пристап до сметки, системи или мрежи.

Кинеските истражувачи успеаја да ги надминат постојните заштитни мерки на паметните телефони, со искористување на, како што тврдат, две zero-day ранливости, имено Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL).

Авторите на техничкиот труд објавен на Arxiv.org, исто така, открија дека биометриските податоци на серискиот периферен интерфејс (SPI) на сензорите за отпечатоци се несоодветно заштитени, што овозможува man-in-the-middle (MITM) напад за крадење на слики од отпечатоци.

BrutePrint и SPI MITM нападите беа тестирани против десет популарни модели на паметни телефони, постигнувајќи неограничени обиди на сите Android и HarmonyOS (Huawei) уреди и десет дополнителни обиди на iOS уредите.

Идејата на BrutePrint е да изврши неограничен број поднесувања на слики од отпечатоци на таргетираниот уред додека не се усогласи отпечатокот дефиниран од корисникот.

На напаѓачот му треба физички пристап до таргетираниот уред за да започне BrutePrint напад, пристап до базата на податоци за отпечатоци што може да се добие од академски збирки на податоци или протекување на биометриски податоци и потребната опрема, која чини околу 15 долари.

Спротивно на тоа како функционира пробивањето на лозинка, совпаѓањата со отпечатоци од прсти користат референтен праг наместо одредена вредност, така што напаѓачите може да манипулираат со False Acceptance Rate (FAR) за да го зголемат прагот на прифаќање и полесно да создаваат совпаѓања.

BrutePrint стои помеѓу сензорот за отпечаток од прст и Trusted Execution Environment (TEE) и го искористува CAMF пропустот за да манипулира со механизмите за повеќекратно земање примероци и поништување на грешки за автентикација на отпечатоци на паметни телефони.

CAMF вметнува грешка на контролната сума во податоците за отпечатоците за да го запре процесот на автентикација на pre-mature точка. Ова им овозможува на напаѓачите да ги испробаат отпечатоците од прстите на таргетираниот уред додека неговите заштитни системи нема да регистрираат неуспешни обиди, па оттука ќе им даваат бесконечни обиди.

MAL пропустот им овозможува на напаѓачите да заклучат резултати за автентикација на сликите од отпечатоците што ги пробуваат на таргетираниот уред, дури и ако вториот е во „режим за заклучување“.

Режимот за заклучување е систем за заштита што се активира по одреден број неуспешни последователни обиди за отклучување. За време на „времето“ за заклучување, уредот не треба да прифаќа обиди за отклучување, но MAL помага да се заобиколи ова ограничување.

Последната компонента на BrutePrint нападот е користење на систем за „пренос на невронски стил“ за трансформирање на сите слики од отпечатоци во базата на податоци за да изгледаат како сензорот на таргетираниот уред да ги скенирал. Ова прави сликите да изгледаат валидни и со тоа да имаат поголеми шанси за успех.

Истражувачите спроведоа експерименти на десет Android и iOS уреди и открија дека сите се ранливи на барем еден недостаток.

Тестираните Android уреди овозможуваат бесконечни обиди за отпечатоци од прст, така што brute-force отпечатокот од прст на корисникот и отклучување на уредот е практично возможно ако се има доволно време.

На iOS, сепак, безбедноста за автентикација е многу посилна, ефикасно спречувајќи brute-force напади.

Иако истражувачите открија дека iPhone SE и iPhone 7 се ранливи на CAMF, тие можеа само да го зголемат бројот на пробни отпечатоци на 15, што не е доволно за brute-force отпечатокот на прстот на сопственикот.

Во однос на SPI MITM нападот кој вклучува крадење на сликата на отпечатокот од прст на корисникот, сите тестирани Android уреди се ранливи на него, додека iPhone уредите повторно се отпорни.

Истражувачите објаснуваат дека iPhone ги шифрира податоците за отпечатоците на SPI, така што секое пресретнување има мала вредност во контекст на нападот.

Накратко, спроведените експерименти покажаа дека времето потребно за успешно завршување на BrutePrint против ранливи уреди се движи помеѓу 2,9 и 13,9 часа кога корисникот има запишано еден отпечаток од прст.

Кога се запишуваат повеќе отпечатоци на таргетираниот уред, brute-force времето паѓа на само 0,66 до 2,78 часа бидејќи веројатноста за создавање соодветни слики се зголемува експоненцијално.

На прв поглед, BrutePrint можеби не изгледа како страшен напад поради тоа што бара продолжен пристап до таргетираниот уред. Сепак, ова воочено ограничување не треба да ја поткопа неговата вредност за напаѓачите и за спроведување на законот.

Првиот ќе им овозможи на криминалците да отклучуваат украдени уреди и слободно да извлекуваат вредни приватни податоци.

Последното сценарио покренува прашања за правата на приватност и етиката на користење на таквите техники за заобиколување на безбедноста на уредот за време на истрагите.

Ова претставува прекршување на правата во одредени јурисдикции и може да ја поткопа безбедноста на одредени луѓе кои живеат во угнетувачки земји.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Популарниот KeePass менаџер за лозинки е ранлив на извлекување на master лозинката од меморијата на апликацијата, дозволувајќи им на напаѓачите од компромитираат уред да ја вратат лозинката дури и кога базата на податоци е заклучена.

Проблемот беше откриен од страна на безбедносен истражувач познат како „vdohney“, кој објави proof-of-concept алатка што им овозможува на напаѓачите да ја извлечат master лозинката на KeePass од меморијата како proof-of-concept (PoC).

Управувачите со лозинки им дозволуваат на корисниците да креираат уникатни лозинки за секоја онлајн сметка и да ги складираат ингеренциите во база на податоци што е лесна за пребарување, или сеф за лозинки, за да не мора да ја запомнуваат секоја од нив. Сепак, за правилно обезбедување на овој свод за лозинки, корисниците мора да ја запомнат едната master лозинка што се користи за да го отклучат и да пристапат до складираните ингеренции.

Оваа master лозинка ја шифрира базата на податоци за лозинки на KeePass, спречувајќи да се отвори или прочита без претходно да ја внесете лозинката. Меѓутоа, штом master лозинката е компромитирана, напаѓачот може да пристапи до сите ингеренции зачувани во базата на податоци.

Затоа, за управувачот на лозинки да биде правилно обезбеден, од клучно значење е корисниците да ја чуваат master лозинката и да не ја споделуваат со некој друг.

Новата ранливост на KeePass следена како CVE-2023-3278 овозможува враќање на master лозинката на KeePass, освен првиот или два знака, во форма на јасен текст, без разлика дали работниот простор на KeePass е заклучен, или можеби, дури и ако програмата е затворена.

„KeePass Master Password Dumper е едноставна proof-of-concept алатка што се користи за отстранување на master лозинката од меморијата на KeePass. Освен првиот знак на лозинката, таа најчесто може да ја врати лозинката во обичен текст“, предупредува безбедносниот истражувач на GitHub страницата за експлоатација.

„Не е потребно извршување на кодот на таргетираниот систем, само отстранување на меморијата. Не е важно од каде доаѓа меморијата – може да биде отстранување на процесот, swap датотеката (pagefile.sys), датотеката за хибернација (hiberfil.sys) или RAM отстранување на целиот систем. Не е важно дали работниот простор е заклучен или не“.

Пропустот постои затоа што софтверот користи приспособено поле за внесување лозинка наречено „SecureTextBoxEx“, кое остава траги од секој знак што корисникот го пишува во меморијата.

„KeePass 2.X користи прилагодено развиено поле за текст за внесување лозинка, SecureTextBoxEx.“ објаснува vdohney.

Ранливоста влијае на најновата верзија на KeePass, 2.53.1, и бидејќи програмата е со отворен код, најверојатно ќе бидат засегнати сите fork проекти.

KeePass 1.X, KeePassXC и Strongbox не се под влијание на CVE-2023-32784.

Исто така, додека PoC беше тестиран на Windows, експлоатот треба да работи и за Linux и за macOS, со некои модификации, бидејќи проблемот не е специфичен за оперативниот систем, туку како KeePass се справува со внесувањето на корисникот.

Искористувањето на CVE-2023-32784 бара физички пристап или инфекција со малициозен софтвер на таргетираната машина.

Сепак, малициозниот софтвер кој краде информации може брзо да провери дали KeePass постои на компјутер или работи, и ако е така, ја отстранува меморијата на програмата и ја испраќа базата на податоци на KeePass назад до напаѓачот за офлајн пребарување на лозинката за чист текст.

BleepingComputer ја тестираше алатката „keepass-password-dumper“ на vdohney со инсталирање KeePass на тест-уред и создавање нова база на податоци со master лозинка „password123“.

Потоа го заклучивме нашиот работен простор на KeePass, што го спречува пристапот до него освен ако повторно не ја внесете главната лозинка.

Во нашите тестови, можете да го користите Process Explorer за да ја исфрлите меморијата на KeePass проектот, но бара целосна меморија, а не minidump, за да работи правилно. Не се потребни зголемени привилегии за да се отстрани меморијата на процесите.

Откако ја составивме алатката на vdohney со помош на Visual Studio, ја извршивме во складиштето на меморијата и таа брзо го врати најголемиот дел од лозинката за чист текст, при што недостасуваа само првите две букви.

Иако ова не е целосната лозинка, би било прилично лесно да се одреди кои знаци недостасуваат.

Истражувачот, исто така, предупредува дека master лозинките користени во минатото може да останат во меморијата, така што може да се вратат дури и ако KeePass повеќе не работи на пробиениот компјутер.

Развивачот на KeePass, Dominik Reichl, го прими извештајот за грешка и вети дека ќе спроведе поправка за CVE-2023-32784 на верзијата 2.54, што се очекува некаде во јули 2023 година.

Сепак, Reichl за BleepingComputer изјави дека верзијата 2.54 на KeePass е поверојатно да биде објавена за корисниците за околу две недели, па затоа треба да излезе до почетокот на јуни.

Врз основа на дискусија каде што Reichl ги развил своите размислувања за безбедносниот пропуст и потенцијалните стратегии за ублажување, споменати се две безбедносни подобрувања за претстојната верзија на KeePass:

1. Извршете директни API повици за добивање/поставување на текстот на полето за текст, избегнувајќи создавање на управувани низи во меморијата што можат да протекуваат тајни.
2. Создадете лажни фрагменти кои содржат случајни знаци во процесната меморија кои ќе имаат приближно иста должина како master лозинката на корисникот, прикривајќи го вистинскиот клуч.

KeePass 2.54 за Windows ќе ги има и двете, додека верзиите за macOS и Linux ќе го добијат само второто подобрување.

Креаторот на PoC потврди дека повеќе не може да го репродуцира нападот со двете безбедносни подобрувања, па се чини дека поправката е ефективна.

Дури и по објавувањето на новата верзија, master лозинката сè уште може да се зачува во мемориските датотеки. Истражувачот предупредува дека за да бидете 100% безбедни, ќе треба да ги избришете swap и хибернациските датотеки на вашиот систем, да го форматирате вашиот хард диск користејќи го „overwrite data“ режимот за да спречите обновување на податоците и да направите нова инсталација на ОС.

Меѓутоа, за повеќето, рестартирањето на компјутерот, бришењето на swap датотеката и датотеките за хибернација и некористењето на KeePass додека не биде објавена новата верзија, засега се разумни безбедносни мерки.

Дури и тогаш, за најдобра заштита, бидете многу внимателни да не преземате програми од недоверливи страници и внимавајте од phishing напади што може да ги заразат вашите уреди, дозволувајќи им на напаѓачите далечински пристап до вашиот уред и вашата KeePass база на податоци.

Извор: BleepingComputer