MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Истражувачите за сајбер безбедност открија фундаментален безбедносен пропуст во дизајнот на WiFi IEEE 802.11 стандардот, дозволувајќи им на напаѓачите да ги измамат пристапните точки во мрежни рамки што протекуваат во форма на обичен текст.

WiFi рамките се податочни контејнери што се состојат од header, data payload и trailer, кои вклучуваат информации како што се изворна и дестинациска MAC адреса, податоци за контрола и управување.

Овие рамки се наредени во редици и се пренесуваат во контролирана материја за да се избегнат судири и да се максимизираат перформансите на размена на податоци со следење на зафатените состојби на точките за примање.

Истражувачите открија дека рамки во редица/бафери не се соодветно заштитени од напаѓачите, кои можат да манипулираат со пренос на податоци, измама на клиентот, пренасочување на рамката и снимање.

„Нашите напади имаат широко распространето влијание бидејќи влијаат на различни уреди и оперативни системи (Linux, FreeBSD, iOS и Android) затоа што можат да се користат за хакирање на TCP конекции или пресретнување на клиентски и веб сообраќај“, стои во техничкиот труд објавен вчера од страна на Domien Schepers и Aanjhan Ranganathan од североисточниот универзитет и Mathy Vanhoef од imec-DistriNet, KU Leuven.

IEEE 802.11 стандардот вклучува механизми за заштеда на енергија кои им овозможуваат на WiFi уредите да штедат енергија преку баферирање или редење рамки наменети за исклучени уреди.

Кога клиентската станица (уредот што прима) влегува во режим на мирување, таа испраќа рамка до пристапната точка со заглавие што го содржи битот за заштеда на енергија, така што сите рамки наменети за неа се во ред.

Стандардот, сепак, не обезбедува експлицитни упатства за управување со безбедноста на овие рамки во редица и не поставува ограничувања како на пример колку долго рамки можат да останат во оваа состојба.

Штом клиентската станица ќе се активира, пристапната точка ги отстранува во баферските рамки, применува шифрирање и ги пренесува до дестинацијата.

Напаѓачот може да ја измами MAC адресата на уредот на мрежата и да испрати рамки за заштеда на енергија до точките за пристап, принудувајќи ги да почнат да редат рамки наменети за целта.

Пренесените рамки обично се шифрираат со помош на клучот за шифрирање со адреса на група, споделен меѓу сите уреди во WiFi мрежата или парен клуч за шифрирање, кој е единствен за секој уред и се користи за шифрирање на рамки разменети помеѓу два уреди.

Сепак, напаѓачот може да го промени безбедносниот контекст на рамки со испраќање рамки за автентикација и асоцијација до пристапната точка, со што ќе ја принуди да ги пренесе рамките во форма на обичен текст или да ги шифрира со клуч обезбеден од негова страна.

Овој напад е возможен со помош на сопствени алатки создадени од истражувачите наречени MacStealer, кои можат да ги тестираат WiFi мрежите и да го пресретнат сообраќајот наменет за други клиенти на MAC слојот.

Истражувачите известуваат дека моделите на мрежни уреди од Lancom, Aruba, Cisco, Asus и D-Link се погодени од овие напади.

Истражувачите предупредуваат дека овие напади може да се користат за вметнување на малициозни содржини, како што е JavaScript, во TCP пакетите.

„Напаѓачот може да користи сопствен сервер поврзан на Интернет за да внесе податоци во оваа TCP конекција со вметнување на TCP пакети надвор од патеката со лажирана IP адреса на испраќачот“, предупредуваат истражувачите.

„Ова, на пример, може да се злоупотреби за испраќање малициозен JavaScript код до жртвата во обичен текст со цел да се искористат пропустите во прелистувачот на клиентот“.

Иако овој напад може да се користи и за прислушување на сообраќајот, бидејќи поголемиот дел од веб сообраќајот е шифриран со TLS, сепак ќе има ограничено влијание.

Техничките детали и истражувања се достапни во USENIX Security 2023 документот, кој ќе биде претставен на претстојната BlackHat Asia конференција на 12 мај 2023 година.

Првиот продавач што го призна влијанието на пропустот на WiFi протоколот е Cisco, признавајќи дека нападите наведени во трудот може да бидат успешни против производите на Cisco Wireless Access Point и производите на Cisco Meraki.

Сепак, Cisco верува дека преземените рамки веројатно нема да ја загрозат целокупната безбедност на соодветно обезбедената мрежа.

Фирмата препорачува примена на мерки за ублажување, како што е користење на механизми за спроведување на политиките преку систем како Cisco Identity Services Engine (ISE), кој може да го ограничи пристапот до мрежата со имплементирање на технологии како Cisco TrustSec или Software Defined Access (SDA).

„Cisco, исто така, препорачува имплементирање на безбедност на транспортниот слој за шифрирање на податоците секогаш кога е можно, бидејќи тоа би ги направило стекнатите податоци неупотребливи од страна на напаѓачот“, стои во советот за безбедност на Cisco.

Во моментов, не се познати случаи на малициозна употреба на пропустот откриен од страна на истражувачите.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новиот малициозен софтвер за крадење информации познат како MacStealer ги таргетира Mac корисниците, крадејќи ги нивните податоци зачувани во iCloud KeyChain и веб-прелистувачите, паричниците за криптовалути и потенцијално чувствителните датотеки.

MacStealer се дистрибуира како malware as a service (MaaS), каде што развивачот продава однапред направени изданија за 100 долари, дозволувајќи им на купувачите да го шират малициозниот софтвер во нивните кампањи.

Според истражувачкиот тим за закани на Uptycs кој го откри новиот малициозен софтвер за macOS, тој може да работи на macOS Catalina (10.15) и до најновата верзија на оперативниот систем на Apple, Ventura (13.2).

MacStealer беше откриен од страна на аналитичарите на Uptycs на форум за хакирање на темната веб-страница каде што развивачот го промовираше од почетокот на месецот.

Продавачот тврди дека малициозниот софтвер е сè уште во рана фаза на развој и не нуди панели. Наместо тоа, продава однапред формирани DMG payloads што може да ги зарази macOS Catalina, Big Sur, Monterey и Ventura.

Хакерот го користи недостатокот на панел за да ја оправда ниската цена од 100 долари за малициозен софтвер, но ветува дека наскоро ќе пристигнат понапредни функции.

Развивачот на малициозен софтвер тврди дека MacStealer може да ги украде следниве податоци од компромитирани системи:

– Лозинки за сметка, колачиња и детали за кредитна картичка од Firefox, Chrome и Brave.

– TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY и DB датотеки

– Да ја отпакува Keychain базата на податоци (login.keychain-db) во base64 шифрирана форма

– Да собира информации за системот

– Да собира информации за Keychain лозинката

– Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet и Binance паричници за криптовалути

Keychain базата на податоци е безбеден систем за складирање во macOS кој ги чува лозинките, приватните клучеви и сертификатите на корисниците, шифрирајќи го со нивната лозинка за најавување. Функцијата потоа може автоматски да ги внесува податоците за најавување на веб-страниците и апликациите.

Хакерите го дистрибуираат MacStealer како непотпишана DMG-датотека која се претставува како нешто што жртвата е измамена да го изврши на нивниот macOS.

Откако ќе го направи тоа, на жртвата и се нуди лажна лозинка за да изврши команда што му овозможува на малициозниот софтвер да собира лозинки од компромитирана машина.

Малициозниот софтвер потоа ги собира сите податоци, ги складира во ZIP-датотека и ги испраќа украдените податоци до далечински сервери за команди и контрола кои подоцна ќе бидат собрани од страна на хакерот.

Во исто време, MacStealer испраќа некои основни информации до претходно конфигуриран канал на Telegram, овозможувајќи му на хакерот брзо да биде известен кога се украдени нови податоци и да ја преземе ZIP-датотеката.

Иако повеќето операции на MaaS се насочени кон Windows корисниците, macOS не е имун на такви закани, па затоа неговите корисници треба да бидат внимателни и да избегнуваат преземање датотеки од недоверливи веб-страници.

Минатиот месец, безбедносниот истражувач iamdeadlyz, исто така, откри нов малициозен софтвер за крадење информации за Mac, дистрибуиран во phishing кампања која ги таргетира играчите на блокчејн играта „The Sandbox“.

Тој малициозен софтвер ги таргетирал и податоците зачувани во прелистувачи и паричници со криптовалути, вклучувајќи ги Exodus, Phantom, Atomic, Electrum и MetaMask.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Тројанизираната верзија на легитимната ChatGPT екстензија за Chrome стана популарна на Chrome Web Store, собирајќи над 9.000 преземања додека ги краде Facebook сметките.

Наставката е копија на легитимниот популарен додаток за Chrome наречен „ChatGPT за Google“ кој нуди ChatGPT интеграција во резултатите од пребарувањето. Сепак, оваа малициозна верзија вклучува дополнителен код кој се обидува да украде колачиња од Facebook сесијата.

Издавачот на екстензијата ја прикачи на Chrome Web Store на 14 февруари 2023 година, но почна да ја промовира со помош на Google Search реклами на 14 март 2023 година. Оттогаш, просечно има илјада инсталации дневно.

Истражувачот што го откри, Nati Tal од Guardio Labs, известува дека екстензијата комуницира со истата инфраструктура што претходно овој месец ја користеше сличен додаток на Chrome кој собра 4.000 инсталации пред Google да го отстрани од Chrome Web Store.

Оваа нова варијанта се смета за дел од истата кампања, која хакерите ја чуваа како резервна копија на Chrome Web Store за кога ќе биде пријавена и отстранета првата екстензија.

Малициозната екстензија се промовира преку реклами во Google Search резултатите, кои се истакнати при пребарувањето за „Chat GPT 4“.

Со кликнување на спонзорираните резултати од пребарувањето, корисниците се носат до лажна целна страница „ChatGPT за Google“, а од таму до страницата на екстензијата на официјалната продавница за додатоци на Chrome.

Откако жртвата ќе ја инсталира екстензијата, ја добива ветената функционалност (ChatGPT интеграција во резултатите од пребарувањето) бидејќи кодот на легитимната екстензија сè уште е присутен. Сепак, малициозниот додаток се обидува да украде сесиски колачиња за Facebook сметките.

По инсталацијата на екстензијата, малициозниот код ја користи OnInstalled функцијата за да  украде Facebook сесиски колачиња.

Овие украдени колачиња им овозможуваат на хакерите да се најават на Facebook сметката како корисник и да добијат целосен пристап до нивните профили, вклучувајќи ги и сите функции за деловно рекламирање.

Малициозниот софтвер го злоупотребува API-то на Chrome Extension за да добие листа на колачиња поврзани со Facebook и ги шифрира со помош на AES клуч. Потоа ги ексфилтрира украдените податоци преку GET барање до серверот на хакерот.

„Списокот на колачиња е шифриран со AES и е прикачен на вредноста на заглавјето на X-Cached-Key HTTP“, се објаснува во извештајот на Guardio Labs.

„Оваа техника се користи за да се украдат колачињата без никакви DPI (Deep Packet Inspection) механизми кои предизвикуваат предупредување“.

Хакерите потоа ги дешифрираат украдените колачиња за да ги украдат Facebook сесиите на нивните жртви за погрешни кампањи или да промовираат забранет материјал како ISIS пропагандата.

Малициозниот софтвер автоматски ги менува деталите за најавување на пробиените сметки за да ги спречи жртвите да ја вратат контролата врз нивните Facebook сметки.
Исто така, ги менува името и сликата на профилот со лажна личност по име „Lilly Collins“.

Во моментов, малициозната екстензија на Google Chrome сè уште е присутна во Google Chrome Web Store.

Безбедносниот истражувач ја пријави малициозната екстензија до тимот на Chrome Web Store, која најверојатно ќе биде отстранета наскоро.

За жал, врз основа на претходната историја, хакерите веројатно имаат план „C“ преку друга екстензија што може да го олесни следниот бран на инфекција.

BleepingComputer контактираше со Google со дополнителни прашања во врска со екстензијата, но одговор не беше веднаш достапен.

Извор: BleepingComputer