Περισσότερες από 400 εφαρμογές που έκρυβαν το κακόβουλο λογισμικό DressCode, ανακαλύφθηκαν πρόσφατα στο Google Play Store από ερευνητές ασφαλείας.

Το συγκεκριμένο malware διαπιστώθηκε μάλιστα ότι είναι εξαιρετικά επικίνδυνο, αφού έχει τη δυνατότητα να υποκλέψει ευαίσθητα δεδομένα, επιτρέποντας στον επιτιθέμενο να αποκτήσει πρόσβαση σε δίκτυα με τα οποία συνδέεται η μολυσμένη συσκευή.

Εκτιμάται δε ότι τέτοια apps με κακόβουλο κώδικα, έγιναν download τουλάχιστον 100.000 φορές, μέχρι η Google να τα αφαιρέσει από το ψηφιακό της κατάστημα. Ας σημειωθεί ότι σε αρκετές περιπτώσεις, το malware είχε τοποθετηθεί σε παιχνίδια, όπως τα Mod GTA 5 for Minecraft PE

“Αυτό το malware επιτρέπει στον επιτιθέμενο να διεισδύσει στο δικτυακό περιβάλλον ενός χρήστη. Εάν μια μολυσμένη συσκευή συνδεθεί σε κάποιο εταιρικό δίκτυο, ο επιτιθέμενος θα μπορέσει να επιτεθεί στον εσωτερικό server, ή να κατεβάσει από αυτόν δεδομένα”, αναφέρεται σε έκθεση της γνωστής εταιρείας λογισμικού ασφαλείας Trend Micro.

Πηγή: e-pcmag.gr

Παρατηρώντας τη δραστηριότητα αρκετών ομάδων ψηφιακών εγκληματιών, oι ερευνητές της Kaspersky Lab, εντόπισαν ασυνήθιστη δραστηριότητα σε ένα κακόβουλο script, που βρίσκεται σε μια «μολυσμένη» ιστοσελίδα, το οποίο θέτει τους χρήστες συσκευών Android σε κίνδυνο.

To script συνήθως ενεργοποιεί τη λήψη Flash exploits, ώστε να επιτεθεί σε χρήστες συσκευών Windows.

Ωστόσο, κάποια στιγμή, το script διαμορφώθηκε έτσι, ώστε να μπορεί να ελέγχει τον τύπο της συσκευής που τα θύματα του χρησιμοποιούν, ψάχνοντας συγκεκριμένα για εκδόσεις Android 4.0 ή/ και προγενέστερες. Μόλις εντόπισαν τον κίνδυνο, οι ειδικοί της Kaspersky Lab αποφάσισαν να εμβαθύνουν την έρευνά τους.

Η «μόλυνση» μιας συσκευής Android είναι πολύ πιο δύσκολη για τους εγκληματίες σε σχέση με τη «μόλυνση» ενός υπολογιστή με Windows. Τα Windows – και πολλές διαδεδομένες εφαρμογές για αυτό το λειτουργικό – διαθέτουν τρωτά σημεία, που επιτρέπουν στον κακόβουλο κώδικα να εκτελεστεί χωρίς αλληλεπίδραση με το χρήστη.

Κατά κανόνα, αυτό δεν συμβαίνει με το λειτουργικό Android, καθώς κάθε εγκατάσταση εφαρμογής σε μια συσκευή Android, απαιτεί επιβεβαίωση από τον ιδιοκτήτη της. Ωστόσο, τα τρωτά σημεία του λειτουργικού συστήματος θα μπορούσαν να αξιοποιηθούν για να παρακάμψουν τον περιορισμό αυτό και – όπως ανακάλυψαν οι ερευνητές της εταιρείας – αυτό συμβαίνει πράγματι.

Το script είναι μια σειρά ειδικών οδηγιών προς εκτέλεση στον browser, που ενσωματώνονται στον κώδικα της «μολυσμένης» ιστοσελίδας. Το πρώτο script ανακαλύφθηκε όταν αναζητούσε συσκευές που λειτουργούσαν με τις παλιές εκδόσεις του λογισμικού Android. Δύο ακόμα ύποπτα script εντοπίστηκαν στη συνέχεια. Το πρώτο είναι σε θέση να στείλει ένα SMS σε οποιονδήποτε αριθμό κινητού τηλεφώνου, ενώ το άλλο δημιουργεί κακόβουλα αρχεία στην κάρτα SD της συσκευής που έχει δεχθεί επίθεση. Αυτό το κακόβουλο αρχείο είναι ένα Trojan και έχει τη δυνατότητα να παρεμβαίνει και να στέλνει μηνύματα SMS. Και τα δύο κακόβουλα script είναι σε θέση να εκτελούν ενέργειες ανεξάρτητα από το χρήστη Android. Το μόνο που χρειάζεται για να εκτεθούν οι χρήστες σε κίνδυνο, είναι να επισκέπτονται περιστασιακά έναν «μολυσμένο» δικτυακό τόπο.

Αυτό κατέστη δυνατό, επειδή οι ψηφιακοί εγκληματίες έχουν χρησιμοποιήσει exploits για πολλές ευπάθειες στις Android εκδόσεις 4.1.x και παλαιότερες. Ειδικότερα, οι ευπάθειες αυτές αναγνωρίζονται με τις κωδικές ονομασίες CVE-2012-6636, CVE-2013-4710 και CVE-2014-1939. Και οι τρεις ευπάθειες έχουν επιδιορθωθεί από την Google μεταξύ των ετών 2012 και 2014, αλλά ο κίνδυνος της εκμετάλλευσης τους εξακολουθεί να υφίσταται.

Για παράδειγμα, λόγω των χαρακτηριστικών του Android οικοσυστήματος, πολλοί πάροχοι συσκευών Android κυκλοφορούν τις απαραίτητες ενημερώσεις ασφάλειας πολύ αργά. Μερικοί, μάλιστα, δεν κυκλοφορούν καθόλου ενημερώσεις, γιατί συγκεκριμένα μοντέλα καθίστανται με τον καιρό τεχνικά παρωχημένα.

Όπως δήλωσε ο Victor Chebyshev, ειδικός ασφάλειας της Kaspersky Lab,

“Οι τεχνικές εκμετάλλευσης ευπαθειών που εντοπίσαμε κατά τη διάρκεια της έρευνάς μας, δεν ήταν κάτι νέο. Αντιθέτως, πρόκειται για ιδέες που «ξεσηκώθηκαν» από αναφορές, που είχαν προηγουμένως δημοσιευθεί από white hat ερευνητές. Αυτό σημαίνει ότι οι πάροχοι συσκευών Android θα πρέπει να συνεκτιμήσουν το γεγονός ότι η δημοσίευση των PoCs θα οδηγήσει αναπόφευκτα στην εμφάνιση «εξοπλισμένων» exploits. Οι χρήστες αυτών των συσκευών αξίζει να προστατεύονται με αντίστοιχες ενημερώσεις ασφάλειας, ακόμη και αν οι συσκευές δεν βρίσκονται προς πώληση τη δεδομένη χρονική στιγμή”.

Για την προστασία από drive-by επιθέσεις, οι ειδικοί της Kaspersky Lab συνιστούν στους χρήστες:

Να διατηρούν την Android συσκευή τους ενημερωμένη, επιτρέποντας τη λειτουργία αυτόματων ενημερώσεων

Να περιορίσουν την εγκατάσταση εφαρμογών από εναλλακτικές πηγές, χρησιμοποιώντας κυρίως το Google Play, ειδικά αν διαχειρίζονται πολλές συσκευές, που χρησιμοποιούνται σε εταιρικά δίκτυα

Να χρησιμοποιούν μια δοκιμασμένη λύση ασφάλειας. Για παράδειγμα, οι λύσεις Kaspersky Internet Security for Android και Kaspersky Security for Mobile with Mobile Device Management είναι σε θέση να εντοπίσουν αλλαγές στην κάρτα SD της συσκευής σε πραγματικό χρόνο, προστατεύοντας έτσι τους χρήστες από τις drive-by επιθέσεις που περιγράφονται παραπάνω.

Πηγή: techgear.gr

Παρά τις προσπάθειες της Google να περιορίσει την παρουσία κακόβουλου λογισμικού στο Play Store, ένα ακόμα κρούσμα malware ανακαλύφθηκε πρόσφατα από την εταιρεία PhishLabs.

Πρόκειται για phishing apps, τα οποία έχουν σχεδιαστεί έτσι, ώστε να θυμίζουν τα επίσημα apps διάφορων υπηρεσιών online πληρωμών και να υποκλέπτουν στοιχεία εισόδου από ανυποψίαστους χρήστες.

Επειδή στην πραγματικότητα δεν βασίζονται σε “ύποπτο” κώδικα, οι εφαρμογές αυτές ήταν δύσκολο να εντοπιστούν από τα αυτοματοποιημένα συστήματα ασφαλείας της Google.

Ο Joshua Shilko, αναλυτής ασφαλείας στην PhishLabs, εξήγησε ότι παρότι απλοϊκή, η μέθοδος phishing με πλαστά apps παραμένει αποδοτική για τους απατεώνες, αφού οι περισσότεροι χρήστες εμπιστεύονται το Play Store και δεν είναι καχύποπτοι με όσες εφαρμογές αυτό διαθέτει.

Πηγή: e-pcmag.gr

Εντοπίστηκε νέο, κακόβουλο λογισμικό που μολύνει τις iOS συσκευές 

Ερευνητές της Palo Alto Networks εντόπισαν ένα νέο malware που έκανε την εμφάνιση του στο AppStore και μπορεί να μολύνει όλες τις iOS συσκευές και όχι τις jailbroken όπως συνέβαινε με παρόμοια malwares στο παρελθόν

Οι ερευνητές προειδοποιούν ότι το κακόβουλο λογισμικό της «AceDeceiver» μπορεί να μολύνει οποιαδήποτε συσκευή iOS, μέσα από την αξιοποίηση κενών ασφάλειας που έχουν τα συστήματα προστασίας DRM που χρησιμοποιούνται από την Apple κατά της πειρατείας

Για την ώρα ο κίνδυνος βρίσκεται κυρίως στην Κίνα όμως σύμφωνα με την Palo Alto Networks δεν είναι πολύ δύσκολο να την δούμε να εξαπλώνεται και σε άλλες περιοχές με τον ίδιο ή παρόμοιο τρόπο μιας και πλέον θα υπάρξουν πολλοί που θα αντιγράψουν την τεχνική της επίθεσης αυτής

Η Apple έχει αφαιρέσει το κακόβουλο λογισμικό από το AppStore, αλλά δεν αποκλείεται το ενδεχόμενο να εξαπλωθεί μέσω μολυσμένων υπολογιστών.

newsit.gr

H ESET προειδοποιεί τους χρήστες για ένα αυξανόμενο αριθμό μολυσμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν ένα κακόβουλο συνημμένο, το οποίο κατεβάζει και εγκαθιστά ransomware στη μολυσμένη συσκευή. 

Σε περίπτωση που χρήστης ανοίξει το μολυσμένο αρχείο τότε κρυπτογραφούνται τα αρχεία του στον υπολογιστή του και στη συνέχεια του ζητούνται λύτρα για την αποκρυπτογράφηση.

Το κακόβουλο downloader σύμφωνα με την ESET είναι το JS/TrojanDownloader.Nemucod, καταγράφοντας ασυνήθιστα υψηλή συχνότητα εμφάνισης της σε Ευρώπη, Βόρεια Αμερική, Αυστραλία και Ιαπωνία.

Το Nemucod εξαπλώνεται μέσω e-mail, τα οποία περιέχουν συνημμένα συμπιεσμένο αρχεία. Τα e-mails είναι γραμμένα με έναν πολύ αξιόπιστο τρόπο, και ισχυρίζονται ότι είναι τιμολόγια, δικαστικές κλήσεις ή άλλα επίσημα έγγραφα. Οι κυβερνοεγκληματίες προσπαθούν να πείσουν τους χρήστες να ανοίξουν το κακόβουλο συνημμένο που περιέχει ένα αρχείο JavaScript, το οποίο αφού ανοιχτεί, κατεβάζει και εγκαθιστά το Nemucod στους υπολογιστές των θυμάτων. Το Nemucod είναι γνωστό για την ικανότητά του να κατεβάζει μία σειρά από άλλα κακόβουλα προγράμματα.

«Το Nemucod στην παρούσα φάση κατεβάζει κυρίως ransomware, όπως το TeslaCrypt ή το Locky. Αυτά κρυπτογραφούν τα δεδομένα στον υπολογιστή του θύματος και ζητούν λύτρα» σημειώνει ο Peter Stančík, Security Evangelist της ESET.

Και τα δύο ransomware, TeslaCrypt και Locky, χρησιμοποιούν πρότυπα κρυπτογράφησης παρόμοια με αυτά που χρησιμοποιούνται από τα χρηματοπιστωτικά ιδρύματα, για την προστασία των online πληρωμών.

Για να προστατευτούν οι χρήστες θα πρέπει:

Να μην ανοίγουν συνημμένα που τους έχουν σταλεί στο e-mail από άγνωστους αποστολείς.

Να ενημερώσουν συναδέλφους οι οποίοι λαμβάνουν πιο συχνά μηνύματα ηλεκτρονικού ταχυδρομείου από εξωτερικές πηγές - για παράδειγμα σχετικά με οικονομικές υπηρεσίες ή ανθρώπινους πόρους.

Να πραγματοποιούν τακτικά αντίγραφα ασφαλείας για τα δεδομένα τους. Σε περίπτωση μόλυνσης, αυτό θα τους βοηθήσει να τα ανακτήσουν όλα. Εξωτερικοί δίσκοι ή άλλα μέσα αποθήκευσης δεν θα πρέπει να παραμένουν συνδεδεμένα με τον υπολογιστή, ώστε να αποφευχθεί η μόλυνση από filecoder.

Να πραγματοποιούν τακτικά τις ενημερώσεις του λειτουργικού σας συστήματος και άλλων λογισμικών που χρησιμοποιείτε. Αν εξακολουθούν να χρησιμοποιούν τα Windows XP, καλό είναι να εξετάσουν σοβαρά τη μετάβαση σε άλλο λειτουργικό σύστημα Windows που υποστηρίζει η συσκευή τους.

Το λογισμικό ασφαλείας πρέπει επίσης να έχει εγκατεστημένες όλες τις ενημερώσεις, ιδανικά με την τελευταία έκδοση. Οι εταιρίες λογισμικού IT ασφάλειας διαθέτουν συνεχώς νέες εκδόσεις του λογισμικού τους με πρόσθετα χαρακτηριστικά ασφάλειας.

newsit.gr

kalimnos

eshopkos-foot kalymnosinfo-foot kalymnosinfo-foot nisyrosinfo-footer lerosinfo-footer mykonos-footer santorini-footer kosinfo-foot expo-foot