MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

ESET малвер истражувачите пронајдоа нов remote access trojan (RAT) на Google Play Store, скриен во Android апликација за снимање екран со десетици илјади инсталации.

Додека за прв пат беше додадена во продавницата во септември 2021 година, апликацијата „iRecorder – Screen Recorder“ веројатно беше тројанизирана преку малициозно ажурирање објавено речиси една година подоцна, во август 2022 година.

Името на апликацијата го олесни барањето дозвола за снимање аудио и пристап до датотеки на заразените уреди бидејќи барањето се совпаѓа со очекуваните можности на алатката за снимање екран.

Пред нејзиното отстранување, апликацијата собра над 50.000 инсталации на Google Play Store, изложувајќи ги корисниците на инфекции со малициозен софтвер.

„По нашето известување за малициозното однесување на iRecorder, безбедносниот тим на Google Play го отстрани од продавницата“, изјави Lukas Stefanko, ESET малвер истражувач.

„Сепак, важно е да се напомене дека апликацијата може да се најде и на алтернативни и неофицијални Android пазари. Развивачот на iRecorder обезбедува и други апликации на Google Play, но тие не содржат малициозен код.

Малициозен софтвер за кој станува збор, наречен AhRat од страна на ESET, се базира на Android RAT со отворен код, познат како AhMyth.

Има широк опсег на можности, вклучувајќи, но не ограничувајќи се на следење на локацијата на заразените уреди, крадење дневници на повици, контакти и текстуални пораки, испраќање СМС пораки, фотографирање и снимање аудио во позадина.

По внимателно испитување, ESET откри дека самата малициозна апликација за снимање екран користела само подгрупа од RAT можностите бидејќи се користела само за создавање и ексфилтрација на снимки од амбиенталниот звук и за кражба на датотеки со специфични екстензии, навестувајќи потенцијални активности за шпионажа.

Ова не е прв случај на AhMyth-базиран на Android малициозен софтвер кој се инфилтрира во Google Play store. ESET, исто така, објави детали во 2019 година за друга тројанизирана апликација од AhMyth која двапати го измами процесот на проверка на апликациите на Google со тоа што се маскираше во апликација за радио стриминг.

„Претходно, софтверот со отворен код AhMyth беше вработен од Transparent Tribe, исто така познат како APT36, сајбер-шпионажна група позната по својата широка употреба на social engineering техники и таргетирање на владини и воени организации во Јужна Азија“, изјави Stefanko.

„Сепак, не можеме да ги припишеме тековните примероци на некоја специфична група и нема индикации дека тие се произведени од позната advanced persistent threat (APT) група.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Услугата за phishing и измама со криптовалути наречена „Inferno Drainer“ наводно украла крипто во вредност од над 5,9 милиони долари од 4.888 жртви.

Според извештајот на Web3Anti-Scam компанијата „Scam Sniffer“, phishing услугата создала најмалку 689 лажни веб-страници од 27 март 2023 година.

Повеќето од phishing страниците се појавија на интернет по 14 мај 2023 година, при што аналитичарите пријавија скок во активноста за градење сајтови околу тоа време.

Малициозните веб-страници создадени со Inferno Drainer таргетираат 229 популарни брендови, вклучувајќи ги Pepe, Bob, MetaMask, OpenSea, Collab.Land, LayerZero Labs и други.

Scam Sniffer ја открил услугата откако забележал член на Inferno Drainer кој ја промовирал услугата на Telegram со објавување на скриншот од кражба од 103.000 долари што ги покажува нивните способности.

„Со барање на хашот на трансакцијата заматен во скриншот, ја најдовме оваа трансакција во базата на податоци на ScamSniffer и ја поврзавме со некои познати малициозни адреси во нашата база на податоци за малициозни адреси“, објаснува Scam Sniffer.

Inferno Drainer промовира multichain измама, Aave токен и Art Blocks, експлоати за одобрување на MetaMask токени и многу повеќе.

Авторите на пакетот алатки „drainer“ обезбедуваат модерен административен панел со опции за прилагодување, па дури и нудат пробен период за заинтересираните купувачи.

Операторите му плаќаат на Inferno Drainer 20% од своите приходи, додека намалувањето се зголемува до 30% за услугите кои вклучуваат создавање на phishing сајтови.

Сепак, поради големата побарувачка, услугата ќе им понуди phishing сајтови само на „добри клиенти“ или клиенти кои го докажале својот потенцијал да генерираат многу пари.

Scam Sniffer ја истражуваше работата на Inferno Drainer и откри дека услугата е активна од февруари 2023 година и го зголеми својот оперативен волумен почнувајќи од средината на април 2023 година.

Повеќето средства (4,3 милиони долари) беа украдени од Mainnet, 790 илјади долари беа одземени од Arbitrum, 410 илјади долари од Polygon и 390 илјади долари од BNB, вкупно 5,9 милиони долари.

Една од најголемите жртви идентификувана од страна на аналитичарите изгубила имот во вредност од 400.000 долари. Жртвата контактирала со напаѓачите и им понудила 50% од сумата за законски да не ги гонат, но сторителите ги игнорирале тие пораки.

Scam Sniffer изјави дека напаѓачите ги дистрибуираат средствата што ги собираат од таксите за напад на пет адреси на криптовалути кои моментално чуваат помеѓу 250 и 400 ETH.

Поседувачите на криптовалути треба да внимаваат при сите трансакции, да ги третираат дојдовните пораки со скептицизам, да го потврдат идентитетот на испраќачот, да користат повеќефакторска автентикација за да ги заштитат своите сметки и да го ажурираат нивниот софтвер.

Идеално, не откривајте никакви лични информации на интернет и користете хардверски „cold“ паричници за складирање на повеќето од вашите дигитални средства.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Истражувачите од Tencent Labs и Zhejiang Универзитетот претставија нов напад наречен „BrutePrint“, кој со помош на brute-force техника со отпечатоци од прсти ги таргетира современите паметни телефони со цел да ја заобиколи автентикацијата на корисниците и да ја преземе контролата врз уредот.

Brute-force нападите се потпираат на многу обиди и грешки за да пробијат код, клуч или лозинка и да добијат неовластен пристап до сметки, системи или мрежи.

Кинеските истражувачи успеаја да ги надминат постојните заштитни мерки на паметните телефони, со искористување на, како што тврдат, две zero-day ранливости, имено Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL).

Авторите на техничкиот труд објавен на Arxiv.org, исто така, открија дека биометриските податоци на серискиот периферен интерфејс (SPI) на сензорите за отпечатоци се несоодветно заштитени, што овозможува man-in-the-middle (MITM) напад за крадење на слики од отпечатоци.

BrutePrint и SPI MITM нападите беа тестирани против десет популарни модели на паметни телефони, постигнувајќи неограничени обиди на сите Android и HarmonyOS (Huawei) уреди и десет дополнителни обиди на iOS уредите.

Идејата на BrutePrint е да изврши неограничен број поднесувања на слики од отпечатоци на таргетираниот уред додека не се усогласи отпечатокот дефиниран од корисникот.

На напаѓачот му треба физички пристап до таргетираниот уред за да започне BrutePrint напад, пристап до базата на податоци за отпечатоци што може да се добие од академски збирки на податоци или протекување на биометриски податоци и потребната опрема, која чини околу 15 долари.

Спротивно на тоа како функционира пробивањето на лозинка, совпаѓањата со отпечатоци од прсти користат референтен праг наместо одредена вредност, така што напаѓачите може да манипулираат со False Acceptance Rate (FAR) за да го зголемат прагот на прифаќање и полесно да создаваат совпаѓања.

BrutePrint стои помеѓу сензорот за отпечаток од прст и Trusted Execution Environment (TEE) и го искористува CAMF пропустот за да манипулира со механизмите за повеќекратно земање примероци и поништување на грешки за автентикација на отпечатоци на паметни телефони.

CAMF вметнува грешка на контролната сума во податоците за отпечатоците за да го запре процесот на автентикација на pre-mature точка. Ова им овозможува на напаѓачите да ги испробаат отпечатоците од прстите на таргетираниот уред додека неговите заштитни системи нема да регистрираат неуспешни обиди, па оттука ќе им даваат бесконечни обиди.

MAL пропустот им овозможува на напаѓачите да заклучат резултати за автентикација на сликите од отпечатоците што ги пробуваат на таргетираниот уред, дури и ако вториот е во „режим за заклучување“.

Режимот за заклучување е систем за заштита што се активира по одреден број неуспешни последователни обиди за отклучување. За време на „времето“ за заклучување, уредот не треба да прифаќа обиди за отклучување, но MAL помага да се заобиколи ова ограничување.

Последната компонента на BrutePrint нападот е користење на систем за „пренос на невронски стил“ за трансформирање на сите слики од отпечатоци во базата на податоци за да изгледаат како сензорот на таргетираниот уред да ги скенирал. Ова прави сликите да изгледаат валидни и со тоа да имаат поголеми шанси за успех.

Истражувачите спроведоа експерименти на десет Android и iOS уреди и открија дека сите се ранливи на барем еден недостаток.

Тестираните Android уреди овозможуваат бесконечни обиди за отпечатоци од прст, така што brute-force отпечатокот од прст на корисникот и отклучување на уредот е практично возможно ако се има доволно време.

На iOS, сепак, безбедноста за автентикација е многу посилна, ефикасно спречувајќи brute-force напади.

Иако истражувачите открија дека iPhone SE и iPhone 7 се ранливи на CAMF, тие можеа само да го зголемат бројот на пробни отпечатоци на 15, што не е доволно за brute-force отпечатокот на прстот на сопственикот.

Во однос на SPI MITM нападот кој вклучува крадење на сликата на отпечатокот од прст на корисникот, сите тестирани Android уреди се ранливи на него, додека iPhone уредите повторно се отпорни.

Истражувачите објаснуваат дека iPhone ги шифрира податоците за отпечатоците на SPI, така што секое пресретнување има мала вредност во контекст на нападот.

Накратко, спроведените експерименти покажаа дека времето потребно за успешно завршување на BrutePrint против ранливи уреди се движи помеѓу 2,9 и 13,9 часа кога корисникот има запишано еден отпечаток од прст.

Кога се запишуваат повеќе отпечатоци на таргетираниот уред, brute-force времето паѓа на само 0,66 до 2,78 часа бидејќи веројатноста за создавање соодветни слики се зголемува експоненцијално.

На прв поглед, BrutePrint можеби не изгледа како страшен напад поради тоа што бара продолжен пристап до таргетираниот уред. Сепак, ова воочено ограничување не треба да ја поткопа неговата вредност за напаѓачите и за спроведување на законот.

Првиот ќе им овозможи на криминалците да отклучуваат украдени уреди и слободно да извлекуваат вредни приватни податоци.

Последното сценарио покренува прашања за правата на приватност и етиката на користење на таквите техники за заобиколување на безбедноста на уредот за време на истрагите.

Ова претставува прекршување на правата во одредени јурисдикции и може да ја поткопа безбедноста на одредени луѓе кои живеат во угнетувачки земји.

Извор: BleepingComputer