Jump to content

Search the Community

Showing results for tags 'malware'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Categories

  • Δελτία Τύπου
  • Ειδήσεις
  • Hardware
  • Windows
  • Linux
  • Apps
  • Gaming
  • Geek
  • Ασφάλεια
  • Διαδίκτυο
  • Crypto
  • Κινητά
  • Επιστήμη
  • Tech Industry
  • Home Entertaiment
  • Προσφορές
  • Consumer's bulletin
  • Press Releases in English

Categories

  • Cases Reviews
  • Heatsinks, Coolers & Watercooling Reviews
  • Input Devices & Peripherals Reviews
  • Barebones, NAS, Media Players Reviews
  • SSDs, HDDs and Controllers Reviews
  • Smartphones, Tablets and Gadgets Reviews
  • VGAs, Motherboards, CPUs & RAM Reviews
  • Power Supplies Reviews
  • Software & Games Reviews
  • Από το Εργαστήρι
  • Reviews in English

Categories

  • Desktop - Laptop
  • Monitors - TVs
  • Hardware Parts
  • Peripherals
  • Gaming Consoles
  • Mobile Devices
  • Gadgets
  • Hand - Electric Tools
  • Ζήτηση
  • Προσφορά και ζήτηση εργασίας

Forums

  • TheLab.gr
    • Thelab.gr Νέα και σχόλια
    • Παρουσιάσεις Μελών
    • Από το Εργαστήρι
    • Τεχνολογικοί Προβληματισμοί
    • Δημοσκοπήσεις
  • Hardware & Overclocking
    • Intel Platform
    • AMD Platform
    • Κάρτες Γραφικών
    • Μνήμες RAM DDR/DDR2/DDR3/DDR4/DDR5
    • Συσκευές Αποθήκευσης
    • Κουτιά
    • Ψύξη
    • Τροφοδοτικά
    • Γενικά για Η/Υ
    • Modding & DIY
    • Μετρήσεις & Αποτελέσματα Υπερχρονισμών
  • Εργαλεία και Ιδιοκατασκευές (DIY)
    • Το στέκι του μάστορα
  • Περιφερειακά
    • Οθόνες & Projectors
    • Πληκτρολόγια και ποντίκια
    • Ήχος και Multimedia
    • Εκτυπωτές
    • Λοιπά Περιφερειακά
    • Τεχνολογία VR
  • Software & Δίκτυα
    • Windows
    • Linux
    • Mac OS
    • Δίκτυα
    • Internet & Τηλεφωνία
    • Antivirus & Security
  • Gaming
    • PC Gaming
    • Steam & άλλες κοινότητες
    • Console & Handheld Gaming
  • Κινητές πλατφόρμες
    • Φορητοί υπολογιστές
    • Smartphones
    • Tablets
    • Gadgets
  • Φωτογραφία κι εξοπλισμός
    • Φωτογραφικές μηχανές και λοιπά αξεσουάρ
    • Φωτογραφίες, επεξεργασία και δοκιμές
  • IT Section
    • Servers - Ηardware & Cloud Apps
    • Server OS & Virtualisation
    • Networking
    • Programming - Scripting & Databases
    • Web Development & DTP
  • Προσφορές & καταστήματα
    • Προσφορές και ευκαιρίες αγορών
    • Τι-Που-Πόσο
  • Γενική Συζήτηση
    • Off topic
    • The Jungle
    • Forum Δοκιμών
    • Αρχείο

Blogs

  • in|security
  • freesoft.gr
  • Virtual[DJD]
  • Οι αυτοματισμοί του τεμπέλη...
  • test1
  • Advertorial
  • InfoLab

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Skype


Website URL


Περιοχή


Ενδιαφέροντα


Επάγγελμα


Steam


Biography

  1. Το ZDNet προειδοποιεί ότι οι χρήστες Linux πρέπει να προσέχουν για «ένα νέο botnet peer-to-peer (P2P) που εξαπλώνεται μεταξύ δικτύων χρησιμοποιώντας κλεμμένα κλειδιά SSH και εκτελεί κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων στη μνήμη του υπολογιστή». Το botnet Panchan P2P ανακαλύφθηκε από ερευνητές στο Akamai τον Μάρτιο και η εταιρεία προειδοποιεί τώρα ότι θα μπορούσε να επωφεληθεί από τη διασύνδεση μεταξύ ακαδημαϊκών ιδρυμάτων για να εξαπλωθεί προκαλώντας την κοινή χρήση κλειδιών ελέγχου ταυτότητας SSH που είχαν κλαπεί προηγουμένως. Ωστόσο, αντί να κλέβει πνευματική ιδιοκτησία από αυτά τα εκπαιδευτικά ιδρύματα, το botnet Panchan χρησιμοποιεί τους διακομιστές του Linux για την εξόρυξη κρυπτονομισμάτων, σύμφωνα με την Akamai... "Αντί να χρησιμοποιεί απλώς brute force ή dictionary attacks σε τυχαιοποιημένες διευθύνσεις IP όπως τα περισσότερα botnet, το κακόβουλο λογισμικό διαβάζει επίσης τα αρχεία id_rsa και known_hosts για να συλλέξει υπάρχοντα διαπιστευτήρια και να τα χρησιμοποιήσει για να μετακινηθεί μέσα στο δίκτυο". Η Akamai βρήκε 209 peers, αλλά μόνο 40 από αυτούς είναι επί του παρόντος ενεργοί και βρίσκονται κυρίως στην Ασία. Και γιατί ο τομέας της εκπαίδευσης επηρεάζεται περισσότερο από τον Panchan; Η Akamai εικάζει ότι αυτό μπορεί να οφείλεται σε κακή διαχείριση των κωδικών πρόσβασης των χρηστών (Χρήση εύκολων κωδικών ή παράλειψη αλλαγής τους για μεγάλο χρονικό διάστημα) ή ότι το κακόβουλο λογισμικό μετακινείται στο δίκτυο με κλεμμένα κλειδιά SSH. Η Akamai γράφει ότι το κακόβουλο λογισμικό «πιάνει σήματα τερματισμού Linux (συγκεκριμένα SIGTERM — 0xF και SIGINT — 0x2) που του αποστέλλονται και τα αγνοεί. "Αυτό καθιστά πιο δύσκολο τον τερματισμό του κακόβουλου λογισμικού, αλλά όχι αδύνατο, καθώς το SIGKILL δεν αντιμετωπίζεται (επειδή δεν είναι δυνατό, σύμφωνα με το πρότυπο POSIX, σελίδα 313)."
  2. Οι δημοφιλείς ιστότοποι Tom's Hardware και PC Gamer δημοσίευσαν άρθρα σχετικά με ένα βοηθητικό πρόγραμμα που ονομάζεται "Nvidia RTX LHR v2 Unlocker", το οποίο υποτίθεται ότι αυξάνει την τεχνητά περιορισμένη απόδοση εξόρυξης κρυπτονομισμάτων των καρτών γραφικών RTX. Αυτές οι κάρτες γραφικών αποστέλλονται με λογισμικό περιορισμού απόδοσης για να μειώσει την ελκυστικότητα των GPU στους εξορύκτες κρυπτονομισμάτων, λόγω των οποίων η αγορά GPU έχει καταστήσει δύσκολη και δαπανηρή. Δυστυχώς, και οι δύο δικτυακοί τόποι χρειάστηκε να δημοσιεύσουν διόρθωση μόλις μια μέρα αργότερα για να προειδοποιήσουν τους αναγνώστες τους να μην εγκαταστήσουν το λογισμικό που μόλις είχαν διαφημίσει. "Αντί να διορθώσει τις επιδόσεις περιορισμένης εξόρυξης, το βοηθητικό πρόγραμμα μολύνει το κεντρικό σύστημα με κακόβουλο λογισμικό", έγραψε ο Tom's Hardware. Αν και είναι πλέον σαφές ότι το εργαλείο είναι κακόβουλο λογισμικό, δεν είναι αμέσως σαφές τι ακριβώς κάνει το κακόβουλο λογισμικό - οι εικασίες κυμαίνονται από keylogging μέχρι και εξόρυξη κρυπτονομισμάτων. "Nvidia RTX LHR Unlocker Is Malware: From Hack to Hoax", Tom's Hardware "Nvidia's RTX 30-series ethereum mining limiter might've just gone up in smoke (updated)", PC Gamer
  3. Ένας νέος τύπος κακόβουλου λογισμικού ακολουθεί μια σαφώς πιο αθόρυβη και δύσκολα αφαιρούμενη πορεία στο λειτουργικό σας σύστημα - κρύβεται στο τσιπ BIOS και έτσι παραμένει ακόμα και μετά την επανεγκατάσταση του λειτουργικού σας συστήματος ή το format του σκληρού σας δίσκου ενώ μπορεί να εγκατασταθεί εξ αποστάσεως. Η Kaspersky έχει παρατηρήσει την αύξηση των απειλών κακόβουλου λογισμικού firmware UEFI (Unified Extensible Firmware Interface) από το 2019, με τις περισσότερες να αποθηκεύουν κακόβουλο λογισμικό στον τομέα συστήματος EFI της συσκευής αποθήκευσης του υπολογιστή. Ωστόσο, κατά τη διάρκεια του νέου έτους εντοπίστηκε μια δυσοίωνη εξέλιξη με ένα νέο κακόβουλο λογισμικό UEFI, το οποίο εντοπίστηκε από τα αρχεία καταγραφής του σαρωτή υλικολογισμικού της Kasperksy και το οποίο εμφυτεύει κακόβουλο κώδικα στο Flash της σειριακής περιφερειακής διασύνδεσης (SPI) της μητρικής κάρτας. Οι ερευνητές ασφαλείας ονόμασαν αυτό το κακόβουλο λογισμικό "MoonBounce". Το MoonBounce δεν είναι το πρώτο κακόβουλο λογισμικό UEFI που στοχεύει στο SPI flash. Η Kaspersky αναφέρει ότι πριν από αυτό προηγήθηκαν τα LoJax και MosaicRegressor. Ωστόσο, το MoonBounce παρουσιάζει "σημαντική πρόοδο, με πιο περίπλοκη ροή επίθεσης και μεγαλύτερη τεχνική πολυπλοκότητα". Φαίνεται επίσης να έχει μολύνει ένα μηχάνημα εξ αποστάσεως. Το MoonBounce είναι αναμφισβήτητα έξυπνο στον τρόπο με τον οποίο εισέρχεται σε ένα σύστημα και καθιστά δύσκολο τον εντοπισμό και την εξουδετέρωσή του. "Η πηγή της μόλυνσης ξεκινά με ένα σύνολο από hooks που αναχαιτίζουν την εκτέλεση διαφόρων λειτουργιών στον πίνακα υπηρεσιών εκκίνησης EFI", εξηγεί η Kaspersky στο blog SecureList. Τα hooks χρησιμοποιούνται στη συνέχεια για να εκτρέψουν τις κλήσεις των λειτουργιών στον κακόβουλο shellcode που οι επιτιθέμενοι έχουν προσαρτήσει στην εικόνα CORE_DXE. Αυτό, με τη σειρά του, "δημιουργεί πρόσθετα hooks στα επόμενα συστατικά της αλυσίδας εκκίνησης, δηλαδή στον φορτωτή των Windows", ανέφεραν οι ερευνητές ασφαλείας. Αυτό επιτρέπει την εισαγωγή του κακόβουλου λογισμικού σε μια διαδικασία svchost.exe κατά την εκκίνηση του υπολογιστή στα Windows. Οι τιμές των δεικτών αντικαθίστανται κατά τη διάρκεια της εκτέλεσης εντός του κώδικα κελύφους στο MoonBounce. (Εικόνα: Kaspersky Labs) Εταιρεία τεχνολογίας μεταφορών η μόνη καταγεγραμμένη επίθεση μέχρι στιγμής Φυσικά, η Kaspersky ενδιαφέρθηκε να δει τι θα έκανε στη συνέχεια το κακόβουλο λογισμικό. Έτσι, σε ένα μολυσμένο μηχάνημα, οι ερευνητές παρατήρησαν τη διαδικασία του κακόβουλου λογισμικού να προσπαθεί να αποκτήσει πρόσβαση σε μια διεύθυνση URL για να αντλήσει το ωφέλιμο φορτίο του επόμενου σταδίου και να το εκτελέσει στη μνήμη. Είναι ενδιαφέρον ότι αυτό το μέρος της εξελιγμένης επίθεσης δεν φάνηκε να πηγαίνει πουθενά, οπότε δεν ήταν δυνατό να αναλυθούν περαιτέρω βήματα του MoonBounce. Ίσως αυτό το κακόβουλο λογισμικό βρισκόταν ακόμη σε στάδιο δοκιμών όταν εντοπίστηκε ή/και κρατείται για ειδικούς σκοπούς. Επιπλέον, το κακόβουλο λογισμικό δεν βασίζεται σε αρχεία και εκτελεί τουλάχιστον ορισμένες από τις λειτουργίες του μόνο στη μνήμη, γεγονός που καθιστά δύσκολο να δούμε τι ακριβώς έκανε το MoonBounce στον μοναδικό υπολογιστή-ξενιστή στο δίκτυο μιας εταιρείας. Ένα μόνο μηχάνημα, που ανήκει σε μια εταιρεία μεταφορών, φαίνεται να είναι το μοναδικό μηχάνημα στα αρχεία καταγραφής της Kaspersky που έχει μια μόλυνση MoonBounce στο SPI Flash του. Δεν είναι βέβαιο πώς πραγματοποιήθηκε η μόλυνση, αλλά πιστεύεται ότι προκλήθηκε εξ αποστάσεως. Αυτό το μοναδικό μηχάνημα σε μια εταιρεία τεχνολογίας μεταφορών φαίνεται να έχει εξαπλώσει εμφυτεύματα κακόβουλου λογισμικού μηUEFI σε άλλα μηχανήματα στο δίκτυο. Με μεγάλο μέρος της εργασίας του να μην περιέχει αρχεία και να παραμένει μόνο στη μνήμη, δεν είναι εύκολο να παρατηρηθεί από αυτό το μοναδικό δείγμα. Παρακάτω, ένα διάγραμμα ροής αναλύει τον τρόπο με τον οποίο το MoonBounce εκκινεί και αναπτύσσεται από τη στιγμή που ενεργοποιείται ο υπολογιστής σας με UEFI, μέσω της φόρτωσης των Windows και μέχρι να γίνει ένας χρησιμοποιήσιμος αλλά μολυσμένος υπολογιστής. (Εικόνα: Kaspersky Labs) Ανιχνεύθηκαν δακτυλικά αποτυπώματα της ομάδας APT41 Ένας άλλος σημαντικός κλάδος της δουλειάς που κάνουν οι ερευνητές ασφάλειας όπως η Kaspersky είναι να εξετάζουν ποιος βρίσκεται πίσω από το κακόβουλο λογισμικό που ανακαλύπτει, ποιοι είναι οι σκοποί του κακόβουλου λογισμικού και για ποιους συγκεκριμένους στόχους είναι προετοιμασμένο το κακόβουλο λογισμικό. Όσον αφορά το MoonBounce, η Kaspersky φαίνεται αρκετά σίγουρη ότι αυτό το κακόβουλο λογισμικό είναι προϊόν του APT41, "ενός φορέα απειλών που έχει αναφερθεί ευρέως ότι είναι κινεζόφωνος". Σε αυτή την περίπτωση, το αποδεικτικό στοιχείο είναι ένα "μοναδικό πιστοποιητικό" που το FBI έχει ήδη αναφέρει ότι σηματοδοτεί τη χρήση υποδομών που ανήκουν στην APT41. Η APT41 έχει ιστορικό επιθέσεων στην αλυσίδα εφοδιασμού, οπότε πρόκειται για τη συνέχιση ενός κεντρικού νήματος των κακόβουλων επιχειρήσεων της APT41. Μέτρα ασφαλείας Για να αποφύγετε να πέσετε θύμα του MoonBounce ή παρόμοιου κακόβουλου λογισμικού UEFI, η Kaspersky προτείνει ορισμένα μέτρα. Συνιστά στους χρήστες να ενημερώνουν το υλικολογισμικό UEFI απευθείας από τον κατασκευαστή, να επαληθεύουν ότι το BootGuard είναι ενεργοποιημένο όπου είναι διαθέσιμο και να ενεργοποιούν τα Trust Platform Modules. Τέλος, συνιστά μια λύση ασφαλείας που σαρώνει το υλικολογισμικό του συστήματος για προβλήματα, ώστε να μπορούν να ληφθούν μέτρα όταν εντοπιστεί κακόβουλο λογισμικό UEFI.
  4. Ο αριθμός των μολύνσεων από κακόβουλο λογισμικό που στοχεύουν συσκευές Linux αυξήθηκε κατά 35% το 2021. Συνήθη θύματα είναι οι συσκευές IoT για επιθέσεις DDoS (κατανεμημένης άρνησης υπηρεσίας), σύμφωνα με το BleepingComputer.com. Μια αναφορά της Crowdstrike που εξετάζει τα δεδομένα επιθέσεων από το 2021 συνοψίζει τα εξής: - Το 2021, σημειώθηκε αύξηση 35% στο κακόβουλο λογισμικό που στοχεύει συστήματα Linux σε σύγκριση με το 2020. - Οι XorDDoS, Mirai και Mozi ήταν οι πιο διαδεδομένες ομάδες που διεξήγαγαν επιθέσεις, αντιπροσωπεύοντας το 22% όλων των επιθέσεων κακόβουλου λογισμικού με στόχευση σε συστήματα Linux που παρατηρήθηκαν το 2021. - Η Mozi, συγκεκριμένα, είχε μεγάλη ανάπτυξη στη δραστηριότητά της, με δέκα φορές περισσότερα δείγματα τη χρονιά που πέρασε σε σχέση με την προηγούμενη. - Η ομάδα XorDDoS είχε επίσης αξιοσημείωτη αύξηση 123% σε σύγκριση με το προηγούμενο έτος. Τα ευρήματα του Crowstrike δεν προκαλούν έκπληξη, καθώς επιβεβαιώνουν μια συνεχιζόμενη τάση που εμφανίστηκε τα προηγούμενα χρόνια. Για παράδειγμα, μια έκθεση της Intezer που αναλύει στατιστικά στοιχεία του 2020 διαπίστωσε ότι οι κακόβουλες ομάδες που στοχεύουν λογισμικό Linux αυξήθηκαν κατά 40% το 2020 σε σύγκριση με το προηγούμενο έτος. Τους πρώτους έξι μήνες του 2020, καταγράφηκε μια απότομη αύξηση 500% στο κακόβουλο λογισμικό Golang, δείχνοντας ότι οι δημιουργοί κακόβουλου λογισμικού αναζητούσαν τρόπους για να κάνουν τον κώδικά τους να εκτελείται σε πολλές πλατφόρμες. Αυτός ο προγραμματισμός, και κατ' επέκταση, η τάση στόχευσης, έχει ήδη επιβεβαιωθεί στις αρχές του 2022 και είναι πιθανό να συνεχιστεί αμείωτη.
  5. Ερευνητές ανακάλυψαν μια προσπάθεια επίθεσης με τη μορφή λογικής βόμβας (logic bomb) στο αποθετήριο Python Package Index (PyPI), το οποίο είναι αποθετήριο κώδικα για προγραμματιστές Python και αποτελεί μέρος της αλυσίδας εφοδιασμού κώδικα για προγραμματιστές Python. Οι επιτιθέμενοι σκόπευαν να χρησιμοποιήσουν τους προγραμματιστές που θα χρησιμοποιούσαν το αποθετήριο να συμπεριλάβουν τις λογικές αυτές βόμβες στις εφαρμογές τους χωρίς να το γνωρίζουν. Οι ερευνητές βρήκαν έξι κακόβουλα payloads τα οποία είχαν ανακτηθεί περίπου 5.000 φορές, ήταν φορτωμένα από τον ίδιο χρήστη. Ο εισβολέας τους σχεδίασε να τρέχουν κατά την εγκατάσταση ενός πακέτου Python. Κάποιες λογικές βόμβες χρησιμοποιούσαν typosquats για να ξεγελάσουν τους χρήστες έτσι ώστε να νομίζουν ότι είναι κανονικά πακέτα και να τα εγκαταστήσουν. Σκοπός της επίθεσης ήταν να κάνουν τους υπολογιστές που θα μόλυναν να κάνουν cryptomining. Αυτή η επίθεση είναι πολύπλοκη επειδή συνδυάζει τρία διαφορετικά είδη επιθέσεων: λογικές βόμβες (logic bombs), cryptojacking και επιθέσεις αλυσίδας εφοδιασμού λογισμικού (software supply chain attacks).
  6. Οι ερευνητές της ESET ανακάλυψαν ένα νέο Android Trojan, που στοχεύει στην επίσημη εφαρμογή PayPal ενώ είναι ικανό να παρακάμπτει τον έλεγχο πιστοποίησης δύο παραγόντων του PayPal. Το Trojan, που εντοπίστηκε πρώτη φορά από την ESET το Νοέμβριο του 2018, συνδυάζει τις δυνατότητες ενός banking Trojan που ελέγχεται απομακρυσμένα, με μία καινούρια μορφή κατάχρησης των λειτουργιών προσβασιμότητας του Android, στοχεύοντας χρήστες της επίσημης εφαρμογής PayPal. Μέχρι στιγμής, το malware εμφανίζεται ως εργαλείο βελτιστοποίησης της διάρκειας της μπαταρίας και διανέμεται μέσω τρίτων καταστημάτων εφαρμογών. Μόλις εγκατασταθεί, η κακόβουλη εφαρμογή τερματίζεται χωρίς να προσφέρει κάποια λειτουργία και το εικονίδιο της εξαφανίζεται. Από εκεί και πέρα, οι ερευνητές εντόπισαν ότι συνεχίζει με δύο τρόπους. Ακολουθεί το σχετικό δελτίο τύπου. Η ESET εντόπισε Trojan που κλέβει χρήματα από λογαριασμούς PayPal σε Android Το Trojan μπορεί να παρακάμψει την πιστοποίηση 2FA του PayPal Αθήνα, 12 Δεκεμβρίου 2018 – Οι ερευνητές της ESET ανακάλυψαν ένα νέο Android Trojan, που στοχεύει στην επίσημη εφαρμογή PayPal ενώ είναι ικανό να παρακάμπτει τον έλεγχο πιστοποίησης δύο παραγόντων του PayPal. Το Trojan, που εντοπίστηκε πρώτη φορά από την ESET το Νοέμβριο του 2018, συνδυάζει τις δυνατότητες ενός banking Trojan που ελέγχεται απομακρυσμένα, με μία καινούρια μορφή κατάχρησης των λειτουργιών προσβασιμότητας του Android, στοχεύοντας χρήστες της επίσημης εφαρμογής PayPal. Μέχρι στιγμής, το malware εμφανίζεται ως εργαλείο βελτιστοποίησης της διάρκειας της μπαταρίας και διανέμεται μέσω τρίτων καταστημάτων εφαρμογών. Μόλις εγκατασταθεί, η κακόβουλη εφαρμογή τερματίζεται χωρίς να προσφέρει κάποια λειτουργία και το εικονίδιο της εξαφανίζεται. Από εκεί και πέρα, οι ερευνητές εντόπισαν ότι συνεχίζει με δύο τρόπους. Εικόνα 1 – Η μεταμφίεση που χρησιμοποιείται από το κακόβουλο λογισμικό στην παρούσα φάση Στον πρώτο τρόπο, το malware εμφανίζει μια ειδοποίηση που ζητά από τον χρήστη να την εκκινήσει. Μόλις ο χρήστης ανοίξει την εφαρμογή PayPal και συνδεθεί, η κακόβουλη υπηρεσία προσβασιμότητας (εάν έχει ενεργοποιηθεί προηγουμένως από το χρήστη) μιμείται τα κλικ του χρήστη για να στείλει χρήματα στη διεύθυνση PayPal του εισβολέα. Κατά την ανάλυση των ερευνητών, η εφαρμογή προσπάθησε να μεταφέρει 1.000 ευρώ, ωστόσο, το νόμισμα που χρησιμοποιείται εξαρτάται από την τοποθεσία του χρήστη. Η όλη διαδικασία διαρκεί περίπου 5 δευτερόλεπτα, και για έναν ανυποψίαστο χρήστη, δεν υπάρχει εφικτός τρόπος να επέμβει έγκαιρα. Επειδή το malware δεν βασίζεται στην κλοπή των διαπιστευτηρίων σύνδεσης του PayPal και αντίθετα περιμένει τους χρήστες να συνδεθούν οι ίδιοι, μπορεί να παρακάμπτει τον έλεγχο ταυτότητας δύο παραγόντων του PayPal. Η επίθεση αποτυγχάνει μόνο αν ο χρήστης έχει ανεπαρκές υπόλοιπο PayPal και δεν έχει συνδέσει στο λογαριασμό του κάποια κάρτα πληρωμής. Το PayPal έχει ενημερωθεί από την ESET για την κακόβουλη τεχνική που χρησιμοποιείται από αυτό το Trojan και για το ποιον λογαριασμό PayPal χρησιμοποιεί ο εισβολέας για να λάβει τα κλεμμένα χρήματα. Στο δεύτερο τρόπο, τα κακόβουλα apps προβάλλουν πέντε νόμιμες εφαρμογές με επικάλυψη οθόνης - το Google Play, το WhatsApp, το Skype, το Viber και το Gmail, δεν είναι δυνατόν όμως να κλείσουν από τους χρήστες, παρά μόνο αν συμπληρωθεί μία πλαστή φόρμα στοιχείων. Οι ερευνητές διαπίστωσαν ότι ακόμη και με την υποβολή ψεύτικων στοιχείων, η οθόνη εξαφανιζόταν. Ωστόσο, ο κώδικας του malware περιέχει συμβολοσειρές που ισχυρίζονται ότι το τηλέφωνο του θύματος έχει κλειδωθεί λόγω προβολής υλικού παιδικής πορνογραφίας και μπορεί να ξεκλειδωθεί μόνο αν σταλεί ένα email σε μια συγκεκριμένη διεύθυνση. Εικόνα 2 – Κακόβουλες οθόνες επικάλυψης για τις εφαρμογές Google Play, WhatsApp, Viber και Skype Εικόνα 3 – Κακόβουλη οθόνη επικάλυψης που ψαρεύει διαπιστευτήρια του Gmail Εκτός από τις δύο αυτές βασικές λειτουργίες, και ανάλογα με τις εντολές που λαμβάνει από το διακομιστή C&C, το κακόβουλο λογισμικό μπορεί επίσης να στείλει ή να διαγράψει SMS, να κατεβάσει τη λίστα επαφών, να πραγματοποιήσει ή να προωθήσει κλήσεις, να εγκαταστήσει και να τρέξει εφαρμογές κ.ά.. Η ESET συμβουλεύει τους χρήστες που έχουν εγκαταστήσει το συγκεκριμένο Trojan να ελέγξουν τον τραπεζικό τους λογαριασμό για ύποπτες συναλλαγές και να αλλάξουν τους κωδικούς internet banking, τα PIN καθώς και τους κωδικούς πρόσβασης στο Gmail. Σε περίπτωση μη εξουσιοδοτημένων συναλλαγών PayPal, μπορούν να αναφέρουν το πρόβλημα στο Κέντρο Ανάλυσης του PayPal. Για τους χρήστες συσκευών που δεν μπορούν να χρησιμοποιηθούν λόγω επικάλυψης οθόνης, η ESET συνιστά να χρησιμοποιήσουν την ασφαλή λειτουργία του Android, και να καταργήσουν την εφαρμογή που ονομάζεται «Optimization Android» στην ενότητα Application manager/Apps στις ρυθμίσεις της συσκευής. Για να είναι ασφαλείς από το κακόβουλο λογισμικό Android στο μέλλον, η ESET συνιστά στους χρήστες να: • Εμπιστεύονται μόνο το επίσημο κατάστημα Google Play για τη λήψη εφαρμογών. • Να ελέγχουν τον αριθμό των εγκαταστάσεων, τις αξιολογήσεις και το περιεχόμενο των κριτικών πριν από τη λήψη εφαρμογών από το Google Play. • Να είναι προσεκτικοί με τα δικαιώματα πρόσβασης στις εφαρμογές που εγκαθιστούν. • Να διατηρούν την Android συσκευή τους ενημερωμένη και να χρησιμοποιούν μια αξιόπιστη λύση ασφάλειας για κινητά. Οι λύσεις ESET ανιχνεύουν αυτές τις απειλές ως Android/Spy.Banker.AJZ και Android/Spy.Banker.AKB. Περισσότερες πληροφορίες μπορείτε να βρείτε στο σχετικό άρθρο στο blog WeliveSecurity.com.
  7. Η ESET προειδοποιεί τους χρήστες συσκευών iOS να είναι προσεκτικοί, καθώς εντοπίστηκαν πολλές εφαρμογές, που υποτιθέμενα βοηθούν στην παρακολούθησης της φυσικής κατάστασης, ενώ στην πραγματικότητα χρησιμοποιούν τη λειτουργία Touch ID της Apple για να κλέψουν χρήματα. Ακολουθεί το σχετικό δελτίο τύπου. Πλαστή εφαρμογή iOS υπόσχεται την παρακολούθηση της φυσικής κατάστασης, στην πραγματικότητα όμως κλέβει χρήματα, προειδοποιεί η ESET Αθήνα, 4 Δεκεμβρίου 2018 – Η ESET προειδοποιεί τους χρήστες συσκευών iOS να είναι προσεκτικοί, καθώς εντοπίστηκαν πολλές εφαρμογές, που υποτιθέμενα βοηθούν στην παρακολούθησης της φυσικής κατάστασης, ενώ στην πραγματικότητα χρησιμοποιούν τη λειτουργία Touch ID της Apple για να κλέψουν χρήματα. Ανάμεσα στις πολλές εφαρμογές που βοηθούν τους χρήστες στην προσπάθεια τους για έναν πιο υγιεινό τρόπο ζωής, τα apps «Fitness Balance» και «Calories Tracker» υπόσχονταν υπολογισμό ΔΜΣ, καθημερινή παρακολούθηση θερμίδων ή να υπενθυμίζουν στους χρήστες να πίνουν περισσότερα νερό. Ωστόσο, αυτές οι εφαρμογές έχουν ένα απροσδόκητα βαρύ αντίτιμο, σύμφωνα με τους χρήστες του Reddit. Την πρώτη φορά που ο χρήστης ενεργοποιήσει μία από τις δύο αυτές εφαρμογές, του ζητείται σάρωση των δακτυλικών του αποτυπωμάτων ώστε να του «προβάλουν προσωποποιημένες συστάσεις για την παρακολούθηση των θερμίδων και της διατροφής» (Εικόνα 1). Εικόνα 1 – Πλαστές εφαρμογές στο App Store της Apple ζητούν από τους χρήστες τη σάρωση των δακτυλικών αποτυπωμάτων τους (Προέλευση εικόνας: Reddit) Κατόπιν, εμφανίζεται ένα αναδυόμενο παράθυρο που ζητά την πληρωμή 99,99, 119,99 δολαρίων ή 139,99 ευρώ (Εικόνα 2), για να μπορέσει ο χρήστης να συνεχίσει να χρησιμοποιεί την εφαρμογή. Αυτό το αναδυόμενο παράθυρο εμφανίζεται μόνο για περίπου ένα δευτερόλεπτο, ωστόσο, εάν ο χρήστης έχει μια πιστωτική ή χρεωστική κάρτα συνδεδεμένη απευθείας με τον λογαριασμό του στην Apple, η συναλλαγή επαληθεύεται και τα χρήματα μεταφέρονται. Εικόνα 2 – Το αναδυόμενο παράθυρο που ζητά πληρωμή στις εφαρμογές «Fitness Balance» και «Calories Tracker» (Προέλευση εικόνας: Reddit) Αν οι χρήστες αρνηθούν τη σάρωση δακτυλικών αποτυπωμάτων στην εφαρμογή «Fitness Balance» εμφανίζεται ένα άλλο αναδυόμενο παράθυρο, ζητώντας τους να πατήσουν το κουμπί «Συνέχεια» για να μπορέσουν να χρησιμοποιήσουν την εφαρμογή. Αν συμμορφωθούν, η εφαρμογή προσπαθεί ξανά να επαναλάβει την επιθετική διαδικασία πληρωμής. Παρά την κακόφημη φύση της, η εφαρμογή «Fitness Balance» έλαβε πολλές αξιολογήσεις 5 αστέρων, είχε μέση βαθμολογία 4,3 αστέρων και έλαβε τουλάχιστον 18 θετικές κριτικές. Η δημοσίευση πλαστών θετικών αξιολογήσεων είναι μια πολύ γνωστή τεχνική, που χρησιμοποιείται από τους απατεώνες για τη βελτίωση της φήμης των εφαρμογών τους. Τα θύματα ανέφεραν ήδη και τις δύο εφαρμογές στην Apple, γεγονός που οδήγησε στην απομάκρυνσή τους από το κατάστημα. Οι χρήστες προσπάθησαν ακόμη να επικοινωνήσουν απευθείας με τον προγραμματιστή της εφαρμογής «Fitness Balance», αλλά έλαβαν μόνο μια γενική απάντηση με την υπόσχεση να διορθωθούν τα αναφερόμενα «ζητήματα» στην επικείμενη έκδοση 1.1. Και οι δύο εφαρμογές, λαμβάνοντας υπόψη το περιβάλλον εργασίας και τη λειτουργικότητα, πιθανότατα έχουν δημιουργηθεί από τον ίδιο προγραμματιστή. Οι χρήστες έχουν επίσης δημοσιεύσει βίντεο για τις εφαρμογές «Fitness Balance» και «Calories Tracker» στο Reddit. Δεδομένου ότι η Apple δεν επιτρέπει λύσεις ασφαλείας στο App Store, οι χρήστες πρέπει να βασίζονται στα μέτρα ασφαλείας που εφαρμόζει η Apple. Επιπλέον, η ESET συμβουλεύει τους χρήστες να διαβάζουν πάντα τις αξιολογήσεις των υπόλοιπων χρηστών. Καθώς πολλές φορές τα θετικά σχόλια είναι πλαστά, οι αρνητικές κριτικές είναι πιο πιθανό να αποκαλύψουν την πραγματική φύση της εφαρμογής. Οι χρήστες iPhone X μπορούν επίσης να ενεργοποιήσουν μια πρόσθετη λειτουργία που ονομάζεται «Double Click to Pay», η οποία απαιτεί να κάνουν διπλό κλικ στο πλευρικό κουμπί για να επαληθεύσουν μια πληρωμή. Όσοι χρήστες έχουν ήδη πέσει θύμα αυτής της απάτης, μπορούν επίσης να προσπαθήσουν να διεκδικήσουν επιστροφή χρημάτων από το App Store της Apple.
  8. Η ESET έχει ανακαλύψει στοιχεία που αποδεικνύουν ότι η περιβόητη ομάδα κυβερνοεγκληματιών TeleBots σχετίζεται με το Industroyer, το πιο ισχυρό malware της εποχής μας, που επιτίθεται σε βιομηχανικά συστήματα και ευθύνεται για τη διακοπή ρεύματος στην πρωτεύουσα της Ουκρανίας, το Κίεβο, το 2016. Η ομάδα TeleBots έκανε επίδειξη των ικανοτήτων της με το κακόβουλο λογισμικό (Not)Petya, που διαγράφοντας αρχεία συστήματος παρέλυσε το 2017 επιχειρησιακές δραστηριότητες σε όλο τον κόσμο. Παράλληλα, η ομάδα κυβερνοεγκληματιών απέδειξε τις σχέσεις της με το BlackEnergy, το οποίο χρησιμοποιήθηκε στην πρώτη διακοπή ρεύματος που προκάλεσε ποτέ malware στην Ουκρανία το 2015, για να ακολουθήσει μετά από ένα χρόνο η διακοπή ρεύματος που προκάλεσε το Industroyer. Ακολουθεί σχετικό δελτίο με σχετικό πληροφοριακό γράφημα. Οι ερευνητές της ESET ανακάλυψαν ότι σημαντικές κυβερνοεπιθέσεις σχετίζονται μεταξύ τους Πίσω από το ransomware (Not)Petya και το Industroyer, το πρώτο malware με άμεσες επιπτώσεις σε βιομηχανικά συστήματα, εντοπίζεται μία κοινή ομάδα κυβερνοεγκληματιών 11 Οκτωβρίου 2018 –Η ESET έχει ανακαλύψει στοιχεία που αποδεικνύουν ότι η περιβόητη ομάδα κυβερνοεγκληματιών TeleBots σχετίζεται με το Industroyer, το πιο ισχυρό malware της εποχής μας, που επιτίθεται σε βιομηχανικά συστήματα και ευθύνεται για τη διακοπή ρεύματος στην πρωτεύουσα της Ουκρανίας, το Κίεβο, το 2016. Η ομάδα TeleBots έκανε επίδειξη των ικανοτήτων της με το κακόβουλο λογισμικό (Not)Petya, που διαγράφοντας αρχεία συστήματος παρέλυσε το 2017 επιχειρησιακές δραστηριότητες σε όλο τον κόσμο. Παράλληλα, η ομάδα κυβερνοεγκληματιών απέδειξε τις σχέσεις της με το BlackEnergy, το οποίο χρησιμοποιήθηκε στην πρώτη διακοπή ρεύματος που προκάλεσε ποτέ malware στην Ουκρανία το 2015, για να ακολουθήσει μετά από ένα χρόνο η διακοπή ρεύματος που προκάλεσε το Industroyer. «Οι υποψίες για σύνδεση μεταξύ του Industroyer και της ομάδας TeleBots προέκυψαν λίγο μετά την επίθεση του Industroyer στο ουκρανικό δίκτυο ηλεκτρικής ενέργειας», αναφέρει ο Ερευνητής της ESET Anton Cherepanov, επικεφαλής των ερευνών για το Industroyer και το NotPetya. «Ωστόσο, κανένα αποδεικτικό στοιχείο δεν είχε δημοσιοποιηθεί - μέχρι τώρα». Τον Απρίλιο του 2018, η ESET ανακάλυψε νέα δραστηριότητα της ομάδας TeleBots: την προσπάθεια για ένα νέο backdoor, το οποίο η ESET ανιχνεύει ως Exaramel. Η ανάλυση της ESET δείχνει ότι αυτό το backdoor είναι μια βελτιωμένη έκδοση του αρχικού backdoor Industroyer και πρόκειται για το πρώτο αποδεικτικό στοιχείο που συνδέει το Industroyer με την ομάδα TeleBots. «Η ανακάλυψη του Exaramel δείχνει ότι η ομάδα TeleBots εξακολουθεί να είναι ενεργή το 2018 και οι κυβερνοεγκληματίες συνεχίζουν να βελτιώνουν τα εργαλεία και τις τακτικές τους», καταλήγει ο Cherepanov. «Θα συνεχίσουμε να παρακολουθούμε τη δραστηριότητα αυτής της ομάδας» . Περισσότερες πληροφορίες σχετικά με τα στοιχεία που αποδεικνύουν ότι το Industroyer σχετίζεται με την ομάδα TeleBots βρίσκονται στο σχετικό άρθρο στο blog της ESET, WeLiveSecurity. Σημείωση: Όταν η ομάδα ερευνών της ESET αναφέρεται λεπτομερώς σε κυβερνοεπιθέσεις και εντοπίζει εγκληματικές ομάδες στον κυβερνοχώρο, βασίζεται σε τεχνικούς δείκτες για να δημιουργήσει συνδέσμους μεταξύ τους, όπως ομοιότητες κώδικα, κοινές υποδομές Command & Control, αλυσίδες εκτέλεσης malware και άλλα στοιχεία. Δεδομένου ότι η ESET δεν συμμετέχει σε επί τόπου έρευνες των οργάνων επιβολής νόμου ή έρευνες των Υπηρεσιών Πληροφοριών, δεν μπορεί να προβεί σε εικασίες για ενδεχόμενη εμπλοκή εθνικού κράτους σε αυτές τις επιθέσεις
  9. Οι ερευνητές της ESET ανακάλυψαν πολλά πρόσθετα για το δημοφιλές media player ανοιχτού κώδικα Kodi, τα οποία ευθύνονται για τη διανομή κακόβουλων προγραμμάτων εξόρυξης κρυπτονομισμάτων σε Linux και Windows. Οι πέντε χώρες που έχουν πληγεί περισσότερο, σύμφωνα με την τηλεμετρία της ESET, είναι οι Ηνωμένες Πολιτείες, το Ισραήλ, η Ελλάδα, το Ηνωμένο Βασίλειο και οι Κάτω Χώρες. Ακολουθεί σχετικό δελτίο Τύπου. Η ESET εντόπισε πρόσθετα του media player Kodi πίσω από εκστρατείες cryptomining Κρούσματα εντοπίστηκαν και στην Ελλάδα 13 Σεπτεμβρίου 2018 – Οι ερευνητές της ESET ανακάλυψαν πολλά πρόσθετα για το δημοφιλές media player ανοιχτού κώδικα Kodi, τα οποία ευθύνονται για τη διανομή κακόβουλων προγραμμάτων εξόρυξης κρυπτονομισμάτων σε Linux και Windows. Οι πέντε χώρες που έχουν πληγεί περισσότερο, σύμφωνα με την τηλεμετρία της ESET, είναι οι Ηνωμένες Πολιτείες, το Ισραήλ, η Ελλάδα, το Ηνωμένο Βασίλειο και οι Κάτω Χώρες. Εικόνα – Γεωγραφική διανομή των ανιχνεύσεων του cryptominer από την ESET Ο εντοπισμός των κρουσμάτων στις συγκεκριμένες χώρες δεν προκαλεί έκπληξη στους ερευνητές της ESET, καθώς πρόκειται για τις πέντε κορυφαίες χώρες στη λίστα με την υψηλότερη κυκλοφορία του Kodi σύμφωνα με τα πρόσφατα «Unofficial Kodi Addon Community Stats». Άλλες πιθανές εξηγήσεις για τη γεωγραφική κατανομή των κρουσμάτων είναι τα ειδικά builds του Kodi για κάθε χώρα που περιέχουν τα κακόβουλα repositories, καθώς και τα κακόβουλα αποθετήρια με βάσεις χρηστών στις εν λόγω χώρες, όπως συμβαίνει στην περίπτωση του ολλανδικού repository XvBMC. Όσοι χρησιμοποιούν το Kodi, πιθανά παρατήρησαν ότι το XvBMC έκλεισε πρόσφατα μετά από προειδοποιήσεις για παραβίαση πνευματικών δικαιωμάτων. Τότε ανακαλύφθηκε ότι το αποθετήριο ήταν - πιθανώς εν αγνοία τους - μέρος μιας κακόβουλης εκστρατείας cryptomining, που χρονολογείται από τον Δεκέμβριο του 2017. Σύμφωνα με τους ερευνητές της ESET, το κακόβουλο λογισμικό έχει αρχιτεκτονική πολλών επιπέδων και χρησιμοποιεί τεχνάσματα για να εξασφαλίσει ότι το τελικό ωφέλιμο φορτίο του - το cryptominer - δεν μπορεί εύκολα να εντοπιστεί από ποιο κακόβουλο add-on προέρχεται. Το cryptominer τρέχει σε Windows και Linux και εξορύσσει το κρυπτονόμισμα Monero (XMR). Οι ερευνητές της ESET δεν έχουν εντοπίσει έκδοση in-the-wild που να επιτίθεται σε συσκευές Android ή macOS. Στην παρούσα φάση, τα repositories από όπου άρχισε αρχικά η διάδοση του κακόβουλου λογισμικού είτε δεν λειτουργούν (όπως το αποθετήριο Bubbles) είτε δεν εξυπηρετούν πλέον τον κακόβουλο κώδικα (περίπτωση Gaia). Ωστόσο, τα θύματα που έχουν εγκατεστημένο στις συσκευές τους το cryptominer εξακολουθούν να επηρεάζονται. Εκτός αυτού, το κακόβουλο λογισμικό εξακολουθεί να υπάρχει σε άλλα αποθετήρια και μερικά έτοιμα προς χρήση builds του Kodi, πιθανότατα χωρίς τη γνώση των δημιουργών τους. Εάν χρησιμοποιείτε το Kodi σε μια συσκευή Windows ή Linux και έχετε εγκαταστήσει πρόσθετα από repositories τρίτων ή έτοιμα προς χρήση builds του Kodi, υπάρχει πιθανότητα να έχετε επηρεαστεί από αυτή την εκστρατεία cryptomining. Για να ελέγξετε αν έχει παραβιαστεί η συσκευή σας, σαρώστε το με μια αξιόπιστη λύση anti-malware. Οι λύσεις της ESET ανιχνεύουν και αφαιρούν αυτές τις απειλές ως Win64/CoinMiner.II και Win64/CoinMiner.MK σε Windows και ως Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK, και Linux/CoinMiner.CU σε Linux. Οι χρήστες Windows μπορούν να χρησιμοποιήσουν το ESET Free Online Scanner, ενώ οι χρήστες Linux τη λύση ESET NOD32 Antivirus για Linux Desktop, που διατίθεται σε δωρεάν δοκιμαστική έκδοση, για να ελέγξουν αν ο υπολογιστής τους έχει μολυνθεί από αυτές τις απειλές και να αφαιρέσουν οτιδήποτε εντοπιστεί. Οι χρήστες των λύσεων ESET προστατεύονται αυτόματα Εκτενέστερη περιγραφή της εκστρατείας cryptomining από τα πρόσθετα του media player Kodi βρίσκονται στην σχετική τεχνική ανάλυση του ερευνητή της ESET Kaspars Osis στο blog WeliveSecurity.com.
  10. Δεν είναι λίγοι αυτοί που επιλέγουν να εγκαταστήσουν στο σύστημά τους ένα Android emulator. Ένα Android emulator επιτρέπει να παίζουμε κάποια αγαπημένα mobile παιχνίδια που έχουμε στο κινητό μας, σε μεγάλη οθόνη, χωρίς να "σκοτώνουμε" την μπαταρία του κινητού, αλλά και να τρέχουμε εφαρμογές που ίσως δεν βρίσκουμε στα windows ή στο Linux. Ένα από τα γνωστά Android emulators είναι και το Andy OS, το οποίο όμως τώρα κατηγορείται ότι εγκαθιστά κρυφά miner για ψηφιακά νομίσματα κατά την εγκατάστασή του. Όπως φαίνεται και στο παρακάτω βίντεο που ανέβασε ένας χρήστης, κατά την εγκατάσταση του Andy OS, εγκαθίσταται και κάποια άλλη εφαρμογή η οποία εμφανίζεται στις διαδικασίες με την ονομασία updater.exe. Το updater.exe δεν φαίνεται να περιλαμβάνεται στον installer του Andy OS, αλλά εγκαθίσταται κατά την διάρκεια της εγκατάστασης του Andy OS, μέσω διαδικτύου. Το αποτέλεσμα είναι αυξημένη χρήση της GPU, με παράλληλα χαμηλότερες επιδόσεις στα παιχνίδια ή άλλες εφαρμογές που χρησιμοποιούν αυτή. Σύμφωνα με ένα εκπρόσωπο από την Andy, το Andy OS αξιοποιεί τεχνολογία blockchain και για αυτό ανιχνεύεται ως κακόβουλο λογισμικό. Σύμφωνα με άλλον εκπρόσωπο της Andy, ο miner δεν είναι μέρος του Andy OS και εγκαθίσταται μέσω κάποιου "third party installation file". Το κατά πόσο η Andy θα δώσει μια πειστική εξήγηση όσον αφορά το updater.exe, μένει να το δούμε. Μέχρι τότε, αν χρησιμοποιείτε το Andy OS, ίσως θα ήταν καλή ιδέα να σκεφτείτε την προσωρινή έστω αντικατάστασή του με άλλον emulator.
  11. Τελευταίες πληροφορίες θέλουν ένα malware, το οποίο φέρει την ονομασία VPNFilter, να διαδίδεται ταχύτατα σε συσκευές των Linksys, MikroTik, NETGEAR, TP-Link και QNAP, χωρίς η λίστα αυτή να θεωρείται ακόμα πλήρης. Επίσης η Draytek από την μεριά της προειδοποίησε για κενό ασφαλείας σε περισσότερες από 700 χιλιάδες συσκευές της. Όσον αφορά το malware, σύμφωνα με την Cisco, το VPNFilter έχει καταφέρει να προσβάλει μισό εκατομμύριο συσκευές σε τουλάχιστον 54 χώρες και διαδίδεται ταχύτατα. Επηρεάζει τόσο δικτυακό εξοπλισμό σε μικρές επιχειρήσεις και γραφεία, όσο και συσκευές NAS της QNAP. Σύμφωνα με το τμήμα κυβερνοασφάλειας Talos της Cisco, υπεύθυνη για το malware αυτό φαίνεται να είναι η Ρωσική κυβέρνηση. Το VPNFilter επιτρέπει σε hackers να κατασκοπεύσουν μέσω των προσβαλλόμενων συσκευών ή να τις αξιοποιήσουν αυτές σε DDoS επιθέσεις. Δεν είναι γνωστό πως διαδίδεται το VPNFilter, αλλά φαίνεται να στοχεύει κυρίως δικτυακό εξοπλισμό με γνωστά κενά ασφαλείας ή παλαιότερο λογισμικό. Η Cisco προτρέπει τους κατόχους των συσκευών που έχουν προσβληθεί, να τις γυρίσουν στις εργοστασιακές ρυθμίσεις, ώστε να αφαιρεθεί το malware. Η DrayTek αυτές τις μέρες προειδοποίησε τους κατόχους συσκευών router και DSL modems της σειράς Vigor, ότι βρέθηκε να κενό ασφαλείας το οποίο θα μπορούσε να επιτρέψει σε κάποιον να υποκλέψει ή να δημιουργήσει ένα administration session. Αυτό θα του επέτρεπε εν συνεχεία να αλλάξει τις ρυθμίσεις στο router. Αυτού του τύπου η επίθεση, είναι δυνατή μόνο σε web enabled συσκευές, ακόμα και στην περίπτωση που η δυνατότητα remote access είναι απενεργοποιημένη. Η εταιρία προτρέπει τους κατόχους των συσκευών που είναι ευπαθείς σε αυτό το κενό ασφαλείας, να ελέγξουν τους DNS servers, να χρησιμοποιούν μόνο ασφαλείς TLS 1.2 συνδέσεις και να απενεργοποιήσουν την δυνατότητα remote admin, έως ότου προβούν σε αναβάθμιση με το σχετικό firmware update που διορθώνει το πρόβλημα.
  12. Η Dr. Web είναι μια Ρωσική εταιρία που παρέχει προγράμματα antivirus. Στις αρχές του μήνα η εταιρία ανανέωσε την λίστα φτηνών Κινέζικων συσκευών Android στα οποία είχε ανιχνεύσει το trojan Android.Triada.231. Το trojan αυτό είχε ανιχνευτεί για πρώτη φορά στα μέσα του 2017, σε μικρό αριθμό συσκευών οι οποίες έρχονταν με μολυσμένο firmware. Από τότε ο αριθμός αυτός αυξάνεται συνεχώς. Στην τελευταία ενημέρωση της εταιρίας, ο αριθμός των συσκευών έφτασε τις 42. Ανάμεσα σε αυτές και αρκετά μοντέλα Leagoo, με την Leagoo να μιλάει για λάθος και να απειλεί με μηνύσεις όσους αναπαραγάγουν σχετικές ειδήσεις. Σύμφωνα με την τελευταία ενημέρωση της Dr. Web, η οποία βρίσκεται εδώ, το Android.Triada.231 είναι ένα από τα πλέον επικίνδυνα trojans. Προσβάλει το Zygote, το οποίο είναι μέρος του Android συστήματος και χρησιμοποιείται προκειμένου να εκτελεί όλες τις εφαρμογές Android. Με αυτό το τρόπο το trojan προσβάλει άλλες εφαρμογές και εκτελεί κακόβουλες ενέργειες, εν αγνοία του χρήστη. Σε αυτές περιλαμβάνονται το κατέβασμα και εκτέλεση άλλου κακόβουλου λογισμικού. Σύμφωνα με την Dr. Web, οι κυβερνοεγκληματίες εισάγουν το trojan στην βιβλιοθήκη συστήματος libandroid_runtime.so κατά την κατασκευή της συσκευής, οπότε αυτή έρχεται προσβεβλημένη στα χέρια των καταναλωτών. Η Dr. Web αναφέρει ότι είχε ήδη ενημερώσει τους κατασκευαστές των συσκευών που βρέθηκαν προσβεβλημένες με το Android.Triada.231, αλλά οι κατασκευαστές συνέχισαν να κυκλοφορούν νέα μοντέλα που συνέχιζαν να ενσωματώνουν το κακόβουλο αυτό λογισμικό. Ένα παράδειγμα τέτοιας συσκευής ήταν το Leagoo M9 που κυκλοφόρησε τον Δεκέμβριο του 2017. Η λίστα των συσκευών που έχουν ανιχνευτεί με το Android.Triada.231 είναι η παρακάτω: Leagoo M5 Leagoo M5 Plus Leagoo M5 Edge Leagoo M8 Leagoo M8 Pro Leagoo Z5C Leagoo T1 Plus Leagoo Z3C Leagoo Z1C Leagoo M9 ARK Benefit M8 Zopo Speed 7 Plus UHANS A101 Doogee X5 Max Doogee X5 Max Pro Doogee Shoot 1 Doogee Shoot 2 Tecno W2 Homtom HT16 Umi London Kiano Elegance 5.1 iLife Fivo Lite Mito A39 Vertex Impress InTouch 4G Vertex Impress Genius myPhone Hammer Energy Advan S5E NXT Advan S4Z Advan i5E STF AERIAL PLUS STF JOY PRO Tesla SP6.2 Cubot Rainbow EXTREME 7 Haier T51 Cherry Mobile Flare S5 Cherry Mobile Flare J2S Cherry Mobile Flare P1 NOA H6 Pelitt T1 PLUS Prestigio Grace M5 LTE BQ-5510 Strike Power Max 4G (Russia) Ενδεχομένως να υπάρχουν και άλλες συσκευές που περιλαμβάνουν το εν λόγω trojan και οι οποίες απλά ακόμα δεν έχουν ελεγχθεί. Όπως αναφέρθηκε και αρχικά η Leagoo αντέδρασε στα παραπάνω νέα, δεδομένου και του μεγάλου αριθμού συσκευών της εταιρίας στην παραπάνω λίστα. Η Leagoo ισχυρίζεται ότι οι αναφορές είναι εσφαλμένες και ότι οι ανιχνεύσεις κακόβουλου λογισμικό στις συσκευές της, είναι αποτέλεσμα λανθασμένων ανιχνεύσεων συγκεκριμένων APK εφαρμογών, που σχετίζονται με διαφημίσεις, ως κακόβουλων. Επιπλέον ισχυρίζεται ότι από την στιγμή που αναφέρθηκε το πρόβλημα, η εταιρία έχει ήδη προχωρήσει σε αναβαθμίσεις του Android OS των συσκευών της ώστε να αποφεύγονται οι λανθασμένες αυτές ανιχνεύσεις. Μάλιστα η εταιρία προειδοποιεί ότι θα κινηθεί νομικά εναντίον των δημοσιεύσεων που δείχνουν τις συσκευές της να έχουν εγκατεστημένο κακόβουλο λογισμικό, αφού όπως αναφέρει, η δημοσιοποίηση της παραπάνω λίστας είχε ιδιαίτερα αρνητική επίδραση στην φήμη της εταιρίας. Η Leagoo κλείνει την ανακοίνωσή της αναφέροντας ότι το όλο πρόβλημα δημιουργήθηκε εξαιτίας διαφορετικών μεθόδων ανίχνευσης κακόβουλου λογισμικού από Κινεζικές εφαρμογές antivirus και ξένες εφαρμογές antivirus και ότι πλέον σκοπεύει να υιοθετήσει και τις ξένες μεθόδους ανίχνευσης, ώστε να μην επαναληφθούν παρόμοια προβλήματα στο μέλλον. Προτείνεται σε όποιον διαθέτει συσκευή Leagoo και υποψιάζεται ότι αυτή είναι μολυσμένη, να προχωρήσει άμεσα σε αναβάθμιση στην τελευταία έκδοση του λειτουργικού για την συσκευή του. Μπορείτε να διαβάσετε την ανακοίνωση της Leagoo εδώ.
  13. Σύμφωνα με την AdGuard Research, πάνω από 20 εκατομμύρια χρήστες του Chrome έχουν πέσει θύματα εξαπάτησης, εγκαθιστώντας "ad blockers", που όμως εμπεριέχουν και κακόβουλο κώδικα. Όπως αναφέρουν οι ερευνητές της AdGuard αυτοί οι "ad blockers" αποτελούν συνήθως κλώνους αξιόπιστων επεκτάσεων, έχοντας και παρόμοιες ονομασίες, καθιστώντας ιδιαίτερα δύσκολο σε έναν χρήστη να ξεχωρίσει την αξιόπιστη επέκταση από τους κλώνους της. Οι χρήστες μπερδεύονται νομίζοντας ότι οι επεκτάσεις αυτές αποτελούν δημιουργίες των ίδιων προγραμματιστών που έχουν δημιουργήσει και τις γνωστές επεκτάσεις για ad blocking. Όπως αναφέρει η AdGuard, δυστυχώς δεν υπάρχουν και πολλά πράγματα που μπορούν να γίνουν προκειμένου να βελτιωθεί η κατάσταση αυτή. Το μόνο που μπορεί να γίνει και γίνεται για την ώρα, είναι καταγγελίες στην Google για παραβίαση εμπορικού σήματος, προκειμένου οι κλώνοι να αφαιρεθούν από το Google Web Store. Η διαδικασία αυτή όμως απαιτεί λίγες μέρες, διάστημα αρκετό ώστε οι επεκτάσεις αυτές να βρεθούν στους browsers χιλιάδων χρηστών. Ενδεικτικά ο λιγότερο δημοφιλής "ad blocker" κλώνος είχε κατέβει τουλάχιστον 30 χιλιάδες φορές, ενώ ένας άλλος είχε επιλεγεί από περισσότερους από 10 εκατομμύρια χρήστες. AdRemover for Google Chrome™ (10M+ users) uBlock Plus (8M+ users) Adblock Pro (2M+ users) HD for YouTube™ (400K+ users) Webutation (30K+ users) Οι πέντε παραπάνω επεκτάσεις τις οποίες κατήγγειλε η AdGuard στην Google και πλέον έχουν αφαιρεθεί από το Google Web Store, είχαν εγκατασταθεί από πάνω από 20 εκατομμύρια χρήστες. Όπως αναφέρει ο Andrew Meshkov της Adguard, οι επεκτάσεις αυτές συλλέγουν προσωπικά δεδομένα των χρηστών και πληροφορίες από την περιήγησή τους στο διαδίκτυο σε έναν server, ο οποίος εν συνεχεία στέλνει μια φαινομενικά αθώα εικόνα η οποία όμως εμπεριέχει κάποια scripts που εκτελεί ο browser. Περισσότερες τεχνικής φύσεως λεπτομέρειες μπορείτε να διαβάσετε εδώ. Θα πρέπει λοιπόν να είμαστε ιδιαίτερα προσεχτικοί όταν κατεβάζουμε κάποια επέκταση στον browser μας. Θα πρέπει να είμαστε ιδιαίτερα σίγουροι ότι η επέκταση αυτή προέρχεται από αξιόπιστο προγραμματιστή ή εταιρία.
  14. Μπορεί η Microsoft να προσπάθησε να ξανά κερδίσει χρήστες με τον Edge, αλλά η πλειοψηφία συνεχίζει να παραμένει σταθερά με τον Chrome της Google. Έτσι δεν είναι παράξενο να βλέπουμε την εταιρία να δημιουργεί μια νέα επέκταση(extension) για τον Chrome της Google. Η επέκταση αυτή φέρει την ονομασία Windows Defender Browser Protection και έχει να κάνει με την ασφάλεια κατά την περιήγηση στο διαδίκτυο. Ειδικότερα η επέκταση Windows Defender Browser Protection προσφέρει επιπλέον προστασία έναντι κακόβουλων ιστοσελίδων που προσπαθούν να εξαπατήσουν τον χρήστη. Η επέκταση αναλαμβάνει να ειδοποιήσει τον χρήστη όταν αυτός πατάει πάνω σε κάποιον σύνδεσμο που είναι γνωστό ότι οδηγεί σε κάποια κακόβουλη ιστοσελίδα, δίνοντάς του την δυνατότητα να αποφύγει την ιστοσελίδα αυτή. Πρακτικά λειτουργεί όπως το Safe Browsing της Google, αλλά η επέκταση της Microsoft είναι ταχύτερη και πιο αποτελεσματική, τόσο αυτής που προσφέρει η Google, όσο της αντίστοιχης που προσφέρει η Mozilla με τον Firefox, σύμφωνα με δοκιμές της NSS Labs. Βέβαια όποιος θέλει μπορεί να προσθέσει την επέκταση της Microsoft στον Chrome ώστε να απολαμβάνει την προστασία που παρέχει το Safe Browsing της Google, σε συνδυασμό με αυτή που παρέχει το Windows Defender Browser Protection της Microsoft. Το μόνο που ίσως θα μπορούσε να αποτρέψει κάποιον να προσθέσει την επέκταση στον Chrome, είναι το γεγονός ότι η επέκταση στέλνει στοιχεία, όσον αφορά την περιήγηση του χρήστη στο διαδίκτυο, στην Microsoft. Μπορείτε να κατεβάσετε την επέκταση από εδώ.
  15. Πριν μερικούς μήνες, στο εντελώς ξεκάρφωτο άρχισαν να βγαίνουν pop up στο κινητό μου και να κατεβαίνουν αυτόματα διαφημίσεις. Δεν είχα μπει σε κάποια περίεργη ιστοσελίδα, ούτε είχα εγκαταστήσει κάποιο apk εκτός playstore. Αφού δεν κατάφερα με τίποτα να το βγάλω (δοκίμασα διάφορα antimalware και antivirus) έκανα επαναφορά εργοστασιακών ρυθμίσεων (χωρίς τη χρήση κάποιου backup). Εντωμεταξύ, είχε προλάβει να με γράψει και σε μία συνδρομητική υπηρεσία πολυμεσικού χαρακτήρα η οποία χωρίς κανένα απολύτως sms με χρέωσε και 2 φορές από 3 ευρώ. Αυτό ξαναέγινε άλλες 2 φορές σε πολύ σύντομο χρονικό διάστημα. Όλο το διάστημα αυτό, στο κινητό είχα εγκατεστημένες 2 sim, μία της Vodafone με τον κύριο αριθμό μου και μία της Wind αποκλειστικά για Data. Τελευταία φορά που έκανα επαναφορά εργοστασιακών ρυθμίσεων ήταν γύρω στις 30 Δεκεμβρίου, οπότε και έβγαλα την κάρτα της Wind μιας και η Vodafone μου είχε κάνει δώρο αρκετά GB. Προχθές που τελείωσαν τα GB ξαναέβαλα την Sim της Wind, ενεργοποίησα πακέτο data και με το που συνδέθηκα στο Internet μέσα σε 1 λεπτό άρχισαν πάλι τα παλαβά. Το κινητό άρχισε να σέρνεται και διαπίστωσα ένα σκασμό εγκατηστημένες εφαρμογές. Επειδή δεν είχα το απαραίτητο δίωρο για επαναφορά εργοστασιακών, εγκατέστησα το antivirus της ESET, το οποίο βρήκε τα παρακάτω: Δυστυχώς για μένα το καθάρισμα που κάνει το ESET (και οποιοδήποτε άλλο a/v) είναι προσωρινό και τα trojan εμφανίζονται 2 φορές την ημέρα. Προφανώς και σήμερα - αύριο που θα έχω χρόνο θα ξανακάνω επαναφορά εργοστασιακών ρυθμίσεων. Έχει κανείς ιδέα όμως τι μπορεί να συμβαίνει και γιατί συμβαίνει κατ' εξακολούθηση; To ότι προχθές συνέβει με το που συνδέθηκα στο διαδίκτυο μέσω του δικτύου της Wind πιστεύετε ότι είναι τυχαίο;
  16. Η χρήση κρυπτονομισμάτων γίνεται όλο και πιο δημοφιλής στους χρήστες, παράλληλα όμως εμπνέει τους κυβερνοεγκληματίες να επινοούν νέους, μαζικότερους τρόπους πρόσβασης σε όλα αυτά τα εικονικά νομίσματα. Ως αποτέλεσμα, διαδικτυακές απάτες που στοχεύουν κρυπτονομίσματα έχουν κάνει την εμφάνισή τους και στην πλατφόρμα Android, με διάφορα είδη κακόβουλων εφαρμογών να ξεγελούν τους χρήστες. Η ESET δημοσίευσε ένα whitepaper περιγράφοντας τις πιο διαδεδομένες κατηγορίες «cryptocurrency scams», ενώ προσφέρει και μία σειρά συμβουλών για μεγαλύτερη προστασία των συσκευών και των κρυπτονομισμάτων. Ακολουθεί το σχετικό δελτίο τύπου. ESET: Scams που στοχεύουν κρυπτονομίσματα σε Android - Τι πρέπει να γνωρίζουν οι χρήστες 5 Μαρτίου 2018 – Η χρήση κρυπτονομισμάτων γίνεται όλο και πιο δημοφιλής στους χρήστες, παράλληλα όμως εμπνέει τους κυβερνοεγκληματίες να επινοούν νέους, μαζικότερους τρόπους πρόσβασης σε όλα αυτά τα εικονικά νομίσματα. Ως αποτέλεσμα, διαδικτυακές απάτες που στοχεύουν κρυπτονομίσματα έχουν κάνει την εμφάνισή τους και στην πλατφόρμα Android, με διάφορα είδη κακόβουλων εφαρμογών να ξεγελούν τους χρήστες. Η ESET δημοσίευσε ένα whitepaper περιγράφοντας τις πιο διαδεδομένες κατηγορίες «cryptocurrency scams», ενώ προσφέρει και μία σειρά συμβουλών για μεγαλύτερη προστασία των συσκευών και των κρυπτονομισμάτων. 1. Πλαστές εφαρμογές συναλλαγών κρυπτονομισμάτων. Σε αυτήν την κατηγορία ανήκουν κακόβουλες εφαρμογές ηλεκτρονικού «ψαρέματος» (phishing apps), που προσπαθούν να κλέψουν τους κωδικούς σύνδεσης για να παραβιάσουν λογαριασμούς. Οι συγκεκριμένες εφαρμογές μοιάζουν εξαιρετικά με τις αυθεντικές, ενώ μπορεί να έχουν καλή συνολική βαθμολογία χάρη σε ψεύτικα reviews. Μια πρόσφατη περίπτωση τέτοιου scam είναι οι εφαρμογές phishing που αντιγράφουν το Poloniex, ένα app για συναλλαγές cryptocurrency, που ανακαλύφθηκε πέρσι στο Google Play και εμφανίζεται συχνά από τότε. 2. Πλαστά wallet apps. Παρόμοιες phishing εφαρμογές επιτίθενται σε χρήστες πορτοφολιών κρυπτονομισμάτων, μόνο που εδώ γίνεται προσπάθεια κλοπής των ιδιωτικών κλειδιών και των φράσεων του χρήστη. Τον τελευταίο καιρό έχει παρατηρηθεί αυτό το είδος κακόβουλης συμπεριφοράς σε εφαρμογές που μοιάζουν με το MyEtherWallet, ένα δημοφιλές πορτοφόλι Ethereum ανοικτού κώδικα. Το MyEtherWallet δεν διαθέτει επίσημη εφαρμογή για κινητά, γεγονός που εκμεταλλεύονται οι απατεώνες του κυβερνοχώρου. Οι ερευνητές της ESET έχουν επίσης αναλύσει και πλαστά cryptocurrency wallet που προσπαθούν να εξαπατήσουν τα θύματα για να μεταφέρουν κέρματα στο πορτοφόλι των κυβερνοεγκληματιών. Αυτά τα scams προσποιούνται ότι δημιουργούν ένα δημόσιο κλειδί για ένα νέο πορτοφόλι και καθοδηγούν τους χρήστες να στείλουν τα ψηφιακά τους νομίσματα στη διεύθυνση που έχουν δημιουργήσει. 3. Crypto-mining malware που επιτίθεται σε Android. Το κατά πόσο μια εφαρμογή εξόρυξης κρυπτονομισμάτων (crypto-mining) μπορεί να θεωρηθεί κακόβουλη εξαρτάται από το αν λειτουργεί με τη συναίνεση του χρήστη ή όχι – στη δεύτερη περίπτωση η συσκευή έχει παραβιαστεί οπότε θεωρείται malware. Πρόσφατα, ανακαλύφθηκε ότι μια έκδοση του δημοφιλούς παιχνιδιού Bug Smasher, που έχει εγκατασταθεί από το Google Play από 1 έως 5 εκατομμύρια φορές, πραγματοποιούσε κρυφά mining κρυπτονομισμάτων Monero από τις συσκευές των χρηστών. 4. Πλαστά crypto-miners και εφαρμογές με δωρεάν παροχές. Εδώ ανήκουν οι εφαρμογές που προσποιούνται ότι εξορύσσουν κρυπτονομίσματα (crypto-miners) για το χρήστη, ενώ στην πραγματικότητα το μόνο που κάνουν είναι να προβάλλουν διαφημίσεις. Για να καταφέρνουν καλύτερα το σκοπό τους, τα συγκεκριμένα apps ενθαρρύνουν τους χρήστες να τα ανοίγουν σε τακτική βάση, υποσχόμενα περισσότερα «δωρεάν» κέρματα κάθε μέρα σε αντάλλαγμα. Ενώ αυτές οι εφαρμογές δεν είναι κακόβουλες «per se», θεωρούνται ανεπιθύμητες λόγω του παραπλανητικού τους χαρακτήρα. Στην κατηγορία αυτή περιλαμβάνονται apps που υπόσχονται ότι θα εξορύξουν κρυπτονομίσματα Ripple (XRP), στα οποία εξ’ ορισμού δεν μπορεί να γίνει mining. Όλες οι εφαρμογές που αναφέρονται παραπάνω εντοπίζονται και μπλοκάρονται από τα συστήματα της ESET και έχουν αποκλειστεί από το Google Play. Οι χρήστες που έχουν ενεργοποιημένη τη λειτουργία Google Play Protect προστατεύονται μέσω αυτού του μηχανισμού. Πως μπορούν να μείνουν ασφαλείς οι χρήστες H ESET δίνει τις παρακάτω συμβουλές στους χρήστες Android που δεν θέλουν να πέσουν θύματα των cryptocurrency scams: Χρησιμοποιήστε τα apps συναλλαγών κρυπτονομίσματων και πορτοφολιών με την ίδια προσοχή που χρησιμοποιείτε και τις εφαρμογές mobile banking. Όταν κάνετε λήψη εφαρμογών συναλλαγής κρυπτονομισμάτων ή πορτοφολιών σε κινητά, βεβαιωθείτε ότι η συγκεκριμένη υπηρεσία πράγματι διαθέτει εφαρμογή για κινητά. Θα πρέπει να υπάρχει link μεταξύ της επίσημης εφαρμογής και της ιστοσελίδας της υπηρεσίας. Αν προσφέρεται σαν επιλογή, χρησιμοποιήστε έλεγχο πιστοποίησης διπλού παράγοντα για να προστατεύσετε τους λογαριασμούς συναλλαγών ή πορτοφολιών με ένα πρόσθετο επίπεδο ασφάλειας. Κατά τη λήψη εφαρμογών από το Google Play, δώστε προσοχή στον αριθμό των λήψεων, καθώς και στις αξιολογήσεις και στα σχόλια των χρηστών. Ενημερώνετε διαρκώς την Android συσκευή σας και χρησιμοποιήστε μια αξιόπιστη λύση ασφάλειας για κινητά για να την προστατεύσετε από τις τελευταίες απειλές. Για περισσότερες πληροφορίες διαβάστε το σχετικό whitepaper της ESET: «Cryptocurrency scams on Android».
  17. Το 2017 ήταν αναμφισβήτητα «η χρονιά του ransomware», όπως αποδεικνύεται σε πρόσφατο White Paper που δημοσίευσε η ESET. Οι δημιουργοί κακόβουλου λογισμικού δεν περιορίστηκαν μόνο σε ransomware που στόχευε PC, καθώς αρκετά σημαντικό ήταν και το ποσοστό επιθέσεων ενάντια σε συσκευές Android. Τα κύρια χαρακτηριστικά που παρατήρησαν οι ερευνητές της ESET στη δράση του Android ransomware το 2017 ήταν οι πρωτοποριακές μέθοδοι που χρησιμοποίησε για να εισχωρεί στα συστήματα και οι σκληρότερες απαιτήσεις σχετικά με την απόσπαση λύτρων. Ακολουθεί το σχετικό δελτίο Τύπου. ESET: Το 2017 το Android ransomware ήταν πιο εφευρετικό στην εξάπλωση και πιο απαιτητικό στα λύτρα 15 Φεβρουαρίου 2018 –Το 2017 ήταν αναμφισβήτητα «η χρονιά του ransomware», όπως αποδεικνύεται σε πρόσφατο White Paper που δημοσίευσε η ESET. Οι δημιουργοί κακόβουλου λογισμικού δεν περιορίστηκαν μόνο σε ransomware που στόχευε PC, καθώς αρκετά σημαντικό ήταν και το ποσοστό επιθέσεων ενάντια σε συσκευές Android. Τα κύρια χαρακτηριστικά που παρατήρησαν οι ερευνητές της ESET στη δράση του Android ransomware το 2017 ήταν οι πρωτοποριακές μέθοδοι που χρησιμοποίησε για να εισχωρεί στα συστήματα και οι σκληρότερες απαιτήσεις σχετικά με την απόσπαση λύτρων. Ενδεικτικό παράδειγμα της εφευρετικότητας του Android ransomware υπήρξε η κατάχρηση των υπηρεσιών προσβασιμότητας της πλατφόρμας Android, οι οποίες έχουν σχεδιαστεί για να βοηθήσουν άτομα με ειδικές ανάγκες. Αυτή η κακόβουλη τεχνική χρησιμοποιούνταν τυπικά από το banking malware, ωστόσο, μέχρι το τέλος του 2017, εμφανίστηκε και στο Android ransomware. Πιθανά η πιο γνωστή περίπτωση αυτής της συμπεριφοράς είναι το DoubleLocker, η οικογένεια ransomware που ανακαλύφθηκε από τους ερευνητές της ESET. Παρά την εμφάνιση των νέων αυτών χαρακτηριστικών, η πιο δημοφιλής τεχνική επίθεσης του Android ransomware εξακολουθεί να παραμένει το κλείδωμα της οθόνης που ακολουθείται από αίτημα για λύτρα, προκειμένου να μπορέσει ο χρήστης να την ξεκλειδώσει. Σύμφωνα με την τηλεμετρία της ESET, οι πιο συχνά ανιχνεύσιμες παραλλαγές των Android ransomware που χρησιμοποιούν αυτή τη μέθοδο εκβιασμού ανήκουν στην οικογένεια Android/Locker. Αξίζει να σημειωθεί ότι συνολικά το Android ransomware δεν συνέχισε την ίδια ανοδική πορεία με τα προηγούμενα χρόνια. Η μεγαλύτερη αύξηση σημειώθηκε μέχρι το 2016, φθάνοντας στο αποκορύφωμα κατά το πρώτο εξάμηνο του έτους. Το 2017 παρατηρήθηκε μια αλλαγή σε αυτή την τάση και παρά το συνεχώς αυξανόμενο ποσοστό malware για Android, ο αριθμός του ransomware που στοχεύει αυτή την πλατφόρμα είχε χάσει μέρος της δύναμης του. Ωστόσο, οι ερευνητές της ESET παραμένουν επιφυλακτικοί καθώς, σύμφωνα με τα στοιχεία του ESET LiveGrid®, η μείωση αυτή μπορεί να ήταν προσωρινή, καθώς υπήρξαν αρκετές ανιχνεύσεις Android ransomware - συμπεριλαμβανομένου του DoubleLocker - προς το τέλος του 2017. Όσοι ενδιαφέρονται να μάθουν περισσότερα σχετικά με το Android ransomware, τις επικίνδυνες παραλλαγές που εμφανίστηκαν το 2017 καθώς και τα πιο αξιοσημείωτα συμβάντα που έχουν παρατηρηθεί από το 2013, μπορούν να διαβάσουν το σχετικό White Paper της ESET. Εάν θέλετε να μάθετε περισσότερα, μπορείτε επίσης να σταματήσετε από το περίπτερο της ESET (Hall 7, booth 7H41) στο φετινό Mobile World Congress που πραγματοποιείται στη Βαρκελώνη από 26 Φεβρουαρίου ως 1 Μαρτίου 2018.
  18. Δεν είναι λίγα τα προγράμματα που βασίζονται σε τεχνικές εκφοβισμού του χρήστη προκειμένου να τον πείσουν να τα αγοράσει. Η Microsoft ανακοίνωσε ότι προγράμματα τα οποία επιχειρούν να τρομοκρατήσουν τον χρήστη ή να το παραπλανήσουν προκειμένου να τα αγοράσει, θα αντιμετωπίζονται στο μέλλον ως κακόβουλα ή αχρείαστα και ο Windows Defender θα προχωράει σε αφαίρεσή τους από το σύστημα. Προγράμματα τα οποία χρησιμοποιούν αυτού του τύπου τις πρακτικές εκφοβισμού του χρήστη, συνήθως είναι προγράμματα που υπόσχονται να κάνουν την δουλειά κάποιου antivirus, κάποιου antimalware ή και κάποιου optimizer ή cleaner, δηλαδή κάποιου προγράμματος που υπόσχεται να βελτιώσει τις επιδόσεις του υπολογιστή. Πολλά από αυτά προωθούνται ως ελεύθερες εκδόσεις προγραμμάτων. Μετά την εγκατάστασή τους και την χρήση τους, εμφανίζουν μηνύματα που αναφέρουν με τον πλέον έντονο τρόπο ότι ανίχνευσαν πλήθος προβλημάτων τα οποία χρίζουν άμεσης διόρθωσης, διόρθωση η οποία μπορεί να γίνει μόνο με αγορά και χρήση της πλήρους έκδοσής τους. Τα μηνύματα αυτά είναι σχεδιασμένα έτσι ώστε να αποσκοπούν στην τρομοκράτηση του χρήστη. Η Microsoft σε σχετικό blog post αναφέρει ότι έχει αυξηθεί σημαντικά ο αριθμός των προγραμμάτων αυτών, που χρησιμοποιούν τρόπους εκφοβισμού των χρηστών, ωθώντας τελικά πολλούς από αυτούς στο να αγοράζουν λογισμικό το οποίο πρακτικά δεν τους χρειάζεται. Για τον λόγο αυτό η εταιρία αποφάσισε να αναθεωρήσει τα κριτήρια με τα οποία κατηγοριοποιεί τα προγράμματα σε κακόβουλα ή αχρείαστα. Στο μέλλον προγράμματα τα οποία χρησιμοποιούν τεχνικές εκφοβισμού θα αφαιρούνται από τον Windows Defender.
  19. Εδώ και μερικούς μήνες έχει γίνει φανερό ότι το πρόβλημα με τις ιστοσελίδες που αξιοποιούν τα συστήματα των επισκεπτών τους για παραγωγή ψηφιακών νομισμάτων είναι σοβαρό και θα γίνει πιθανόν ακόμα σοβαρότερο στο μέλλον. Τελευταίο παράδειγμα αυτό του YouTube, όπου κώδικας για παραγωγή ψηφιακών νομισμάτων βρέθηκε σε διαφημίσεις στις σελίδες του. Το παραπάνω έγινε γνωστό όταν κάποιοι επισκέπτες του YouTube, ανέφεραν σε μέσα κοινωνικής δικτύωσης ότι τα προγράμματα antivirus που είχαν εγκατεστημένα στο σύστημά τους, εμφάνιζαν την ιστοσελίδα του YouTube ως ύποπτη για κακόβουλο λογισμικό. Σύμφωνα με την Trend Micro, διαφημίσεις από την πλατφόρμα DoubleClick της Google, φαίνεται να είχαν προσβληθεί με κώδικα javascript ο οποίος αξιοποιούσε την υπολογιστική ισχύ του υπολογιστή του επισκέπτη του YouTube για την παραγωγή ψηφιακών νομισμάτων Monero, μέσω του Coinhive. Έτσι, όσο ο επισκέπτης παρέμενε στην ιστοσελίδα του YouTube παρακολουθώντας κάποιο βίντεο, το σύστημά του αξιοποιούταν από αυτούς που είχαν μολύνει τις διαφημίσεις με το javascript για την παραγωγή ηλεκτρονικών νομισμάτων Monero. Χάρη στην ανωνυμία που χαρακτηρίζει τα ψηφιακά νομίσματα, είναι πρακτικά αδύνατο να βρει κάποιος τον υπεύθυνο για την εισαγωγή του κακόβουλου javascript κώδικα στις διαφημίσεις. Είναι επίσης φανερό ότι ακόμα και μεγάλες ιστοσελίδες όπως η Google, η YouTube και κατ' επέκταση οι επισκέπτες τους, θα μπορούσαν να πέσουν θύματα της παραπάνω πρακτικής κάποιων που προσπαθούν να κερδίσουν από την εκτόξευση της αξίας των ψηφιακών νομισμάτων. Η Google προχώρησε σε σχετική ανακοίνωση, μιας και ήταν η δική της πλατφόρμα που αξιοποιήθηκε για την διάδοση του javascript κώδικα, σημειώνοντας ότι οι διαφημίσεις με το κακόβουλο javascript κώδικα μπλοκαρίστηκαν εντός δύο ωρών. Με βάση όμως την Trend Micro η οποία αναφέρει ότι το πρόβλημα δείχνει να ξεκίνησε να εμφανίζεται στις 18 Ιανουαρίου, δεν αποκλείεται οι διαφημίσεις με το κακόβουλο javascript κώδικα να έτρεχαν για μερικές μέρες ή και μια εβδομάδα.
  20. Οι ειδήσεις σχετικές με κακόβουλο λογισμικό που προσπαθεί να τρέξει miners για ψηφιακά νομίσματα στην συσκευή που έχει προσβάλει, συνεχώς αυξάνουν. Αυτή τη φορά η Kaspersky Lab ανακοίνωσε ότι ανακάλυψε ένα νέο malware που στοχεύει Android συσκευές και το οποίο εγκαθιστά σε αυτές σχετικούς miners. Η διαφορά εδώ, σε σχέση με αντίστοιχες περιπτώσεις με miners σε σταθερούς ή φορητούς υπολογιστές, είναι ότι θα μπορούσε να προκληθεί ζημιά στην συσκευή στην οποία εγκαθίσταται ο miner. Το νέο malware έχει λάβει την ονομασία Trojan.AndroidOS.Loapi από την Kaspersky Lab και μεταδίδεται μέσω αγορών αμφίβολης αξιοπιστίας, διαφημίσεων, SMS spam και άλλες μεθόδους. Όπως αναφέρει η Kaspersky Lab, το malware είναι σε θέση να προχωρήσει σε πολλές κακόβουλες ενέργειες, όπως το να εμφανίζει συνεχώς πλήθος διαφημίσεων, να χρησιμοποιήσει την προσβεβλημένη συσκευή σε μια επίθεση DDoS, να προβεί σε συνδρομές υπηρεσιών που χρεώνουν ή να αποστέλλει SMS σε άλλους αριθμούς. Μετά την εγκατάστασή του ο χρήστης δεν έχει πολλές επιλογές, με το κακόβουλο λογισμικό να μην επιτρέπει την εκτέλεση ή εγκατάσταση λογισμικού που θα μπορούσε να χρησιμοποιηθεί για την αφαίρεσή του. Ένα από τα χειρότερα χαρακτηριστικά του όμως, φαίνεται να είναι ο επιθετικός τρόπος με τον οποίο το malware αξιοποιεί την συσκευή για mining ψηφιακών νομισμάτων(monero). Η Kaspersky Lab αναφέρει ότι δοκίμασε το malware σε μια συσκευή, η οποία μετά από δύο μέρες συνεχούς mining, κατέληξε με φουσκωμένη μπαταρία στον βαθμό που ξεκούμπωσε το πίσω καπάκι της συσκευής. Φαίνεται ότι το malware δεν θέτει αυτοπεριορισμό στο ποσό χρήσης του επεξεργαστή της συσκευής από τον miner. Έτσι αν η συσκευή δεν είναι σωστά ρυθμισμένη από τον κατασκευαστή, ώστε να προβαίνει σε throttling όταν η θερμοκρασία της μπαταρίας είναι υψηλή, τα αποτελέσματα μπορεί να είναι ιδιαίτερα αρνητικά για την συσκευή, όπως φαίνεται και στην παρακάτω φωτογραφία. Αναλυτικό άρθρο μπορείτε να διαβάσετε στο Securelist.
  21. Ερευνητές της ESET, σε συνεργασία με την Microsoft και με υπηρεσίες επιβολής του νόμου - το FBI, την Interpol, τη Europol και άλλους φορείς που μεριμνούν για την ασφάλεια του κυβερνοχώρου – κατέρριψαν σήμερα μια σημαντική επιχείρηση botnet γνωστή ως Gamarue (εντοπίστηκε από την ESET ως Win32/ TrojanDownloader.Wauchos), που μολύνει υπολογιστές από το 2011. Ακολουθεί το σχετικό δελτίο Τύπου. Η ESET ενώνει τις δυνάμεις της με τη Microsoft και με υπηρεσίες επιβολής του νόμου ενάντια στην επιχείρηση botnet «Gamarue» Αθήνα, 5 Δεκεμβρίου 2017 - Ερευνητές της ESET, σε συνεργασία με την Microsoft και με υπηρεσίες επιβολής του νόμου - το FBI, την Interpol, τη Europol και άλλους φορείς που μεριμνούν για την ασφάλεια του κυβερνοχώρου – κατέρριψαν σήμερα μια σημαντική επιχείρηση botnet γνωστή ως Gamarue (εντοπίστηκε από την ESET ως Win32/ TrojanDownloader.Wauchos), που μολύνει υπολογιστές από το 2011. Οι συντονισμένες δράσεις κατάρριψης ξεκίνησαν στις 29 Νοεμβρίου 2017 και χάρη στην κοινή αυτή προσπάθεια, οι υπηρεσίες επιβολής του νόμου σε ολόκληρο τον κόσμο μπόρεσαν να προχωρήσουν σε συλλήψεις και να εμποδίσουν τη δραστηριότητα της οικογένειας malware που ευθυνόταν για τη μόλυνση περισσότερων από 1,1 εκατομμυρίων συστημάτων μηνιαίως. Οι ερευνητές της ESET και της Microsoft αντάλλαξαν τεχνικές αναλύσεις, στατιστικές πληροφορίες και δημοφιλή domains από C&C servers για να βοηθήσουν στη διακοπή της κακόβουλης δραστηριότητας της ομάδας. Η ESET μοιράστηκε επίσης τις γνώσεις της για το Gamarue, τις οποίες είχε συγκεντρώσει από τη συνεχή παρακολούθηση του malware και των επιπτώσεων του στους χρήστες κατά τα τελευταία χρόνια. Τι είναι το Gamarue? Η οικογένεια Gamarue δημιουργήθηκε από κυβερνοεγκληματίες το Σεπτέμβριο του 2011 και πωλήθηκε ως «crime-kit» σε underground φόρουμ στο Dark Web, με σκοπό την κλοπή διαπιστευτηρίων και τη λήψη και εγκατάσταση επιπλέον κακόβουλου λογισμικού στα συστήματα των χρηστών. Αυτή η οικογένεια malware αποτελεί ένα bot με δυνατότητες εξατομίκευσης, επιτρέποντας στον ιδιοκτήτη του να δημιουργεί και να χρησιμοποιεί προσαρμοσμένα plugins. Ένα τέτοιο plugin επιτρέπει στον κυβερνοεγκληματία να κλέβει το περιεχόμενο που εισάγουν οι χρήστες σε φόρμες web, ενώ ένα άλλο επιτρέπει τη σύνδεση των εγκληματιών και τον έλεγχο των παραβιασμένων συστημάτων. Η δημοτικότητά του έχει οδηγήσει σε μια σειρά από ανεξάρτητα, «in the wild» botnets Gamarue. Στην πραγματικότητα, η ESET διαπίστωσε ότι δείγματα Gamarue έχουν εξαπλωθεί σε όλο τον κόσμο μέσω κοινωνικών μέσων, instant messaging, αφαιρούμενων μέσων, spam και exploit kits. Πώς οι ερευνητές της ESET και της Microsoft συγκέντρωναν πληροφορίες; Χρησιμοποιώντας την υπηρεσία ESET Threat Intelligence, οι ερευνητές της ESET κατάφεραν να δημιουργήσουν ένα bot που θα μπορούσε να επικοινωνεί με το C&C server της απειλής. Έτσι, η ESET και η Microsoft μπόρεσαν να παρακολουθήσουν στενά τα botnets του Gamarue κατά τον προηγούμενο 1,5 χρόνο, να εντοπίσουν τους C&C servers για να τους «ρίξουν» και να ελέγξουν τι έχει εγκατασταθεί στα συστήματα των θυμάτων. Από τότε, οι δύο εταιρίες δημιούργησαν λίστα με όλα τα domains που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου ως C&C servers. «Στο παρελθόν, η Wauchos ήταν η πιο συχνά ανιχνευμένη οικογένεια malware μεταξύ των χρηστών της ESET, οπότε όταν μας προσέγγισε η Microsoft για να συμμετάσχουμε σε μια κοινή προσπάθεια καταπολέμησης, για να προστατέψουμε καλύτερα τους χρήστες μας και το ευρύ κοινό γενικά, ήταν αυτονόητο να συμφωνήσουμε», δήλωσε ο Jean-Ian Boutin, Senior Malware Research της ESET. «Αυτή η συγκεκριμένη απειλή υπάρχει εδώ και αρκετά χρόνια και επανεμφανίζεται συνεχώς - γεγονός που μπορεί να δυσκολέψει την παρακολούθηση. Ωστόσο, χρησιμοποιώντας την υπηρεσία ESET Threat Intelligence και δουλεύοντας σε συνεργασία με τους ερευνητές της Microsoft, καταφέραμε να παρακολουθούμε τις αλλαγές στη συμπεριφορά του malware και συνεπώς να προσφέρουμε αξιοποιήσιμα δεδομένα, τα οποία αποδείχθηκαν ανεκτίμητα σε αυτές τις προσπάθειες κατάρριψης». Τι πρέπει να κάνουν οι χρήστες εάν υποψιάζονται ότι τα συστήματά τους έχουν παραβιαστεί; Οι εγκληματίες του κυβερνοχώρου παραδοσιακά χρησιμοποίησαν το Gamarue για να στοχεύσουν τους οικιακούς χρήστες ώστε να κλέψουν διαπιστευτήρια από ιστότοπους μέσω ενός plugin με δυνατότητες form grabbing. Ωστόσο, οι ερευνητές της ESET παρατήρησαν πρόσφατα ότι το malware έχει χρησιμοποιηθεί για την εγκατάσταση διαφόρων spam bots σε παραβιασμένα συστήματα σε ένα λεγόμενο «pay-per-install» σύστημα. Η ESET ενημερώνει όσους χρήστες φοβούνται ότι τα Windows τους ενδέχεται να έχουν παραβιαστεί, να κατεβάσουν και να χρησιμοποιήσετε το ESET Online Scanner, το οποίο θα αφαιρέσει τυχόν απειλές που βρίσκονται στο σύστημα, συμπεριλαμβανομένου του Gamarue. Για να ενημερωθείτε σχετικά με πιο σύνθετους τρόπους προστασίας των συσκευών σας από botnets, επισκεφθείτε την ειδική ιστοσελίδα της ESET. Σχετικό και ιδιαίτερα αναλυτικό άρθρο έχει δημοσιεύσει και η Microsoft, το οποίο θα βρείτε στο παρακάτω link: Microsoft teams up with law enforcement and other partners to disrupt Gamarue (Andromeda) – Windows Security blog Gamarue’s global prevalence from May to November 2017 Machines, IPs, and unique file encounters for Gamarue from May to November 2017; data does not include LNK detections Sample control dashboard used by attackers to communicate to Gamarue bots
  22. Οκτώ νέες κακόβουλες εφαρμογές εντόπισαν τα συστήματα της ESET στο επίσημο κατάστημα της Google. Τα κακόβουλα apps ανιχνεύονται ως Android/TrojanDropper.Agent.BKY και αποτελούν μία νέα οικογένεια Android malware. Ξεχωρίζουν γιατί δρουν σε πολλά επίπεδα, φαίνονται έγκυρα και καθυστερούν να εκδηλώσουν τις κακόβουλες προθέσεις τους. Ακολουθεί σχετικό δελτίο Τύπου. Οι ερευνητές της ESET ανακάλυψαν malware με εξελιγμένες δυνατότητες διαφυγής των μηχανισμών προστασίας του Google Play Αθήνα, 28 Νοεμβρίου 2017 – Οκτώ νέες κακόβουλες εφαρμογές εντόπισαν τα συστήματα της ESET στο επίσημο κατάστημα της Google. Τα κακόβουλα apps ανιχνεύονται ως Android/TrojanDropper.Agent.BKY και αποτελούν μία νέα οικογένεια Android malware. Ξεχωρίζουν γιατί δρουν σε πολλά επίπεδα, φαίνονται έγκυρα και καθυστερούν να εκδηλώσουν τις κακόβουλες προθέσεις τους . Έξι από τις κακόβουλες εφαρμογές που ανακαλύφθηκαν στο Google Play Καμία από τις συγκεκριμένες εφαρμογές δεν έχει ξεπεράσει τις μερικές εκατοντάδες λήψεις, ωστόσο παρουσιάζει ενδιαφέρον το ότι διαθέτουν μία σειρά προηγμένων χαρακτηριστικών για να διαφεύγουν της ανίχνευσης. Χάρη σε μία πολύ-επίπεδη αρχιτεκτονική και σε μηχανισμούς κρυπτογράφησης, καταφέρνουν να ξεγελάσουν το χρήστη για να τις εγκαταστήσει. Οι εφαρμογές δεν ζητούν ύποπτα δικαιώματα και εμφανίζουν την αναμενόμενη λειτουργία, όσο στο παρασκήνιο εκτελείται η κακόβουλη δραστηριότητά τους. Σε όλες τις περιπτώσεις που διερευνήθηκαν, η δραστηριότητα αυτή οδηγεί σε ένα banking trojan ειδικά για κινητές συσκευές. Μόλις εγκατασταθεί, συμπεριφέρεται σαν μια τυπική κακόβουλη εφαρμογή αυτού του είδους: μπορεί να παρουσιάσει στον χρήστη πλαστές φόρμες σύνδεσης για να κλέψει διαπιστευτήρια ή στοιχεία πιστωτικής κάρτας. H ESET έχει ενημερώσει την ομάδα ασφάλειας της Google σχετικά με την ανακάλυψη αυτή και η Google έχει αφαιρέσει και τις οκτώ εφαρμογές από το κατάστημά της. Οι χρήστες του που έχουν ενεργοποιήσει τη λειτουργία Google Play Protect μπορούν να χρησιμοποιήσουν μία συγκεκριμένη διαδικασία για να παραμείνουν προστατευμένοι. Οι χρήστες που έχουν κατεβάσει κάποια από τις συγκεκριμένες εφαρμογές, μπορούν να προχωρήσουν σε απεγκατάστασή τους σύμφωνα με τις οδηγίες που υπάρχουν στο σχετικό άρθρο της ESET στη σελίδα WeLiveSecurity.
  23. Η ESET ανακάλυψε μια νέα απειλή, όπου οι εισβολείς μολύνουν μη-ενημερωμένους Windows web servers με έναν κακόβουλο cryptocurrency miner, προκειμένου να εξορύξουν Monero - μια νεότερη μορφή κρυπτονομισμάτων, εναλλακτική του Bitcoin. Η εταιρία παροτρύνει τους χρήστες του Windows Server 2003 να προχωρήσουν στις ενημερώσεις ασφαλείας που έχει εκδώσει η Microsoft για να μην πέσουν θύματα της συγκεκριμένης επίθεσης εξόρυξης cryptocurrencies. Ακολουθεί σχετικό δελτίο Τύπου. Μalware για mining κρυπτονομισμάτων Monero εκμεταλλεύεται ευπάθεια της Microsoft Η ESET παροτρύνει τους χρήστες του Windows Server 2003 να προχωρήσουν στις ενημερώσεις ασφαλείας για να μην πέσουν θύματα της τελευταίας επίθεσης εξόρυξης cryptocurrencies Αθήνα, 28 Σεπτεμβρίου 2017 – Η ESET ανακάλυψε μια νέα απειλή, όπου οι εισβολείς μολύνουν μη-ενημερωμένους Windows web servers με έναν κακόβουλο cryptocurrency miner, προκειμένου να εξορύξουν Monero - μια νεότερη μορφή κρυπτονομισμάτων, εναλλακτική του Bitcoin. Η Microsoft κυκλοφόρησε τη σχετική ενημέρωση του λογισμικού της, ωστόσο, μέχρι σήμερα, σε πολλούς servers εξακολουθεί να μην έχει γίνει η εγκατάσταση της ενημέρωσης αυτής. Για να πετύχουν τους στόχους τους, οι κυβερνοεγκληματίες τροποποίησαν νόμιμο λογισμικό ανοιχτού κώδικα που κάνει εξόρυξη Monero και εκμεταλλεύτηκαν μια γνωστή ευπάθεια στην έκδοση 6.0 του Microsoft IIS για να εγκαταστήσουν κρυφά το miner σε server χωρίς ενημερώσεις. Κατά την ανάπτυξη του κακόβουλου λογισμικού mining, οι εγκληματίες δεν έκαναν καμία αλλαγή στην αυθεντική, open-source βάση κώδικα, παρά μόνο πρόσθεσαν ενσωματωμένες παράμετρους εκτέλεσης του wallet address των κυβερνοεγκληματιών και το mining pool για τα URL. Σύμφωνα με την ESET, αυτή η διαδικασία θα μπορούσε να έχει ολοκληρωθεί από τους κυβερνοεγκληματίες μέσα σε λίγα μόνο λεπτά. Ένα malware που αποφέρει κέρδη Οι ειδικοί malware της ESET πιστεύουν ότι αυτή η κακόβουλη επιχείρηση συμβαίνει από τον Μάιο του 2017. Σε αυτό το διάστημα, οι κυβερνοεγκληματίες που βρίσκονται πίσω από τη συγκεκριμένη εκστρατεία δημιούργησαν ένα botnet εκατοντάδων μολυσμένων μηχανών και απέσπασαν κέρδη που ισοδυναμούν με Monero αξίας πάνω από 63.000 αμερικάνικων δολαρίων. «Παρόλο που συγκριτικά με το Bitcoin, το συγκεκριμένο νόμισμα έχει χαμηλότερα μερίδια στην αγορά, υπάρχουν διάφοροι λόγοι για τους οποίους οι εισβολείς επέλεξαν να εξορύξουν Monero», δήλωσε ο Peter Kálnai, Malware Researcher της ESET. «Εμφανίζοντας χαρακτηριστικά όπως τις συναλλαγές που δεν εντοπίζονται και τον proof of work αλγόριθμο, γνωστό ως CryptoNight, που είναι «φιλικότερος» προς τις κεντρικές μονάδες επεξεργασίας υπολογιστών ή server, το Monero αποτελεί μια ελκυστική εναλλακτική λύση για τους εγκληματίες του κυβερνοχώρου. Η εξόρυξη Bitcoin αντίθετα, απαιτεί εξειδικευμένο hardware για mining.» Εκμετάλλευση ευπαθειών Αυτή η μορφή κακόβουλης δραστηριότητας αποτελεί απόδειξη του πόσο εύκολα, με ελάχιστες ικανότητες και χαμηλό λειτουργικό κόστος, μπορεί να προκληθεί ένα σημαντικό πρόβλημα. Στη συγκεκριμένη περίπτωση, αρκούσε η κατάχρηση ενός νόμιμου, open-source λογισμικού για εξόρυξη cryptocurrencies και η στόχευση παλαιών συστημάτων που πιθανόν να παραμείνουν χωρίς ενημερώσεις. Τον Ιούλιο του 2015, η Microsoft ολοκλήρωσε την τακτική υποστήριξη ενημερώσεων για τον Windows Server 2003 και δεν είχε κυκλοφορήσει σχετικό patch για αυτή την ευπάθεια μέχρι το φετινό Ιούνιο, οπότε οι δημιουργοί malware εντόπισαν αρκετά τρωτά σημεία στα μη ενημερωμένα συστήματα. Παρά το γεγονός ότι το σύστημα βρίσκεται μετά το τέλος του κύκλου ζωής του, η Microsoft προχώρησε σε έκδοση patches για αυτές τις κρίσιμες ευπάθειες, προκειμένου να αποφευχθεί η επανεμφάνιση μεγάλων επιθέσεων όπως της εκστρατείας WannaCry. Ωστόσο, είναι γεγονός ότι οι αυτόματες ενημερώσεις δεν λειτουργούν πάντα ομαλά και αυτό θα μπορούσε να επηρεάσει την ικανότητα του Windows Server 2003 να διατηρηθεί ενημερωμένος. «Καθώς ένας σημαντικός αριθμός συστημάτων εξακολουθεί να παραμένει ευάλωτος, συνιστάται στους χρήστες του Windows Server 2003 να προχωρήσουν το συντομότερο δυνατόν στην ενημερωμένη έκδοση ασφαλείας KB3197835 και σε άλλα κρίσιμα patches», σημειώνει ο Michal Poslušný, Malware Analyst της ESET. «Εάν οι αυτόματες ενημερώσεις δεν λειτουργήσουν, προτρέπουμε τους χρήστες να κάνουν λήψη και εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας χειροκίνητα για να αποφύγουν να πέσουν θύματα κακόβουλων επιθέσεων». Για περισσότερες πληροφορίες, επισκεφθείτε τη σελίδα WeLiveSecurity.
  24. Το CCleaner είναι ένα δωρεάν πρόγραμμα το οποίο υπόσχεται να επιταχύνει το σύστημα του χρήστη, αλλά και να προσφέρει ασφαλέστερη περιήγηση στο διαδίκτυο. Εκατομμύρια χρήστες το επιλέγουν για αυτό το σκοπό. Αν είστε ένας από αυτούς και αν κατεβάσατε στο πρόσφατο παρελθόν το CCleaner ή το CCleaner Cloud , καλό θα ήταν να προβείτε σε άμεση αναβάθμιση, αν δεν είναι εγκατεστημένη η τελευταία έκδοση του προγράμματος που χρησιμοποιείτε. Η Talos, παρακλάδι του τμήματος ασφαλείας της Cisco, ανακάλυψε ότι hackers παραβίασαν τους servers της Piriform, της εταιρίας που βρίσκεται πίσω από τα CCleaner και CCleaner Cloud και εισήγαγαν malware στον installer των προγραμμάτων. Το CCleaner διαθέτει ψηφιακή υπογραφή που του επιτρέπει να θεωρείται αυτόματα ως ασφαλής εφαρμογή κατά την εγκατάστασή του από το σύστημα. Οι προσβεβλημένες εκδόσεις των CCleaner και CCleaner Cloud, ήταν διαθέσιμες για download τον Αύγουστο. Το CCleaner Cloud διαθέτει σύστημα αυτόματης αναβάθμισης, αλλά το CCleaner όχι, οπότε είναι πιθανό ότι η έκδοση αυτή παραμένει εγκατεστημένη σε πλήθος μηχανημάτων. Οι προσβεβλημένες εκδόσεις των προγραμμάτων επιχειρούν να συνδεθούν σε πλήθος μη καταχωρημένων ιστοσελίδων, με το malware να διαδίδεται με παρόμοιο τρόπο που διαδιδόταν το NoPetya. Η Piriform προέβη σε ανάρτηση ενός blog post όπου ζητάει συγνώμη από τους χρήστες των προγραμμάτων και καλεί τους χρήστες που χρησιμοποιούν ακόμα τις εκδόσεις CCleaner 5.33.6162 και CCleaner Cloud 1.07.3191 να τις αναβαθμίσουν άμεσα. Σύμφωνα με το blog post, η εταιρία θεωρεί ότι κινήθηκε αρκετά γρήγορα, ώστε να σταματήσει την απειλή πριν αυτή προκαλέσει ζημιά.
  25. Οι ερευνητές της ESET ανακάλυψαν ένα νέο, ύπουλο κακόβουλο λογισμικό με το όνομα Joao, το οποίο εξαπλώνεται μέσω ηλεκτρονικών παιχνιδιών που δημοσιεύονται σε μη έγκυρες ιστοσελίδες. Η έρευνα της ESET έδειξε ότι οι δημιουργοί της κακόβουλης εκστρατείας καταχράστηκαν αρκετούς τίτλους παιχνιδιών της εταιρίας Aeria Games, δημοσιεύοντας τροποποιημένες εκδόσεις τους σε διάφορες, μη έγκυρες ιστοσελίδες. Από αυτές, μία κατόρθωσε να παραμείνει ενεργή στην εξάπλωση του κακόβουλου λογισμικού, η gf.ignitgames[.]to, ωστόσο οι λύσεις ασφαλείας της ESET κατόρθωσαν να την μπλοκάρουν. Ακολουθεί το σχετικό δελτίο Τύπου. Η ESET ανακάλυψε νέα απειλή με στόχο τους gamers Αθήνα, 6 Σεπτεμβρίου 2017 – Οι ερευνητές της ESET ανακάλυψαν ένα νέο, ύπουλο κακόβουλο λογισμικό με το όνομα Joao, το οποίο εξαπλώνεται μέσω ηλεκτρονικών παιχνιδιών που δημοσιεύονται σε μη έγκυρες ιστοσελίδες. Το Joao είναι ένα modular malware ικανό να κατεβάζει και να εκτελεί άλλους κακόβουλους κώδικες. «Για να εξαπλωθεί το κακόβουλο λογισμικό Joao, οι δημιουργοί του έχουν καταχραστεί τα μαζικά διαδικτυακά παιχνίδια ρόλων πολλαπλών παικτών. Τα τροποποίησαν ώστε αυτά να μπορούν να κατεβάσουν ακόμη περισσότερα κακόβουλα προγράμματα», εξηγεί ο Tomáš Gardoň, Malware Analyst στην ESET. Η έρευνα της ESET έδειξε ότι οι δημιουργοί της κακόβουλης εκστρατείας καταχράστηκαν αρκετούς τίτλους παιχνιδιών της εταιρίας Aeria Games, δημοσιεύοντας τροποποιημένες εκδόσεις τους σε διάφορες, μη έγκυρες ιστοσελίδες. Από αυτές, μία κατόρθωσε να παραμείνει ενεργή στην εξάπλωση του κακόβουλου λογισμικού, η gf.ignitgames[.]to, ωστόσο οι λύσεις ασφαλείας της ESET κατορθωσαν να την μπλοκάρουν. Τα παιχνίδια που περιείχαν το Joao μπορούσαν να συγκεντρώσουν πληροφορίες σχετικά με τον παραβιασμένο υπολογιστή και στη συνέχεια να κατεβάσουν πρόσθετα στοιχεία που έστελνε ο C&C server. Οι ερευνητές της ESET ανακάλυψαν κατά τη διάρκεια της έρευνάς ότι το Joao διέθετε δυνατότητες για επιθέσεις backdoor, κατασκοπείας και DDoS. «Η διαδικασία της μόλυνσης είναι καλά «μεταμφιεσμένη» για να ξεγελά τα θύματα και αυτά τα τροποποιημένα παιχνίδια λειτουργούν σύμφωνα με το σχέδιο των δημιουργών τους. Μόλις ο παίκτης ξεγελαστεί και προχωρήσει σε λήψη του τροποποιημένου παιχνιδιού, δεν υπάρχει κανένα στοιχείο που να εγείρει τις υποψίες του. Όσοι δεν προστατεύονται με μια αξιόπιστη λύση ασφάλειας καταλήγουν απλά με μολυσμένους υπολογιστές» προειδοποιεί ο Gardoň. Περισσότερες λεπτομέρειες σχετικά με το malware Joao – πώς λειτουργεί, πώς εντοπίζεται και πώς αφαιρείται – βρίσκονται στο σχετικό άρθρο του Tomáš Gardoň στο blog της ESET, WeLiveSecurity.com. Επίσης, οι ειδικοί της ESET έχουν συγκεντρώσει μία σειρά συμβουλών για να βοηθήσουν τους gamers να απολαμβάνουν το παιχνίδι τους χωρίς τον κίνδυνο των απειλών, μερικές από τις οποίες είναι: Προτιμήστε επίσημες πηγές όπου είναι δυνατόν. Φροντίστε τα παιχνίδια να διαθέτουν τις τελευταίες ενημερώσεις. Χρησιμοποιήστε μία αξιόπιστη λύση ασφάλειας και κρτήστε την ενεργή όσο παίζετε. Να θυμάστε ότι υπάρχουν και άλλες απειλές από τις οποίες πρέπει να προφυλαχθείτε. Ακόμη περισσότερες συμβουλές ασφάλειας για gamers από την ESET εδώ.
×
×
  • Create New...