Σε μια παράξενη τροπή των γεγονότων, ένας χρήστης του Reddit ανέφερε πρόσφατα μια απροσδόκητη και δυνητικά επικίνδυνη κατάσταση που αφορούσε έναν μικρό δονητή που αγοράστηκε από ένα τοπικό εμπορικό κέντρο. Ο χρήστης, ο οποίος χρησιμοποιεί το όνομα χρήστη VegetableLuck, μοιράστηκε την ανησυχητική εμπειρία του στο subreddit r/Malware, περιγράφοντας λεπτομερώς ένα παράξενο περιστατικό.

Πριν από δύο ημέρες, ο VegetableLuck συνέδεσε αθώα το σεξουαλικό παιχνίδι με USB στον υπολογιστή του για φόρτιση, για να βρεθεί μπροστά σε μια ανησυχητική έκπληξη. Ο δονητής, ο οποίος προφανώς λειτουργεί και ως flash drive, ξεκίνησε μια μη εξουσιοδοτημένη λήψη αρχείων χωρίς καμία αλληλεπίδραση με ιστοσελίδες. Ευτυχώς, το άγρυπνο λογισμικό ασφαλείας του χρήστη, το Malwarebytes, εντόπισε αμέσως την απειλή και απέτρεψε τη λήψη.

Ο χρήστης παρείχε λεπτομέρειες σχετικά με το ύποπτο αρχείο και τον σχετικό σύνδεσμο λήψης, προτρέποντας την κοινότητα να είναι προσεκτική. Ο VegetableLuck, περίεργος για τη φύση της πιθανής απειλής, ζήτησε τη βοήθεια της κοινότητας του Reddit, ζητώντας από τυχόν ειδικούς να αναλύσουν τον παρεχόμενο σύνδεσμο και να ρίξουν φως στην κατάσταση. Ο επείγον χαρακτήρας του αιτήματος υπογραμμίζει τις σοβαρές επιπτώσεις ενός τέτοιου περιστατικού, καθώς οι ανυποψίαστοι χρήστες ενδέχεται να εκθέσουν κατά λάθος τα συστήματά τους σε επιβλαβές κακόβουλο λογισμικό που είναι μεταμφιεσμένο μέσα σε φαινομενικά αθώες συσκευές.

Οι λάτρεις της τεχνολογίας και οι επαγγελματίες της κυβερνοασφάλειας βρίσκονται πλέον σε κατάσταση συναγερμού, τονίζοντας τη σημασία της προσοχής κατά τη σύνδεση άγνωστων συσκευών με προσωπικούς υπολογιστές. Το περιστατικό χρησιμεύει ως μια έντονη υπενθύμιση των εξελισσόμενων τακτικών που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να διεισδύσουν σε συστήματα, εκμεταλλευόμενοι ανυποψίαστους χρήστες με μη συμβατικά μέσα.

Καθώς η κοινότητα του Reddit συσπειρώνεται για να διερευνήσει την πηγή και τη φύση της πιθανής απειλής, το περιστατικό αυτό υπογραμμίζει την ανάγκη για αυξημένη ευαισθητοποίηση και επαγρύπνηση στον τομέα της κυβερνοασφάλειας, ακόμη και σε φαινομενικά καθημερινές πτυχές της καθημερινής ζωής.

Σε μια εντυπωσιακή αποκάλυψη, η Group-IB, αποκάλυψε ένα νέο iOS Trojan που έχει σχεδιαστεί για να κλέβει τα δεδομένα αναγνώρισης προσώπου των χρηστών, τα έγγραφα ταυτότητας και να υποκλέπτει SMS. Με την ονομασία GoldPickaxe.iOS, αυτό το κακόβουλο λογισμικό έχει ως πηγή την κινέζικη εταιρεία GoldFactory, διαβόητη για την ανάπτυξη εξαιρετικά εξελιγμένων τραπεζικών Trojan. Η τελευταία ανακάλυψη αναδεικνύει επίσης μια σπάνια περίπτωση κακόβουλου λογισμικού που στοχεύει ειδικά το λειτουργικό σύστημα κινητών τηλεφώνων της Apple.

Η Group-IB εντόπισε αρχικά το GoldDigger τον Οκτώβριο του 2023, προβλέποντας την επέκτασή του πέραν του Βιετνάμ. Σε λιγότερο από ένα μήνα, εμφανίστηκε μια νέα παραλλαγή - το GoldPickaxe.iOS, με στόχο θύματα στην Ταϊλάνδη. Ο φορέας απειλών, GoldFactory, διαθέτει ένα εκτεταμένο χαρτοφυλάκιο, συμπεριλαμβανομένου του GoldDigger και των πρόσφατα εντοπισμένων GoldDiggerPlus, GoldKefu και GoldPickaxe για Android.

Σε ένα πρόσφατο περιστατικό τον Φεβρουάριο του 2024, ένας Βιετναμέζος πολίτης έπεσε θύμα του GoldPickaxe.iOS, με αποτέλεσμα ο κυβερνοεγκληματίας να αποσύρει πάνω από 40.000 δολάρια. Παρόλο που η Group-IB δεν έχει άμεσες αποδείξεις για τη διανομή του GoldPickaxe στο Βιετνάμ, το περιστατικό υποδηλώνει έντονα την παρουσία του στη χώρα.

Το GoldPickaxe.iOS μεταμφιέζεται σε εφαρμογές κυβερνητικών υπηρεσιών της Ταϊλάνδης, δελεάζοντας τους χρήστες να δημιουργήσουν ένα ολοκληρωμένο βιομετρικό προφίλ προσώπου και να υποβάλουν φωτογραφίες των δελτίων ταυτότητάς τους. Χρησιμοποιώντας μια καινοτόμο στρατηγική διανομής, ο δράστης της απειλής χρησιμοποίησε αρχικά την πλατφόρμα TestFlight της Apple, μεταβαίνοντας σε μια πιο προηγμένη προσέγγιση μετά την απομάκρυνση του από την πλατφόρμα της Apple.

Σε αντίθεση με το τυπικό κακόβουλο λογισμικό, το GoldPickaxe δεν κλέβει άμεσα χρήματα. Αντ' αυτού, συλλέγει πληροφορίες για τη δημιουργία video deepfakes για μη εξουσιοδοτημένη πρόσβαση στις τραπεζικές εφαρμογές των θυμάτων. Οι χρηματοπιστωτικοί οργανισμοί της Ταϊλάνδης χρησιμοποιούν εκτενώς την αναγνώριση προσώπου για την επαλήθευση συναλλαγών και τον έλεγχο ταυτότητας σύνδεσης.

Μετά την ανακάλυψη του GoldDigger Trojan τον Ιούνιο του 2023, η Group-IB εντόπισε μια πιο προηγμένη παραλλαγή - GoldDiggerPlus. Αυτό το κακόβουλο λογισμικό Android, συνοδευόμενο από το GoldKefu, χρησιμοποιεί διαδικτυακές απομιμήσεις που υποδύονται τράπεζες του Βιετνάμ για να συλλέξει τραπεζικά διαπιστευτήρια. Το GoldKefu επιτρέπει στους εγκληματίες του κυβερνοχώρου να στέλνουν ψεύτικες ειδοποιήσεις και να πραγματοποιούν κλήσεις σε πραγματικό χρόνο στα θύματα.

Η Group-IB αποδίδει ολόκληρο το σύμπλεγμα απειλών στον κακόβουλο παράγοντα GoldFactory. Η ομάδα επιδεικνύει επάρκεια σε διάφορες τακτικές, συμπεριλαμβανομένης της πλαστοπροσωπίας, του keylogging, των ψεύτικων τραπεζικών ιστότοπων και της συλλογής δεδομένων ταυτότητας και αναγνώρισης προσώπου. Η εμπλοκή της GoldFactory στη διανομή του Gigabud, ενός διασπαστικού τραπεζικού trojan, έχει υπονοηθεί αλλά δεν έχει αποδειχθεί πειστικά.

Ο Andrey Polovinkin, αναλυτής κακόβουλου λογισμικού στην Group-IB, τονίζει την επιχειρησιακή ωριμότητα της συμμορίας και τις συνεχείς βελτιώσεις στα εργαλεία της. Προειδοποιεί για επικείμενη απειλή για το Βιετνάμ και άλλες περιοχές, καθώς οι τεχνικές και η λειτουργικότητα του GoldPickaxe είναι πιθανό να ενσωματωθούν σε μελλοντικό κακόβουλο λογισμικό.

Η Group-IB συνιστά στις τράπεζες να εφαρμόζουν συστήματα παρακολούθησης συνεδριών χρηστών, όπως το Fraud Protection της Group-IB, για την ανίχνευση της παρουσίας κακόβουλου λογισμικού και τον αποκλεισμό ανώμαλων συνεδριών. Συνιστάται στους τελικούς χρήστες να αποφεύγουν να κάνουν κλικ σε ύποπτους συνδέσμους, να χρησιμοποιούν επίσημα καταστήματα εφαρμογών, να ελέγχουν τα δικαιώματα των εφαρμογών, να αποφεύγουν την προσθήκη άγνωστων επαφών, να επαληθεύουν τις τραπεζικές επικοινωνίες και να αναφέρουν αμέσως τις υποψίες απάτης στις τράπεζές τους.

Σε μια πρόσφατη εξέλιξη, οι developers του Linux αντιμετωπίζουν ενεργά μια ευπάθεια υψηλής σοβαρότητας που αποτελεί σημαντική απειλή για την ασφάλεια των υπολογιστικών συσκευών. Η ευπάθεια, που εντοπίζεται ως CVE-2023-40547, βρίσκεται στο shim, ένα κρίσιμο συστατικό που είναι υπεύθυνο για τα πρώτα στάδια της διαδικασίας εκκίνησης στο firmware του Linux. Η επιτυχής εκμετάλλευση αυτού του ελαττώματος μπορεί να επιτρέψει την εγκατάσταση κακόβουλου λογισμικού σε επίπεδο firmware, παρέχοντας στους επιτιθέμενους πρόσβαση στα βαθύτερα τμήματα μιας συσκευής, καθιστώντας τις μολύνσεις τόσο δύσκολο να εντοπιστούν όσο και να αφαιρεθούν.

Το shim, που βρίσκεται σχεδόν σε όλες τις διανομές Linux, παίζει καθοριστικό ρόλο στους μηχανισμούς ασφαλούς εκκίνησης. Αυτό το χαρακτηριστικό ασφαλείας διασφαλίζει ότι κάθε στοιχείο της διαδικασίας εκκίνησης προέρχεται από μια επαληθευμένη, αξιόπιστη πηγή. Ωστόσο, η εν λόγω ευπάθεια επιτρέπει στους επιτιθέμενους να εκτελούν κακόβουλο υλικολογισμικό στα πρώτα στάδια της εκκίνησης, παρακάμπτοντας τις προστασίες ασφαλούς εκκίνησης.

Το ελάττωμα, που αναγνωρίστηκε ως υπερχείλιση ρυθμιστικού διαφράγματος (CVE-2023-40547), είναι ένα σφάλμα κωδικοποίησης που δίνει τη δυνατότητα στους επιτιθέμενους να εκτελούν αυθαίρετο κώδικα. Το παραβιασμένο shim επεξεργάζεται την εκκίνηση από έναν κεντρικό διακομιστή χρησιμοποιώντας μη κρυπτογραφημένο HTTP, το ίδιο πρωτόκολλο με το διαδίκτυο. Η επιτυχής εκμετάλλευση της ευπάθειας πραγματοποιείται μετά την παραβίαση της στοχευμένης συσκευής, του διακομιστή ή του δικτύου, εξουδετερώνοντας στη συνέχεια τους μηχανισμούς ασφαλούς εκκίνησης.

Ο Matthew Garrett, ένας από τους αρχικούς συγγραφείς του shim, τόνισε ότι οι επιτιθέμενοι πρέπει να εξαναγκάσουν ένα σύστημα να εκκινήσει από το HTTP, καθιστώντας την εκμετάλλευση της ευπάθειας δύσκολη αλλά όχι αδύνατη. Τα πιθανά σενάρια περιλαμβάνουν την παραβίαση ενός διακομιστή, την απόκτηση φυσικής πρόσβασης σε μια συσκευή ή την εκμετάλλευση μιας ξεχωριστής ευπάθειας για την επίτευξη διαχειριστικού ελέγχου.

Ενώ τα εμπόδια για την εκμετάλλευση είναι απότομα, οι πιθανές συνέπειες είναι σοβαρές. Οι επιτυχείς επιθέσεις επιτρέπουν την εγκατάσταση ενός bootkit, μιας μορφής κακόβουλου λογισμικού που εκτελείται πριν από το λειτουργικό σύστημα, παρακάμπτοντας την τυπική προστασία του τελικού σημείου. Ειδικότερα, το bootkit που δημιουργείται δεν θα επιβιώσει από μια διαγραφή ή επαναδιαμόρφωση του σκληρού δίσκου.

Η αντιμετώπιση της ευπάθειας περιλαμβάνει κάτι περισσότερο από την εξάλειψη της υπερχείλισης buffer- απαιτείται η ενημέρωση του μηχανισμού ασφαλούς εκκίνησης για την ανάκληση των ευάλωτων εκδόσεων του bootloader. Αυτή η διαδικασία εισάγει κάποιο επίπεδο κινδύνου, καθώς οι χρήστες ενδέχεται να αντιμετωπίσουν προβλήματα κατά τη διάρκεια της ενημέρωσης, που ενδεχομένως να οδηγήσουν σε διακοπή της διαδικασίας εκκίνησης.

Οι προγραμματιστές του Linux κυκλοφόρησαν την επιδιόρθωση σε μεμονωμένους προγραμματιστές shim, οι οποίοι την ενσωματώνουν στις υπεύθυνες εκδόσεις τους. Αυτές οι διορθωμένες εκδόσεις διανέμονται τώρα στους διανομείς Linux, οι οποίοι βρίσκονται στη διαδικασία διάθεσής τους στους τελικούς χρήστες. Η βαθμολογία σοβαρότητας 9,8 στα 10 υπογραμμίζει τη σημασία της άμεσης εγκατάστασης των επιδιορθώσεων μόλις γίνουν διαθέσιμες.

Αν και ο κίνδυνος επιτυχούς εκμετάλλευσης περιορίζεται σε ακραία σενάρια, η πιθανή ζημιά υπογραμμίζει τον κρίσιμο χαρακτήρα της αντιμετώπισης αυτής της ευπάθειας για τη διατήρηση της ασφάλειας των συστημάτων που βασίζονται στο Linux.

Σε μια από τις μεγαλύτερες απάτες που σχετίζονται με τη τεχνολογία deepfake μέχρι σήμερα, ένας υπάλληλος του Χονγκ Κονγκ εξαπατήθηκε για να μεταφέρει 25,6 εκατομμύρια δολάρια κατά τη διάρκεια μιας τηλεδιάσκεψης. Οι απατεώνες χρησιμοποίησαν deepfake εκδοχές του οικονομικού διευθυντή της εταιρείας και άλλων υπαλλήλων για να ενορχηστρώσουν την περίτεχνη απάτη.

Το περιστατικό, το οποίο ανέφερε η South China Morning Post (SCMP), αφορούσε έναν υπάλληλο στο υποκατάστημα του Χονγκ Κονγκ μιας πολυεθνικής εταιρείας που δεν κατονομάζεται. Τον εξαπάτησαν να συμμετάσχει σε μια βιντεοκλήση όπου οι άλλοι συμμετέχοντες ήταν ψηφιακά αναπαραστάσεις πραγματικών υπαλλήλων, συμπεριλαμβανομένου του οικονομικού διευθυντή (CFO) της εταιρείας.

Πιστεύοντας ότι η κλήση ήταν νόμιμη, ο υπάλληλος ακολούθησε τις οδηγίες που του έδωσαν οι deepfakes και μετέφερε 200 εκατομμύρια HK$ (περίπου 25,6 εκατομμύρια δολάρια) σε 15 ξεχωριστές συναλλαγές σε τραπεζικούς λογαριασμούς στο Χονγκ Κονγκ. Μόλις μια εβδομάδα αργότερα, όταν επικοινώνησε με τα κεντρικά γραφεία της εταιρείας, ο υπάλληλος ανακάλυψε ότι είχε εξαπατηθεί.

Προσθέτοντας στην πολυπλοκότητα του σχεδίου, οι απατεώνες επικοινώνησαν αρχικά με τον υπάλληλο μέσω ηλεκτρονικού ταχυδρομείου, δημιουργώντας υποψίες με αναφορές για μια "μυστική συναλλαγή". Ωστόσο, τα ρεαλιστικά deepfakes στη βιντεοκλήση έπεισαν τελικά τον υπάλληλο για τη νομιμότητά της.

Οι έρευνες της αστυνομίας αποκάλυψαν ότι οι απατεώνες χρησιμοποίησαν δημόσια διαθέσιμο βίντεο και ηχητικό υλικό για τη δημιουργία των deepfakes, μιμούμενοι τις φωνές των στόχων τους με τη χρήση τεχνολογίας τεχνητής νοημοσύνης. Ενώ ο εν λόγω υπάλληλος δεν αλληλεπίδρασε ποτέ άμεσα με τα deepfakes πέρα από μια αρχική αυτοπαρουσίαση, οι απατεώνες εξέδωσαν εντολές μεταφοράς πριν τερματίσουν απότομα την κλήση. Στη συνέχεια η επικοινωνία βασίστηκε σε πλατφόρμες ανταλλαγής μηνυμάτων και σε μηνύματα ηλεκτρονικού ταχυδρομείου, συντηρώντας περαιτέρω την ψευδαίσθηση.

Το περιστατικό αυτό αναδεικνύει την αυξανόμενη απειλή των deepfakes και τις δυνατότητές τους για οικονομικό έγκλημα. Ενώ τα μέτρα ασφαλείας εξελίσσονται, η πολυπλοκότητα αυτής της απάτης υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση και ευαισθητοποίηση.

Όταν οι χρήστες ανοίγουν ένα πρόγραμμα περιήγησης Incognito στο Chrome, θα βλέπουν μια ειδοποίηση που θα τους προειδοποιεί ότι τα άλλα άτομα που χρησιμοποιούν τη συσκευή τους δεν θα μπορούν να δουν τη δραστηριότητά τους, αλλά ότι οι λήψεις, οι σελιδοδείκτες και τα στοιχεία ανάγνωσης θα εξακολουθούν να αποθηκεύονται. Τώρα, η Google ενημέρωσε αυτή τη δήλωση αποποίησης ευθύνης στο πειραματικό κανάλι Canary του Chrome, λίγο μετά τη συμφωνία για τη διευθέτηση μιας αγωγής ύψους 5 δισεκατομμυρίων δολαρίων που την κατηγορούσε για παρακολούθηση των χρηστών του Incognito. Όπως παρατήρησε πρώτο το site MSPowerUser, η εταιρεία έχει τροποποιήσει την αποποίηση ευθυνών στο Canary για να προσθέσει γλώσσα που λέει ότι η λειτουργία Incognito δεν θα αλλάξει τον τρόπο με τον οποίο οι ιστότοποι συλλέγουν τα δεδομένα των χρηστών.

"Άλλοι που χρησιμοποιούν αυτή τη συσκευή δεν θα βλέπουν τη δραστηριότητά σας, ώστε να μπορείτε να περιηγείστε πιο ιδιωτικά", αναφέρει η νέα δήλωση αποποίησης ευθυνών. "Αυτό δεν θα αλλάξει τον τρόπο με τον οποίο συλλέγονται δεδομένα από τους ιστότοπους που επισκέπτεστε και τις υπηρεσίες που χρησιμοποιούν, συμπεριλαμβανομένης της Google. Οι λήψεις, οι σελιδοδείκτες και τα στοιχεία της λίστας ανάγνωσης θα αποθηκεύονται". Η ενημερωμένη προειδοποίηση εντοπίστηκε στο Canary σε Android και Windows και μπορούμε να επιβεβαιώσουμε ότι το ίδιο εμφανίζεται στην έκδοση του Chrome για Mac.

Η Google δέχτηκε μήνυση το 2020, κατηγορώντας την ότι παρακολουθεί τις δραστηριότητες των χρηστών ακόμη και αν βρίσκονται σε λειτουργία Incognito. Οι ενάγοντες δήλωσαν στο δικαστήριο ότι η εταιρεία χρησιμοποιούσε εργαλεία όπως το προϊόν Analytics, εφαρμογές και πρόσθετα του προγράμματος περιήγησης για την παρακολούθηση των χρηστών. Υποστήριξαν επίσης ότι με την παρακολούθηση των χρηστών στο Incognito, η Google έδινε στους ανθρώπους την εσφαλμένη πεποίθηση ότι μπορούν να ελέγχουν τις πληροφορίες που είναι πρόθυμοι να μοιραστούν. Ένας εκπρόσωπος της Google εξήγησε τότε ότι η λειτουργία αυτή μπορούσε να αποκρύψει μόνο τη δραστηριότητα ενός χρήστη στη συσκευή που χρησιμοποιεί, αλλά οι πληροφορίες του μπορούσαν να συλλεχθούν. Αυτό δεν ανακοινώνεται με σαφήνεια στην τρέχουσα δήλωση αποποίησης ευθυνών για τη δημόσια έκδοση του Chrome, αλλά φαίνεται ότι αυτό μπορεί να αλλάξει στο εγγύς μέλλον.

Η Group-IB, εταιρεία κυβερνοασφάλειας που ειδικεύεται στη διερεύνηση, την πρόληψη και την καταπολέμηση του ψηφιακού εγκλήματος, δημοσίευσε λεπτομερή έκθεση που αποκαλύπτει το ανεξέλεγκτο σύστημα κακόβουλου λογισμικού Inferno Drainer, το οποίο στοχεύει τους κατόχους κρυπτονομισμάτων εδώ και πάνω από ένα χρόνο. Η μονάδα διερεύνησης εγκλημάτων υψηλής τεχνολογίας της εταιρείας αποκάλυψε την εξελιγμένη επιχείρηση scam-as-a-service, η οποία χρησιμοποίησε υψηλής ποιότητας σελίδες phishing και παραποιημένα πρωτόκολλα Web3 για να κλέψει πάνω από 80 εκατομμύρια δολάρια σε ψηφιακά περιουσιακά στοιχεία.

Το Inferno Drainer, επίσης γνωστό ως Inferno Multichain Drainer, ήταν μια εργαλειοθήκη κακόβουλου λογισμικού που προσφερόταν προς ενοικίαση σε εγκληματίες του κυβερνοχώρου μέσω ενός καναλιού Telegram. Το κακόβουλο λογισμικό είχε σχεδιαστεί για να εξαπατά τους χρήστες ώστε να συνδέουν τα πορτοφόλια κρυπτονομισμάτων τους με παραβιασμένους ιστότοπους, επιτρέποντας στους επιτιθέμενους να κλέβουν τα ψηφιακά περιουσιακά τους στοιχεία. Οι χειριστές του Inferno Drainer προωθούσαν ενεργά το κακόβουλο λογισμικό τους και παρείχαν έναν πίνακα πελατών για την προσαρμογή των χαρακτηριστικών και την παρακολούθηση των στατιστικών στοιχείων.

Οι ερευνητές της Group-IB διαπίστωσαν ότι οι προγραμματιστές του Inferno Drainer χρέωναν μια αμοιβή 20% για τη χρήση του κακόβουλου λογισμικού, ενώ οι χρήστες λάμβαναν το υπόλοιπο 80% των κλεμμένων περιουσιακών στοιχείων. Οι εγκληματίες του κυβερνοχώρου μπορούσαν είτε να αναπτύξουν το κακόβουλο λογισμικό στις δικές τους ιστοσελίδες phishing είτε να χρησιμοποιήσουν την υπηρεσία της Inferno Drainer για τη δημιουργία και φιλοξενία ιστοσελίδων phishing.

Οι σελίδες phishing που δημιουργήθηκαν από την Inferno Drainer, όπως η παραπάνω, στόχευαν ανυποψίαστα θύματα σε πλατφόρμες κοινωνικής δικτύωσης όπως το X (πρώην Twitter) και το Discord. Αυτές οι σελίδες δελέαζαν τους χρήστες με υποσχέσεις για δωρεάν μάρκες, ευκαιρίες κοπής NFT ή αποζημίωση για υποτιθέμενες διακοπές λειτουργίας που προκλήθηκαν από εγκληματική δραστηριότητα στον κυβερνοχώρο. Μόλις ένα θύμα συνέδεε το πορτοφόλι του με την ιστοσελίδα phishing, ο κακόβουλος κώδικας JavaScript του Inferno Drainer παραποιούσε δημοφιλή πρωτόκολλα Web3 και ξεκινούσε μη εξουσιοδοτημένες συναλλαγές, απομυζώντας τα ψηφιακά περιουσιακά στοιχεία του θύματος.

Οι χειριστές του Inferno Drainer παρίσταναν πάνω από 100 εμπορικά σήματα κρυπτονομισμάτων σε σελίδες phishing που φιλοξενούνταν σε περισσότερους από 16.000 μοναδικούς τομείς. Η Group-IB ενημέρωσε τα επηρεαζόμενα εμπορικά σήματα και μοιράστηκε τα ευρήματά της με το Scam Sniffer, μια κορυφαία πλατφόρμα εντοπισμού εγκλημάτων κρυπτονομισμάτων.

"Το Inferno Drainer μπορεί να έχει σταματήσει τη δραστηριότητά του, αλλά η κλίμακα και η πολυπλοκότητα της επιχείρησής του αναδεικνύουν τους συνεχιζόμενους κινδύνους για τους κατόχους κρυπτονομισμάτων", δήλωσε ο Andrey Kolmakov, επικεφαλής του Τμήματος Έρευνας Εγκλημάτων Υψηλής Τεχνολογίας της Group-IB. "Καθώς το κακόβουλο λογισμικό Drainer συνεχίζει να εξελίσσεται, προτρέπουμε τους κατόχους κρυπτονομισμάτων να παραμείνουν σε επαγρύπνηση και να αποφεύγουν να εμπλέκονται με οποιονδήποτε ιστότοπο που προσφέρει δωρεάν ψηφιακά περιουσιακά στοιχεία ή αερομεταφορές".

Για να προστατευτούν από επιθέσεις phishing, η Group-IB συνιστά στους κατόχους κρυπτονομισμάτων:

• Να πραγματοποιούν συναλλαγές μόνο σε νόμιμες ιστοσελίδες, όπως αυτές που παρατίθενται στο CoinMarketCap.
• Να είστε επιφυλακτικοί σε κάθε ιστότοπο που σας ζητά να συνδέσετε το πορτοφόλι σας, ειδικά αν προσφέρει δωρεάν μάρκες ή airdrops.
• Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) για όλα τα ανταλλακτήρια και τα πορτοφόλια κρυπτονομισμάτων.
• Ελέγχετε τακτικά το ιστορικό των συναλλαγών σας για τυχόν μη εξουσιοδοτημένη δραστηριότητα.
• Αναφέρετε κάθε ύποπτο έγκλημα κρυπτονομισμάτων στις τοπικές υπηρεσίες επιβολής του νόμου.

Η Group-IB δεσμεύεται να παρέχει ολοκληρωμένες λύσεις κυβερνοασφάλειας για την προστασία των κατόχων κρυπτονομισμάτων από τις εξελισσόμενες απειλές που θέτουν τα κακόβουλα λογισμικά και οι απάτες phishing. Το προϊόν Threat Intelligence της εταιρείας, το οποίο αποκάλυψε το σύστημα Inferno Drainer, παρέχει ανίχνευση και ανάλυση απειλών σε πραγματικό χρόνο, βοηθώντας τους οργανισμούς να εντοπίζουν και να μετριάζουν αποτελεσματικά τους κινδύνους στον κυβερνοχώρο.

Μια ουκρανική ομάδα κυβερνοεπίθεσης, γνωστή ως Blackjack, εξαπέλυσε μια καταστροφική επίθεση εναντίον ενός παρόχου διαδικτύου με έδρα τη Μόσχα, της M9com, σε αντίποινα για μια πρόσφατη επίθεση στη μεγαλύτερη εταιρεία τηλεπικοινωνιών της Ουκρανίας, την Kyivstar. Η επίθεση, η οποία ξεκίνησε στις 9 Ιανουαρίου 2024, είχε ως αποτέλεσμα τη διαγραφή terabytes δεδομένων από τους διακομιστές της M9com. Οι χάκερ διέκοψαν επίσης τις υπηρεσίες διαδικτύου και τηλεόρασης για πολλούς κατοίκους της Μόσχας.

Η ομάδα Blackjack έχει προειδοποιήσει ότι σχεδιάζει μια μεγαλύτερη επίθεση κατά της Ρωσίας στο εγγύς μέλλον. Η ομάδα κυκλοφόρησε επίσης κλεμμένα δεδομένα από τον διακομιστή αλληλογραφίας και τις βάσεις δεδομένων πελατών της M9com, καθιστώντας τα δημόσια προσβάσιμα μέσω του προγράμματος περιήγησης Tor.

Σύμφωνα με ανώνυμη πηγή από υπηρεσία επιβολής του νόμου, η Blackjack πιστεύεται ότι συνδέεται με την Υπηρεσία Ασφαλείας της Ουκρανίας (SBU). Η πηγή ανέφερε ότι οι επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση στις back-end λειτουργίες της M9com και να διαγράψουν αποτελεσματικά δεδομένα από τους διακομιστές.

Αυτός ο τύπος επίθεσης είναι λιγότερο συνηθισμένος από τις συχνότερα παρατηρούμενες κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών (DDoS), οι οποίες κατακλύζουν ένα σύστημα κατακλύζοντάς το με αυτοματοποιημένα αιτήματα. Οι επιθέσεις DDoS συνήθως προκαλούν την απροσπέλαση μιας υπηρεσίας.

Η επίθεση κατά της M9com είναι η τελευταία ομοβροντία στον συνεχιζόμενο κυβερνοπόλεμο μεταξύ Ουκρανίας και Ρωσίας. Η Ρωσία έχει κατηγορηθεί για την πραγματοποίηση σχεδόν 9.000 επιθέσεων στον κυβερνοχώρο στην Ουκρανία από την έναρξη της εισβολής πλήρους κλίμακας. Οι επιθέσεις αυτές έχουν αποτελέσει σημαντική απειλή για την ασφάλεια και τη σταθερότητα της Ουκρανίας. Η ουκρανική κυβέρνηση καταδίκασε την επίθεση στην M9com και δήλωσε ότι δεν θα ανεχθεί κυβερνοεπιθέσεις κατά των πολιτών ή των υποδομών της. Η κυβέρνηση κάλεσε επίσης τη Ρωσία να σταματήσει τις κυβερνοεπιθέσεις της και να σεβαστεί το διεθνές δίκαιο.

Η επίθεση στην M9com αποτελεί υπενθύμιση της αυξανόμενης απειλής του κυβερνοπολέμου. Καθώς οι χώρες εξαρτώνται όλο και περισσότερο από την τεχνολογία, γίνονται επίσης πιο ευάλωτες σε κυβερνοεπιθέσεις. Είναι σημαντικό για τις κυβερνήσεις και τις επιχειρήσεις να λάβουν μέτρα για την προστασία τους από αυτές τις επιθέσεις.

Τρία νέα κακόβουλα πακέτα έχουν ανακαλυφθεί στο αποθετήριο ανοικτού κώδικα Python Package Index (PyPI) με δυνατότητες ανάπτυξης ενός εξορύκτη (miner) κρυπτονομίσματος σε επηρεαζόμενες συσκευές Linux. Τα τρία επιβλαβή πακέτα, με τα ονόματα modularseven, driftme και catme, προσέλκυσαν συνολικά 431 λήψεις τον τελευταίο μήνα πριν από την απομάκρυνσή τους.

"Αυτά τα πακέτα, κατά την αρχική χρήση, αναπτύσσουν ένα εκτελέσιμο αρχείο CoinMiner σε συσκευές Linux", δήλωσε ο ερευνητής της Fortinet FortiGuard Labs, Gabby Xiong, προσθέτοντας ότι η δραστηριότητα μοιράζεται επικαλύψεις με μια προηγούμενη εκστρατεία που αφορούσε τη χρήση ενός πακέτου που ονομάζεται culturestreak για την ανάπτυξη ενός crypto miner.

Ο κακόβουλος κώδικας βρίσκεται στο αρχείο __init__.py, το οποίο αποκωδικοποιεί και ανακτά το πρώτο στάδιο από έναν απομακρυσμένο διακομιστή, ένα σενάριο κελύφους ("unmi.sh") που ανακτά ένα αρχείο ρυθμίσεων για τη δραστηριότητα εξόρυξης, καθώς και το αρχείο CoinMiner που φιλοξενείται στο GitLab. Στη συνέχεια, το δυαδικό αρχείο ELF εκτελείται στο παρασκήνιο χρησιμοποιώντας την εντολή nohup, εξασφαλίζοντας έτσι ότι η διαδικασία συνεχίζει να εκτελείται ακόμη και μετά την έξοδο από τη συνεδρία.

"Ακολουθώντας την προσέγγιση του προηγούμενου πακέτου 'culturestreak', αυτά τα πακέτα κρύβουν το πραγματικό "φορτίο" τους, μειώνοντας αποτελεσματικά τη δυνατότητα εντοπισμού του κακόβουλου κώδικά τους, φιλοξενώντας τον σε μια απομακρυσμένη διεύθυνση URL", δήλωσε ο Xiong. "Το κακόβουλο πρόγραμμα στη συνέχεια απελευθερώνεται σταδιακά σε διάφορα στάδια για να εκτελέσει τις κακόβουλες δραστηριότητές του". Οι συνδέσεις με το πακέτο culturestreak προκύπτουν επίσης από το γεγονός ότι το αρχείο διαμόρφωσης φιλοξενείται στον τομέα papiculo[.]net και τα εκτελέσιμα αρχεία εξόρυξης νομισμάτων φιλοξενούνται σε ένα δημόσιο αποθετήριο GitLab.

Μια αξιοσημείωτη βελτίωση στα τρία νέα πακέτα είναι η εισαγωγή ενός επιπλέον σταδίου με την απόκρυψη της κακόβουλης πρόθεσής τους στο σενάριο κελύφους, βοηθώντας το έτσι να αποφύγει την ανίχνευση από το λογισμικό ασφαλείας και παρατείνοντας τη διαδικασία εκμετάλλευσης. "Επιπλέον, αυτό το κακόβουλο λογισμικό εισάγει τις κακόβουλες εντολές στο αρχείο ~/.bashrc", δήλωσε ο Xiong. "Αυτή η προσθήκη διασφαλίζει την παραμονή και την επανενεργοποίηση του κακόβουλου λογισμικού στη συσκευή του χρήστη, επεκτείνοντας αποτελεσματικά τη διάρκεια της μυστικής λειτουργίας του. Αυτή η στρατηγική βοηθά στην παρατεταμένη, μυστική εκμετάλλευση της συσκευής του χρήστη προς όφελος του επιτιθέμενου".

Σε μια κίνηση για την ενίσχυση της προστασίας των δεδομένων των χρηστών, η LastPass, ο δημοφιλής διαχειριστής κωδικών πρόσβασης, ανακοίνωσε αυστηρότερες απαιτήσεις για τους κωδικούς πρόσβασης. Η εταιρεία επιβάλλει πλέον σε όλους τους χρήστες να υιοθετήσουν έναν κύριο κωδικό πρόσβασης τουλάχιστον 12 χαρακτήρων, από το πρότυπο των οκτώ χαρακτήρων που συνιστούσε προηγουμένως. Ο νέος κωδικός πρόσβασης πρέπει επίσης να περιλαμβάνει τουλάχιστον έναν ειδικό χαρακτήρα, έναν αριθμό και ένα κεφαλαίο γράμμα.

Αυτό το ενισχυμένο μέτρο ασφαλείας έρχεται μετά από μια σημαντική παραβίαση ασφαλείας το 2022, όταν χάκερ απέκτησαν πρόσβαση σε ευαίσθητα δεδομένα χρηστών μέσω ενός exploit που ανακαλύφθηκε στον υπολογιστή ενός μηχανικού της LastPass. Το περιστατικό έθεσε σε κίνδυνο περισσότερους από 15 εκατομμύρια κωδικούς πρόσβασης, γεγονός που οδήγησε σε ενδελεχή αναθεώρηση των πρωτοκόλλων ασφαλείας της εταιρείας.

Η LastPass αναγνωρίζει το εξελισσόμενο τοπίο των κυβερνοαπειλών και τονίζει ότι οι αλλαγές αυτές αποτελούν προληπτικά βήματα για τη διασφάλιση της ιδιωτικής ζωής των χρηστών. Η εταιρεία έχει εφαρμόσει πρόσθετα μέτρα ασφαλείας, συμπεριλαμβανομένης της αυξημένης επανάληψης PBKDF2 για ενισχυμένη κρυπτογράφηση, για την περαιτέρω προστασία των πληροφοριών των χρηστών.

Παρόλο που η LastPass δεν αναφέρεται ρητά στην ανακοίνωση της στην παραβίαση του 2022, η αυξημένη απαίτηση πολυπλοκότητας του κωδικού πρόσβασης αναμφίβολα απορρέει από τα διδάγματα που αντλήθηκαν από το εν λόγω περιστατικό. Η εταιρεία έχει λάβει μέτρα για την ενίσχυση της ασφάλειας του προσωπικού δικτύου του επηρεαζόμενου μηχανικού και έχει εφαρμόσει ισχυρό έλεγχο ταυτότητας πολλαπλών παραγόντων σε όλα τα συστήματά της.

Υπό το πρίσμα αυτής της ανακοίνωσης, είναι ζωτικής σημασίας για τους χρήστες της LastPass να ενημερώσουν άμεσα τους κύριους κωδικούς πρόσβασης. Με την υιοθέτηση ενός ισχυρού και μοναδικού κύριου κωδικού πρόσβασης, τα άτομα μπορούν να μειώσουν σημαντικά τον κίνδυνο να πέσουν οι προσωπικές τους πληροφορίες σε λάθος χέρια.

Η LastPass παραμένει προσηλωμένη στη διασφάλιση των δεδομένων των χρηστών και έχει επιδείξει προθυμία να προσαρμόζει τα μέτρα ασφαλείας της ως απάντηση στις εξελισσόμενες απειλές. Η εφαρμογή αυστηρότερων απαιτήσεων για τους κωδικούς πρόσβασης και άλλων ενισχυμένων πρωτοκόλλων ασφαλείας υπογραμμίζει την αφοσίωση της εταιρείας στη διατήρηση της εμπιστοσύνης των χρηστών της.

Το κοινοβούλιο της Αλβανίας ανακοίνωσε την Τρίτη ότι υπέστη κυβερνοεπίθεση, διακόπτοντας τις υπηρεσίες του και εγείροντας ανησυχίες σχετικά με τη στάση της χώρας στον τομέα της κυβερνοασφάλειας. Η επίθεση, η οποία σημειώθηκε τη Δευτέρα, πιστεύεται ότι ενορχηστρώθηκε από χάκερς με έδρα το Ιράν, γνωστούς ως Homeland Justice, αν και αυτό δεν έχει επαληθευτεί ακόμα.

Σύμφωνα με αναφορές τοπικών μέσων ενημέρωσης, στόχος των κυβερνοεπιθέσεων ήταν επίσης ένας πάροχος κινητής τηλεφωνίας και μια αεροπορική εταιρεία. Το τελευταίο αυτό περιστατικό ακολουθεί μια μεγάλη κυβερνοεπίθεση σε ιστότοπους της αλβανικής κυβέρνησης τον Ιούλιο του 2022, για την οποία κατηγορήθηκε το ιρανικό υπουργείο Εξωτερικών, το οποίο αρνήθηκε οποιαδήποτε ανάμειξη στις κυβερνοεπιθέσεις και κατηγόρησε την Mujahedeen-e-Khalq (MEK), μια ιρανική ομάδα της αντιπολίτευσης που εδρεύει στην Αλβανία, ότι πραγματοποίησε τις επιθέσεις. Το MEK απέρριψε τους ισχυρισμούς αυτούς.

Οι επανειλημμένες κυβερνοεπιθέσεις στην Αλβανία έχουν επιβαρύνει τις σχέσεις με το Ιράν, με αποτέλεσμα η αλβανική κυβέρνηση να διακόψει τους διπλωματικούς δεσμούς με το Ιράν τον Σεπτέμβριο του 2022. Οι Ηνωμένες Πολιτείες, το ΝΑΤΟ και η Ευρωπαϊκή Ένωση έχουν υποστηρίξει την Αλβανία στη διαμάχη, εκφράζοντας την ανησυχία τους για την επιθετική κυβερνοδραστηριότητα του Ιράν. Ο εκπρόσωπος Τύπου του MEK, Ali Safavi, αρνήθηκε οποιαδήποτε σχέση μεταξύ των κυβερνοεπιθέσεων και της παρουσίας της ομάδας στην Αλβανία. Έχει επίσης επικρίνει τους περιορισμούς της Αλβανίας στις πολιτικές δραστηριότητες των μελών του MEK, δηλώνοντας ότι θα πρέπει να τους επιτραπεί να ασκούν την ελευθερία της έκφρασης και του συνέρχεσθαι.

Οι συνεχιζόμενες κυβερνοεπιθέσεις στην Αλβανία εγείρουν σοβαρά ερωτήματα σχετικά με την ανθεκτικότητα της χώρας στον κυβερνοχώρο και την ικανότητά της να προστατεύει ευαίσθητα δεδομένα από ξένες παρεμβάσεις. Η κυβέρνηση πρέπει να λάβει επειγόντως μέτρα για να ενισχύσει τις άμυνες της στον κυβερνοχώρο και να αποτρέψει περαιτέρω επιθέσεις.

Αποκαλύφθηκε μια νέα επίθεση με την ονομασία Terrapin, η οποία θα μπορούσε δυνητικά να υπονομεύσει την ακεραιότητα και την ασφάλεια των συνδέσεων SSH. Η επίθεση αυτή στοχεύει στο Binary Packet Protocol (BPP), ένα αναπόσπαστο στοιχείο του πρωτοκόλλου SSH που εξασφαλίζει την ακεραιότητα των μηνυμάτων που ανταλλάσσονται κατά τη φάση χειραψίας.

Πώς λειτουργεί το Terrapin

Το Terrapin εκμεταλλεύεται μια ευπάθεια στο μηχανισμό αριθμού ακολουθίας του πρωτοκόλλου SSH, επιτρέποντας σε έναν επιτιθέμενο να χειραγωγήσει τη ροή των μηνυμάτων. Εισάγοντας ή διαγράφοντας συγκεκριμένα μηνύματα, ο επιτιθέμενος μπορεί να υποβαθμίσει αποτελεσματικά την ασφάλεια της σύνδεσης και ενδεχομένως να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο απομακρυσμένο σύστημα.

Δύο μέθοδοι εκμετάλλευσης

Οι ερευνητές που ανακάλυψαν το Terrapin εντόπισαν δύο κύριες μεθόδους εκμετάλλευσης της επίθεσης:

• Υποβάθμιση της επέκτασης: Χειραγωγώντας τους αριθμούς ακολουθίας, ο επιτιθέμενος μπορεί να υποβαθμίσει ορισμένες επεκτάσεις που χρησιμοποιούνται από το OpenSSH και άλλες εφαρμογές SSH για την ασφάλεια των συνδέσεων. Αυτό θα μπορούσε να επιτρέψει στον επιτιθέμενο να απενεργοποιήσει ένα αντίμετρο που αποτρέπει τις επιθέσεις χρονισμού πληκτρολόγησης, οι οποίες μπορούν να χρησιμοποιηθούν για την πρόβλεψη των πληκτρολογούμενων λέξεων με τη μέτρηση του χρονισμού μεταξύ των πληκτρολογήσεων.
• Εκμετάλλευση ευπάθειας AsyncSSH: Το Terrapin μπορεί επίσης να χρησιμοποιηθεί για την εκμετάλλευση ευπαθειών σε μια υλοποίηση SSH που ονομάζεται AsyncSSH, η οποία είναι μια υλοποίηση SSH για την Python. Αξιοποιώντας αυτές τις ευπάθειες, ο επιτιθέμενος θα μπορούσε να αποκτήσει τον έλεγχο του απομακρυσμένου άκρου μιας συνόδου πελάτη SSH, επιτρέποντάς του να εκτελέσει αυθαίρετες εντολές ή να κλέψει ευαίσθητα δεδομένα.

Σαρωτής για ανίχνευση

Οι ερευνητές έχουν αναπτύξει έναν σαρωτή που μπορεί να χρησιμοποιηθεί για να ελέγξει αν ένας πελάτης ή διακομιστής SSH είναι ευάλωτος στο Terrapin. Αυτός ο σαρωτής μπορεί να καθορίσει αν το σύστημα χρησιμοποιεί ευάλωτους τρόπους κρυπτογράφησης και αν υποστηρίζεται το αντίμετρο που απαιτεί αυστηρή ανταλλαγή κλειδιών.

Στρατηγικές μετριασμού

Για να μετριάσουν τον κίνδυνο που ενέχει το Terrapin, οι χρήστες θα πρέπει να λάβουν τα ακόλουθα μέτρα:

Ενημέρωση του λογισμικού SSH: Αναβαθμίστε το λογισμικό SSH στην τελευταία έκδοση, η οποία περιλαμβάνει διόρθωση για το Terrapin.

Αποφύγετε τη χρήση του AsyncSSH: Μέχρι να είναι διαθέσιμη μια διόρθωση για το AsyncSSH, αποφύγετε τη χρήση αυτής της υλοποίησης SSH.

Επαληθεύστε την ευπάθεια της εφαρμογής: Ελέγξτε με τον developer οποιασδήποτε εφαρμογής SSH που χρησιμοποιείτε για να διαπιστώσετε αν είναι ευάλωτη στο Terrapin και αν υπάρχει διαθέσιμη διόρθωση.

Σημασία της επιδιόρθωσης και της επαγρύπνησης

Το Terrapin είναι μια σημαντική ευπάθεια που θα μπορούσε να αξιοποιηθεί για να θέσει σε κίνδυνο την ασφάλεια των συνδέσεων SSH. Οι χρήστες θα πρέπει να λαμβάνουν προληπτικά μέτρα για να μετριάσουν τον κίνδυνο, ενημερώνοντας το λογισμικό τους, αποφεύγοντας τις ευάλωτες εφαρμογές και παραμένοντας ενήμεροι για τις ενημερώσεις ασφαλείας.

Χρήστες της δημοφιλούς σειράς ασύρματων συσκευών UniFi από την Ubiquiti ανακοίνωσαν στα μέσα κοινωνικής δικτύωσης ότι λαμβάνουν ιδιωτικές εικόνες από κάμερες και έχουν έλεγχο σε συσκευές που ανήκουν σε άλλους χρήστες. Η αναφορά στο Reddit περιγράφει περιστατικά όπου οι χρήστες λαμβάνουν ειδοποιήσεις για κινήσεις σε άλλα σπίτια και ακόμη έχουν πρόσβαση και δυνατότητα ελέγχου σε συσκευές που δεν ανήκουν σε αυτούς.

Η Ubiquiti αναγνώρισε το πρόβλημα, αναφέροντας ότι προήλθε από μια αναβάθμιση στην υποδομή του UniFi Cloud, η οποία προκάλεσε εσφαλμένη συσχέτιση λογαριασμών. Κατά τη διάρκεια αυτής της περιόδου, ορισμένοι χρήστες λάμβαναν ειδοποιήσεις για τις κάμερες άλλων χρηστών, ενώ άλλοι είχαν πρόσβαση σε συσκευές που δεν ήταν δικές τους.

Η εταιρεία δήλωσε ότι το πρόβλημα έχει διορθωθεί, και το μπέρδεμα των λογαριασμών δεν συμβαίνει πλέον. Παρά την άμεση αντίδραση της εταιρείας, η εμπειρία αυτή προκαλεί ανησυχία στους χρήστες, καθώς οι συσκευές UniFi παρέχουν πρόσβαση σε ευαίσθητους πόρους όπως κάμερες και μικρόφωνα στο εσωτερικό του σπιτιού.

Η Ubiquiti επισημαίνει ότι παρόλο που το πρόβλημα έχει επιλυθεί, εξακολουθεί να συγκεντρώνει πληροφορίες για μια ακριβή αξιολόγηση του περιστατικού.