Natprevar Hakaton CyberMK 2022


CyberMK 2022 Cybersecurity Conference

ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Нови кампањи на малициозно рекламирање (Malvertising Campaigns) кои шират задни врати (backdoors) преку малициозни екстензии на прелистувачот Chrome

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Серија малициозни кампањи користат лажни инсталатери на популарните апликации и игри како Viber, WeChat, NoxPlayer и Battlefield како мамка за да ги измамат корисниците да преземат нова задна врата (backdoor) и недокументирана злонамерна екстензија на Google Chrome со цел да ги украдат ингеренциите и податоците складирани во компромитираните системи, како и одржување на постојан далечински пристап.

Cisco Talos го припиша како носач на малициозен софтвер од непознат актер таканаречен „magnat“, истакнувајќи дека “овие две семејства биле предмет на постојан развој и подобрување од нивните автори”.

Се верува дека нападите започнале кон крајот на 2018 година, со наизменична активност забележано кон крајот на 2019 година се до почетокот на 2020 година, проследени со нови скокови од април 2021 година, додека главно се издвојуваат корисниците во Канада, проследени со САД, Австралија, Италија, Шпанија и Норвешка.

Забележителен аспект на упадите е употребата на малициозно рекламирање како средство за напад на поединци кои бараат популарен софтвер во прелистувачите за да им презентираат линкови за преземање лажни инсталатери што испуштаат крадец на лозинки наречен RedLine Stealer, една екстензија на Chrome наречена „MagnatExtension“ која е програмирана да снима притискање на тастатурата и да снима слики од екранот, и задна врата (backdoor) базирана на AutoIt која воспоставува далечински пристап до машината.

MagnatExtension, кој се маскира како безбеден прелистување (safebrowsing) на Google, исто така содржи и други функции што се корисни за напаѓачите, вклучително и можност за кражба на податоци од формулари, собирање колачиња и извршување на произволен JavaScript код. Податоците од телеметрија, анализирани од Talos, открија дека првиот примерок со додатоци од прелистувачот бил откриен во август 2018 година.

 

MKD – CIRT ги дава следниве препораки за заштита од Malvertising Campaigns напади:

  • Инвестирајте во антивирусна програма

Најдобар начин да се заштитите од малициозно рекламирање е да инсталирате и стартувате реномирана антивирусна програма на вашиот компјутер. И штом ќе инсталирате антивирусен софтвер, погрижете се веднаш да ги одобрите сите ажурирања.

Честопати, овие ажурирања се дизајнирани да го заштитат вашиот уред од специфични форми на малициозен софтвер, вклучително и малициозно рекламирање. Ако заостанувате со ажурирањата, може да го оставите вашиот компјутер ранлив.

  • Вклучете клик-за-репродукција (click-to-play) за вашите прелистувачи

Сите прелистувачи ви дозволуваат да ја изберете опцијата „click-to-play“. Со избирање на ова опција, сите онлајн содржини за кои се потребни приклучоци за репродукција – како што се Java, Adobe Reader, QuickTime или Flash – ќе бидат оневозможени освен ако рачно не го дадете вашиот OK за репродукција на содржината. Ако сакате да помогнете да се заштитите од малициозно рекламирање, погрижете се и овозмошете го изборот „click-to-play“ во поставките на вашиот прелистувач. Ова ќе ве заштити од малициозно рекламирање преку преземање. Како ќе пристапите до оваа опција зависи од вашиот индивидуален прелистувач.

  • Инсталирајте блокатор на реклами

Нема случајно да кликнете на злонамерна онлајн реклама ако таа реклама не се појави на вашиот екран. Тоа е теоријата зад блокаторите на реклами. Некои блокатори чинат пари, други се бесплатни но ќе ги исчистат веб-страниците од реклами, што може да ве заштити од погрешно рекламирање во процесот. Сепак, внимавајте дека не сите блокатори на реклами ги запираат сите реклами. И некои веб-страници можат да не работат правилно ако е вклучен блокатор на реклами. Секако, можете да ги средите поставките на блокаторите на реклами да дозволуваат онлајн реклами само од одредени сајтови.

Извор: TheHackerNews

HTML smuggling е најновата тактика за сајбер криминал за која треба да бидете многу внимателни!

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Компанијата за сајбер безбедност Menlo Labs, односно истражувачката група на Menlo Security предупредува за оживување на HTML smuggling, во кој злонамерните актери го заобиколуваат периметарот на безбедност со цел да состават злонамерни товари директно на машините на жртвите.

Menlo ја сподели веста заедно со откривањето на кампањата за HTML smuggling, која e наречеna ISOMorph, која ја користи истата техника што напаѓачите на SolarWinds ја користеа во нивната најнова кампања за спеарфишинг.

Нападот ISOMorph користи HTML smuggling за да ја исфрли својата прва фаза до компјутерот на жртвата. Бидејќи е „шверцуван“, капачот всушност се составува на таргетираниот компјутерот, што овозможува нападот целосно да ја заобиколи стандардниот периметар на безбедност. Откако ќе се инсталира, капачот ја зграпчува својата носивост, што го инфицира компјутерот со тројанци за далечински пристап (RATs) кои му дозволуваат на напаѓачот да ја контролира заразената машина и да се движи странично по компромитирана мрежа.

HTML smuggling функционира со искористување на основните карактеристики на HTML5 и JavaScript кои се присутни во веб-прелистувачите. Јадрото на експлоатацијата е двојна: го користи атрибутот за преземање HTML5 за преземање на злонамерна датотека што е прикриена како легитимна, а исто така користи и JavaScript капки на сличен начин. За напад со HTML smuggling може да се користи или едното или двете комбинирани.

Бидејќи датотеките не се создаваат додека не се најдат на целниот компјутер, мрежната безбедност нема да ги прикаже како злонамерни – сè што тоа гледа е сообраќајот HTML и JavaScript што лесно може да се замагли за да се скрие злонамерниот код.

 

МКД-ЦИРТ ги дава следниве препораки за заштита од HTML smuggling и други напади:

  • Сегментирајте ги мрежите за да ја ограничите способноста на напаѓачот да се движи странично.
  • Користете услуги како Microsoft Windows Attack Surface Reduction, што ги штити машините на ниво на ОС од извршување на малициозни скрипти и создавање невидливи child процеси.
  • Поставете го правилно заштитениот ѕид за да го блокират сообраќајот од познатите малициозни домени или IP адреси.
  • Обучете ги корисниците: Ваквите нападите бараат интеракција со корисникот за да се зарази машината, затоа бидете сигурни дека секој знае како да открие сомнително однесување и трикови на напаѓачите.

 

Извор: TechRepublic

Известување за фишинг кампања

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Почитувани, известуваме дека на ден 27.10.2021 година до MKD-CIRT e доставенa пријавa за активna фишинг кампањa и напади преку пораки испратени по е-пошта, со лажно претставување на испраќачот и малициозни додатоци и/или врски.

Лажните пораки по е-пошта се со следните карактеристики:
Маскирана(лажна) адреса на Испраќач/Sender: Henrique Cardana <sales@interservice-si.com>
Предмет/Subject: Барање за понуда
Содржина: Добар ден, Како што разговаравме претходно, тука е нашата нова нарачка на производи. Направете понуда ако сè уште можат да испорачаат за две недели. Ја чекаме вашата понуда за потврда.

Потенцијано штетен линк на слика кој води на веб страница со малвер.

Во случај на отворен додаток од претходен клик на линк, се симнува .exe фајл со чие стартување се врши инфекцијата на компјутерот. Типот на малвер е идентификуван како т.н. InfoStealer. Овој злонамерен софтвер снима активности на тастатурата, прави слики од екранот и собира други информации како што се посетени веб-локации, зачувани најавувања/лозинки итн. Информациите често вклучуваат лични податоци (на пр., банкарски информации) кои криминалците можат да ги злоупотребат.

ПРЕПОРАКА!

MKD-CIRT ви препорачува да не отворате сомнителни пораки и додатоци. Доколку сте добиле порака со слична содржина, препорачуваме  најпрво преку други канали за комуникација (како телефонски повик) да ја потврдите веродостојноста на пораката и испраќачот. Во случај на лажни пораки препорачуваме да ги избришите без отворање на додатоците. Доколку во меѓувреме е отворен некој од додатоците во пораката или после отворен линк на веб страница, најитно побарајте помош од ИТ професионалец и направете скенирање/проверка на уредот со ажуриран антивирус-софтвер.  Препорачуваме на вашите компјутери и уреди преку кои пристапувате на интернет и кои ги користите за меил комуникација да имате постојано активна и навремено ажурирана антивирусна и антиспам заштита.

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB