Jump to content

Search the Community

Showing results for tags 'malware'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Categories

  • Ειδήσεις
    • Press Releases

Categories

  • Cases Reviews
  • Heatsinks, Coolers & Watercooling Reviews
  • Input Devices & Peripherals Reviews
  • Barebones, NAS, Media Players Reviews
  • SSDs, HDDs and Controllers Reviews
  • Smartphones, Tablets and Gadgets Reviews
  • VGAs, Motherboards, CPUs & RAM Reviews
  • Power Supplies Reviews
  • Software & Games Reviews
  • Από το Εργαστήρι
  • Reviews in English

Forums

  • TheLab.gr
    • Ειδήσεις
    • Reviews
    • Από το Εργαστήρι
    • Thelab.gr Νέα και σχόλια
    • Δημοσκοπήσεις
    • Παρουσιάσεις Μελών
    • Τεχνολογικοί Προβληματισμοί
  • Talk to...
    • GearBest.com
    • Geekbuying.com
    • Coolicool.com
    • TomTop.com
  • Hardware & Overclocking
    • Intel Platform
    • AMD Platform
    • Κάρτες Γραφικών
    • Μνήμες DDR/DDR2/DDR3/DDR4
    • Αποθήκευση (HDD, SSD, NAS)
    • Κουτιά
    • Ψύξη
    • Τροφοδοτικά
    • Γενικά για Η/Υ
    • Modding & DIY
    • Μετρήσεις & Αποτελέσματα Υπερχρονισμών
  • Εργαλεία και Ιδιοκατασκευές (DIY)
    • Το στέκι του μάστορα
  • Περιφερειακά
    • Οθόνες & Projectors
    • Πληκτρολόγια και ποντίκια
    • Ήχος και Multimedia
    • 3D Εκτύπωση & CNC machines
    • Εκτυπωτές
    • Λοιπά Περιφερειακά
    • VR Technology
  • Software & Δίκτυα
    • Windows
    • Linux
    • Mac OS
    • Δίκτυα & Internet
    • Antivirus & Security
  • Gaming
    • PC Gaming
    • Steam & άλλες κοινότητες
    • Console & Handheld Gaming
  • Κινητές πλατφόρμες
    • Φορητοί υπολογιστές
    • Smartphones
    • Tablets
    • Gadgets, GPS, κτλ
    • Γενική Συζήτηση
  • Φωτογραφία κι εξοπλισμός
    • Φωτογραφικές μηχανές και λοιπά αξεσουάρ
    • Φωτογραφίες, επεξεργασία και δοκιμές
  • IT Section
    • Servers & hardware
    • Server OS & Virtualisation
    • Networking
    • Databases
    • Programming & Scripting
    • Web Development & DTP
  • Προσφορές & καταστήματα
    • Προσφορές και ευκαιρίες αγορών
    • Τι-Που-Πόσο
  • Το Παζάρι
    • Πωλήσεις
    • Ζήτηση
  • Γενική Συζήτηση
    • Off topic
    • The Jungle
    • Forum Δοκιμών
    • Αρχείο

Calendars

  • Ημερολόγιο Κοινότητας
  • Ημερολόγιο Gaming

Blogs

  • in|security
  • freesoft.gr
  • Virtual[DJD]
  • Οι αυτοματισμοί του τεμπέλη...

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Skype


Website URL


Περιοχή


Ενδιαφέροντα


Επάγγελμα


Steam


Biography

Found 70 results

  1. Οι ερευνητές της ESET ανακάλυψαν ένα νέο Android Trojan, που στοχεύει στην επίσημη εφαρμογή PayPal ενώ είναι ικανό να παρακάμπτει τον έλεγχο πιστοποίησης δύο παραγόντων του PayPal. Το Trojan, που εντοπίστηκε πρώτη φορά από την ESET το Νοέμβριο του 2018, συνδυάζει τις δυνατότητες ενός banking Trojan που ελέγχεται απομακρυσμένα, με μία καινούρια μορφή κατάχρησης των λειτουργιών προσβασιμότητας του Android, στοχεύοντας χρήστες της επίσημης εφαρμογής PayPal. Μέχρι στιγμής, το malware εμφανίζεται ως εργαλείο βελτιστοποίησης της διάρκειας της μπαταρίας και διανέμεται μέσω τρίτων καταστημάτων εφαρμογών. Μόλις εγκατασταθεί, η κακόβουλη εφαρμογή τερματίζεται χωρίς να προσφέρει κάποια λειτουργία και το εικονίδιο της εξαφανίζεται. Από εκεί και πέρα, οι ερευνητές εντόπισαν ότι συνεχίζει με δύο τρόπους. Ακολουθεί το σχετικό δελτίο τύπου. Η ESET εντόπισε Trojan που κλέβει χρήματα από λογαριασμούς PayPal σε Android Το Trojan μπορεί να παρακάμψει την πιστοποίηση 2FA του PayPal Αθήνα, 12 Δεκεμβρίου 2018 – Οι ερευνητές της ESET ανακάλυψαν ένα νέο Android Trojan, που στοχεύει στην επίσημη εφαρμογή PayPal ενώ είναι ικανό να παρακάμπτει τον έλεγχο πιστοποίησης δύο παραγόντων του PayPal. Το Trojan, που εντοπίστηκε πρώτη φορά από την ESET το Νοέμβριο του 2018, συνδυάζει τις δυνατότητες ενός banking Trojan που ελέγχεται απομακρυσμένα, με μία καινούρια μορφή κατάχρησης των λειτουργιών προσβασιμότητας του Android, στοχεύοντας χρήστες της επίσημης εφαρμογής PayPal. Μέχρι στιγμής, το malware εμφανίζεται ως εργαλείο βελτιστοποίησης της διάρκειας της μπαταρίας και διανέμεται μέσω τρίτων καταστημάτων εφαρμογών. Μόλις εγκατασταθεί, η κακόβουλη εφαρμογή τερματίζεται χωρίς να προσφέρει κάποια λειτουργία και το εικονίδιο της εξαφανίζεται. Από εκεί και πέρα, οι ερευνητές εντόπισαν ότι συνεχίζει με δύο τρόπους. Εικόνα 1 – Η μεταμφίεση που χρησιμοποιείται από το κακόβουλο λογισμικό στην παρούσα φάση Στον πρώτο τρόπο, το malware εμφανίζει μια ειδοποίηση που ζητά από τον χρήστη να την εκκινήσει. Μόλις ο χρήστης ανοίξει την εφαρμογή PayPal και συνδεθεί, η κακόβουλη υπηρεσία προσβασιμότητας (εάν έχει ενεργοποιηθεί προηγουμένως από το χρήστη) μιμείται τα κλικ του χρήστη για να στείλει χρήματα στη διεύθυνση PayPal του εισβολέα. Κατά την ανάλυση των ερευνητών, η εφαρμογή προσπάθησε να μεταφέρει 1.000 ευρώ, ωστόσο, το νόμισμα που χρησιμοποιείται εξαρτάται από την τοποθεσία του χρήστη. Η όλη διαδικασία διαρκεί περίπου 5 δευτερόλεπτα, και για έναν ανυποψίαστο χρήστη, δεν υπάρχει εφικτός τρόπος να επέμβει έγκαιρα. Επειδή το malware δεν βασίζεται στην κλοπή των διαπιστευτηρίων σύνδεσης του PayPal και αντίθετα περιμένει τους χρήστες να συνδεθούν οι ίδιοι, μπορεί να παρακάμπτει τον έλεγχο ταυτότητας δύο παραγόντων του PayPal. Η επίθεση αποτυγχάνει μόνο αν ο χρήστης έχει ανεπαρκές υπόλοιπο PayPal και δεν έχει συνδέσει στο λογαριασμό του κάποια κάρτα πληρωμής. Το PayPal έχει ενημερωθεί από την ESET για την κακόβουλη τεχνική που χρησιμοποιείται από αυτό το Trojan και για το ποιον λογαριασμό PayPal χρησιμοποιεί ο εισβολέας για να λάβει τα κλεμμένα χρήματα. Στο δεύτερο τρόπο, τα κακόβουλα apps προβάλλουν πέντε νόμιμες εφαρμογές με επικάλυψη οθόνης - το Google Play, το WhatsApp, το Skype, το Viber και το Gmail, δεν είναι δυνατόν όμως να κλείσουν από τους χρήστες, παρά μόνο αν συμπληρωθεί μία πλαστή φόρμα στοιχείων. Οι ερευνητές διαπίστωσαν ότι ακόμη και με την υποβολή ψεύτικων στοιχείων, η οθόνη εξαφανιζόταν. Ωστόσο, ο κώδικας του malware περιέχει συμβολοσειρές που ισχυρίζονται ότι το τηλέφωνο του θύματος έχει κλειδωθεί λόγω προβολής υλικού παιδικής πορνογραφίας και μπορεί να ξεκλειδωθεί μόνο αν σταλεί ένα email σε μια συγκεκριμένη διεύθυνση. Εικόνα 2 – Κακόβουλες οθόνες επικάλυψης για τις εφαρμογές Google Play, WhatsApp, Viber και Skype Εικόνα 3 – Κακόβουλη οθόνη επικάλυψης που ψαρεύει διαπιστευτήρια του Gmail Εκτός από τις δύο αυτές βασικές λειτουργίες, και ανάλογα με τις εντολές που λαμβάνει από το διακομιστή C&C, το κακόβουλο λογισμικό μπορεί επίσης να στείλει ή να διαγράψει SMS, να κατεβάσει τη λίστα επαφών, να πραγματοποιήσει ή να προωθήσει κλήσεις, να εγκαταστήσει και να τρέξει εφαρμογές κ.ά.. Η ESET συμβουλεύει τους χρήστες που έχουν εγκαταστήσει το συγκεκριμένο Trojan να ελέγξουν τον τραπεζικό τους λογαριασμό για ύποπτες συναλλαγές και να αλλάξουν τους κωδικούς internet banking, τα PIN καθώς και τους κωδικούς πρόσβασης στο Gmail. Σε περίπτωση μη εξουσιοδοτημένων συναλλαγών PayPal, μπορούν να αναφέρουν το πρόβλημα στο Κέντρο Ανάλυσης του PayPal. Για τους χρήστες συσκευών που δεν μπορούν να χρησιμοποιηθούν λόγω επικάλυψης οθόνης, η ESET συνιστά να χρησιμοποιήσουν την ασφαλή λειτουργία του Android, και να καταργήσουν την εφαρμογή που ονομάζεται «Optimization Android» στην ενότητα Application manager/Apps στις ρυθμίσεις της συσκευής. Για να είναι ασφαλείς από το κακόβουλο λογισμικό Android στο μέλλον, η ESET συνιστά στους χρήστες να: • Εμπιστεύονται μόνο το επίσημο κατάστημα Google Play για τη λήψη εφαρμογών. • Να ελέγχουν τον αριθμό των εγκαταστάσεων, τις αξιολογήσεις και το περιεχόμενο των κριτικών πριν από τη λήψη εφαρμογών από το Google Play. • Να είναι προσεκτικοί με τα δικαιώματα πρόσβασης στις εφαρμογές που εγκαθιστούν. • Να διατηρούν την Android συσκευή τους ενημερωμένη και να χρησιμοποιούν μια αξιόπιστη λύση ασφάλειας για κινητά. Οι λύσεις ESET ανιχνεύουν αυτές τις απειλές ως Android/Spy.Banker.AJZ και Android/Spy.Banker.AKB. Περισσότερες πληροφορίες μπορείτε να βρείτε στο σχετικό άρθρο στο blog WeliveSecurity.com.
  2. Η ESET προειδοποιεί τους χρήστες συσκευών iOS να είναι προσεκτικοί, καθώς εντοπίστηκαν πολλές εφαρμογές, που υποτιθέμενα βοηθούν στην παρακολούθησης της φυσικής κατάστασης, ενώ στην πραγματικότητα χρησιμοποιούν τη λειτουργία Touch ID της Apple για να κλέψουν χρήματα. Ακολουθεί το σχετικό δελτίο τύπου. Πλαστή εφαρμογή iOS υπόσχεται την παρακολούθηση της φυσικής κατάστασης, στην πραγματικότητα όμως κλέβει χρήματα, προειδοποιεί η ESET Αθήνα, 4 Δεκεμβρίου 2018 – Η ESET προειδοποιεί τους χρήστες συσκευών iOS να είναι προσεκτικοί, καθώς εντοπίστηκαν πολλές εφαρμογές, που υποτιθέμενα βοηθούν στην παρακολούθησης της φυσικής κατάστασης, ενώ στην πραγματικότητα χρησιμοποιούν τη λειτουργία Touch ID της Apple για να κλέψουν χρήματα. Ανάμεσα στις πολλές εφαρμογές που βοηθούν τους χρήστες στην προσπάθεια τους για έναν πιο υγιεινό τρόπο ζωής, τα apps «Fitness Balance» και «Calories Tracker» υπόσχονταν υπολογισμό ΔΜΣ, καθημερινή παρακολούθηση θερμίδων ή να υπενθυμίζουν στους χρήστες να πίνουν περισσότερα νερό. Ωστόσο, αυτές οι εφαρμογές έχουν ένα απροσδόκητα βαρύ αντίτιμο, σύμφωνα με τους χρήστες του Reddit. Την πρώτη φορά που ο χρήστης ενεργοποιήσει μία από τις δύο αυτές εφαρμογές, του ζητείται σάρωση των δακτυλικών του αποτυπωμάτων ώστε να του «προβάλουν προσωποποιημένες συστάσεις για την παρακολούθηση των θερμίδων και της διατροφής» (Εικόνα 1). Εικόνα 1 – Πλαστές εφαρμογές στο App Store της Apple ζητούν από τους χρήστες τη σάρωση των δακτυλικών αποτυπωμάτων τους (Προέλευση εικόνας: Reddit) Κατόπιν, εμφανίζεται ένα αναδυόμενο παράθυρο που ζητά την πληρωμή 99,99, 119,99 δολαρίων ή 139,99 ευρώ (Εικόνα 2), για να μπορέσει ο χρήστης να συνεχίσει να χρησιμοποιεί την εφαρμογή. Αυτό το αναδυόμενο παράθυρο εμφανίζεται μόνο για περίπου ένα δευτερόλεπτο, ωστόσο, εάν ο χρήστης έχει μια πιστωτική ή χρεωστική κάρτα συνδεδεμένη απευθείας με τον λογαριασμό του στην Apple, η συναλλαγή επαληθεύεται και τα χρήματα μεταφέρονται. Εικόνα 2 – Το αναδυόμενο παράθυρο που ζητά πληρωμή στις εφαρμογές «Fitness Balance» και «Calories Tracker» (Προέλευση εικόνας: Reddit) Αν οι χρήστες αρνηθούν τη σάρωση δακτυλικών αποτυπωμάτων στην εφαρμογή «Fitness Balance» εμφανίζεται ένα άλλο αναδυόμενο παράθυρο, ζητώντας τους να πατήσουν το κουμπί «Συνέχεια» για να μπορέσουν να χρησιμοποιήσουν την εφαρμογή. Αν συμμορφωθούν, η εφαρμογή προσπαθεί ξανά να επαναλάβει την επιθετική διαδικασία πληρωμής. Παρά την κακόφημη φύση της, η εφαρμογή «Fitness Balance» έλαβε πολλές αξιολογήσεις 5 αστέρων, είχε μέση βαθμολογία 4,3 αστέρων και έλαβε τουλάχιστον 18 θετικές κριτικές. Η δημοσίευση πλαστών θετικών αξιολογήσεων είναι μια πολύ γνωστή τεχνική, που χρησιμοποιείται από τους απατεώνες για τη βελτίωση της φήμης των εφαρμογών τους. Τα θύματα ανέφεραν ήδη και τις δύο εφαρμογές στην Apple, γεγονός που οδήγησε στην απομάκρυνσή τους από το κατάστημα. Οι χρήστες προσπάθησαν ακόμη να επικοινωνήσουν απευθείας με τον προγραμματιστή της εφαρμογής «Fitness Balance», αλλά έλαβαν μόνο μια γενική απάντηση με την υπόσχεση να διορθωθούν τα αναφερόμενα «ζητήματα» στην επικείμενη έκδοση 1.1. Και οι δύο εφαρμογές, λαμβάνοντας υπόψη το περιβάλλον εργασίας και τη λειτουργικότητα, πιθανότατα έχουν δημιουργηθεί από τον ίδιο προγραμματιστή. Οι χρήστες έχουν επίσης δημοσιεύσει βίντεο για τις εφαρμογές «Fitness Balance» και «Calories Tracker» στο Reddit. Δεδομένου ότι η Apple δεν επιτρέπει λύσεις ασφαλείας στο App Store, οι χρήστες πρέπει να βασίζονται στα μέτρα ασφαλείας που εφαρμόζει η Apple. Επιπλέον, η ESET συμβουλεύει τους χρήστες να διαβάζουν πάντα τις αξιολογήσεις των υπόλοιπων χρηστών. Καθώς πολλές φορές τα θετικά σχόλια είναι πλαστά, οι αρνητικές κριτικές είναι πιο πιθανό να αποκαλύψουν την πραγματική φύση της εφαρμογής. Οι χρήστες iPhone X μπορούν επίσης να ενεργοποιήσουν μια πρόσθετη λειτουργία που ονομάζεται «Double Click to Pay», η οποία απαιτεί να κάνουν διπλό κλικ στο πλευρικό κουμπί για να επαληθεύσουν μια πληρωμή. Όσοι χρήστες έχουν ήδη πέσει θύμα αυτής της απάτης, μπορούν επίσης να προσπαθήσουν να διεκδικήσουν επιστροφή χρημάτων από το App Store της Apple.
  3. Η ESET έχει ανακαλύψει στοιχεία που αποδεικνύουν ότι η περιβόητη ομάδα κυβερνοεγκληματιών TeleBots σχετίζεται με το Industroyer, το πιο ισχυρό malware της εποχής μας, που επιτίθεται σε βιομηχανικά συστήματα και ευθύνεται για τη διακοπή ρεύματος στην πρωτεύουσα της Ουκρανίας, το Κίεβο, το 2016. Η ομάδα TeleBots έκανε επίδειξη των ικανοτήτων της με το κακόβουλο λογισμικό (Not)Petya, που διαγράφοντας αρχεία συστήματος παρέλυσε το 2017 επιχειρησιακές δραστηριότητες σε όλο τον κόσμο. Παράλληλα, η ομάδα κυβερνοεγκληματιών απέδειξε τις σχέσεις της με το BlackEnergy, το οποίο χρησιμοποιήθηκε στην πρώτη διακοπή ρεύματος που προκάλεσε ποτέ malware στην Ουκρανία το 2015, για να ακολουθήσει μετά από ένα χρόνο η διακοπή ρεύματος που προκάλεσε το Industroyer. Ακολουθεί σχετικό δελτίο με σχετικό πληροφοριακό γράφημα. Οι ερευνητές της ESET ανακάλυψαν ότι σημαντικές κυβερνοεπιθέσεις σχετίζονται μεταξύ τους Πίσω από το ransomware (Not)Petya και το Industroyer, το πρώτο malware με άμεσες επιπτώσεις σε βιομηχανικά συστήματα, εντοπίζεται μία κοινή ομάδα κυβερνοεγκληματιών 11 Οκτωβρίου 2018 –Η ESET έχει ανακαλύψει στοιχεία που αποδεικνύουν ότι η περιβόητη ομάδα κυβερνοεγκληματιών TeleBots σχετίζεται με το Industroyer, το πιο ισχυρό malware της εποχής μας, που επιτίθεται σε βιομηχανικά συστήματα και ευθύνεται για τη διακοπή ρεύματος στην πρωτεύουσα της Ουκρανίας, το Κίεβο, το 2016. Η ομάδα TeleBots έκανε επίδειξη των ικανοτήτων της με το κακόβουλο λογισμικό (Not)Petya, που διαγράφοντας αρχεία συστήματος παρέλυσε το 2017 επιχειρησιακές δραστηριότητες σε όλο τον κόσμο. Παράλληλα, η ομάδα κυβερνοεγκληματιών απέδειξε τις σχέσεις της με το BlackEnergy, το οποίο χρησιμοποιήθηκε στην πρώτη διακοπή ρεύματος που προκάλεσε ποτέ malware στην Ουκρανία το 2015, για να ακολουθήσει μετά από ένα χρόνο η διακοπή ρεύματος που προκάλεσε το Industroyer. «Οι υποψίες για σύνδεση μεταξύ του Industroyer και της ομάδας TeleBots προέκυψαν λίγο μετά την επίθεση του Industroyer στο ουκρανικό δίκτυο ηλεκτρικής ενέργειας», αναφέρει ο Ερευνητής της ESET Anton Cherepanov, επικεφαλής των ερευνών για το Industroyer και το NotPetya. «Ωστόσο, κανένα αποδεικτικό στοιχείο δεν είχε δημοσιοποιηθεί - μέχρι τώρα». Τον Απρίλιο του 2018, η ESET ανακάλυψε νέα δραστηριότητα της ομάδας TeleBots: την προσπάθεια για ένα νέο backdoor, το οποίο η ESET ανιχνεύει ως Exaramel. Η ανάλυση της ESET δείχνει ότι αυτό το backdoor είναι μια βελτιωμένη έκδοση του αρχικού backdoor Industroyer και πρόκειται για το πρώτο αποδεικτικό στοιχείο που συνδέει το Industroyer με την ομάδα TeleBots. «Η ανακάλυψη του Exaramel δείχνει ότι η ομάδα TeleBots εξακολουθεί να είναι ενεργή το 2018 και οι κυβερνοεγκληματίες συνεχίζουν να βελτιώνουν τα εργαλεία και τις τακτικές τους», καταλήγει ο Cherepanov. «Θα συνεχίσουμε να παρακολουθούμε τη δραστηριότητα αυτής της ομάδας» . Περισσότερες πληροφορίες σχετικά με τα στοιχεία που αποδεικνύουν ότι το Industroyer σχετίζεται με την ομάδα TeleBots βρίσκονται στο σχετικό άρθρο στο blog της ESET, WeLiveSecurity. Σημείωση: Όταν η ομάδα ερευνών της ESET αναφέρεται λεπτομερώς σε κυβερνοεπιθέσεις και εντοπίζει εγκληματικές ομάδες στον κυβερνοχώρο, βασίζεται σε τεχνικούς δείκτες για να δημιουργήσει συνδέσμους μεταξύ τους, όπως ομοιότητες κώδικα, κοινές υποδομές Command & Control, αλυσίδες εκτέλεσης malware και άλλα στοιχεία. Δεδομένου ότι η ESET δεν συμμετέχει σε επί τόπου έρευνες των οργάνων επιβολής νόμου ή έρευνες των Υπηρεσιών Πληροφοριών, δεν μπορεί να προβεί σε εικασίες για ενδεχόμενη εμπλοκή εθνικού κράτους σε αυτές τις επιθέσεις
  4. Οι ερευνητές της ESET ανακάλυψαν πολλά πρόσθετα για το δημοφιλές media player ανοιχτού κώδικα Kodi, τα οποία ευθύνονται για τη διανομή κακόβουλων προγραμμάτων εξόρυξης κρυπτονομισμάτων σε Linux και Windows. Οι πέντε χώρες που έχουν πληγεί περισσότερο, σύμφωνα με την τηλεμετρία της ESET, είναι οι Ηνωμένες Πολιτείες, το Ισραήλ, η Ελλάδα, το Ηνωμένο Βασίλειο και οι Κάτω Χώρες. Ακολουθεί σχετικό δελτίο Τύπου. Η ESET εντόπισε πρόσθετα του media player Kodi πίσω από εκστρατείες cryptomining Κρούσματα εντοπίστηκαν και στην Ελλάδα 13 Σεπτεμβρίου 2018 – Οι ερευνητές της ESET ανακάλυψαν πολλά πρόσθετα για το δημοφιλές media player ανοιχτού κώδικα Kodi, τα οποία ευθύνονται για τη διανομή κακόβουλων προγραμμάτων εξόρυξης κρυπτονομισμάτων σε Linux και Windows. Οι πέντε χώρες που έχουν πληγεί περισσότερο, σύμφωνα με την τηλεμετρία της ESET, είναι οι Ηνωμένες Πολιτείες, το Ισραήλ, η Ελλάδα, το Ηνωμένο Βασίλειο και οι Κάτω Χώρες. Εικόνα – Γεωγραφική διανομή των ανιχνεύσεων του cryptominer από την ESET Ο εντοπισμός των κρουσμάτων στις συγκεκριμένες χώρες δεν προκαλεί έκπληξη στους ερευνητές της ESET, καθώς πρόκειται για τις πέντε κορυφαίες χώρες στη λίστα με την υψηλότερη κυκλοφορία του Kodi σύμφωνα με τα πρόσφατα «Unofficial Kodi Addon Community Stats». Άλλες πιθανές εξηγήσεις για τη γεωγραφική κατανομή των κρουσμάτων είναι τα ειδικά builds του Kodi για κάθε χώρα που περιέχουν τα κακόβουλα repositories, καθώς και τα κακόβουλα αποθετήρια με βάσεις χρηστών στις εν λόγω χώρες, όπως συμβαίνει στην περίπτωση του ολλανδικού repository XvBMC. Όσοι χρησιμοποιούν το Kodi, πιθανά παρατήρησαν ότι το XvBMC έκλεισε πρόσφατα μετά από προειδοποιήσεις για παραβίαση πνευματικών δικαιωμάτων. Τότε ανακαλύφθηκε ότι το αποθετήριο ήταν - πιθανώς εν αγνοία τους - μέρος μιας κακόβουλης εκστρατείας cryptomining, που χρονολογείται από τον Δεκέμβριο του 2017. Σύμφωνα με τους ερευνητές της ESET, το κακόβουλο λογισμικό έχει αρχιτεκτονική πολλών επιπέδων και χρησιμοποιεί τεχνάσματα για να εξασφαλίσει ότι το τελικό ωφέλιμο φορτίο του - το cryptominer - δεν μπορεί εύκολα να εντοπιστεί από ποιο κακόβουλο add-on προέρχεται. Το cryptominer τρέχει σε Windows και Linux και εξορύσσει το κρυπτονόμισμα Monero (XMR). Οι ερευνητές της ESET δεν έχουν εντοπίσει έκδοση in-the-wild που να επιτίθεται σε συσκευές Android ή macOS. Στην παρούσα φάση, τα repositories από όπου άρχισε αρχικά η διάδοση του κακόβουλου λογισμικού είτε δεν λειτουργούν (όπως το αποθετήριο Bubbles) είτε δεν εξυπηρετούν πλέον τον κακόβουλο κώδικα (περίπτωση Gaia). Ωστόσο, τα θύματα που έχουν εγκατεστημένο στις συσκευές τους το cryptominer εξακολουθούν να επηρεάζονται. Εκτός αυτού, το κακόβουλο λογισμικό εξακολουθεί να υπάρχει σε άλλα αποθετήρια και μερικά έτοιμα προς χρήση builds του Kodi, πιθανότατα χωρίς τη γνώση των δημιουργών τους. Εάν χρησιμοποιείτε το Kodi σε μια συσκευή Windows ή Linux και έχετε εγκαταστήσει πρόσθετα από repositories τρίτων ή έτοιμα προς χρήση builds του Kodi, υπάρχει πιθανότητα να έχετε επηρεαστεί από αυτή την εκστρατεία cryptomining. Για να ελέγξετε αν έχει παραβιαστεί η συσκευή σας, σαρώστε το με μια αξιόπιστη λύση anti-malware. Οι λύσεις της ESET ανιχνεύουν και αφαιρούν αυτές τις απειλές ως Win64/CoinMiner.II και Win64/CoinMiner.MK σε Windows και ως Linux/CoinMiner.BC, Linux/CoinMiner.BJ, Linux/CoinMiner.BK, και Linux/CoinMiner.CU σε Linux. Οι χρήστες Windows μπορούν να χρησιμοποιήσουν το ESET Free Online Scanner, ενώ οι χρήστες Linux τη λύση ESET NOD32 Antivirus για Linux Desktop, που διατίθεται σε δωρεάν δοκιμαστική έκδοση, για να ελέγξουν αν ο υπολογιστής τους έχει μολυνθεί από αυτές τις απειλές και να αφαιρέσουν οτιδήποτε εντοπιστεί. Οι χρήστες των λύσεων ESET προστατεύονται αυτόματα Εκτενέστερη περιγραφή της εκστρατείας cryptomining από τα πρόσθετα του media player Kodi βρίσκονται στην σχετική τεχνική ανάλυση του ερευνητή της ESET Kaspars Osis στο blog WeliveSecurity.com.
  5. Δεν είναι λίγοι αυτοί που επιλέγουν να εγκαταστήσουν στο σύστημά τους ένα Android emulator. Ένα Android emulator επιτρέπει να παίζουμε κάποια αγαπημένα mobile παιχνίδια που έχουμε στο κινητό μας, σε μεγάλη οθόνη, χωρίς να "σκοτώνουμε" την μπαταρία του κινητού, αλλά και να τρέχουμε εφαρμογές που ίσως δεν βρίσκουμε στα windows ή στο Linux. Ένα από τα γνωστά Android emulators είναι και το Andy OS, το οποίο όμως τώρα κατηγορείται ότι εγκαθιστά κρυφά miner για ψηφιακά νομίσματα κατά την εγκατάστασή του. Όπως φαίνεται και στο παρακάτω βίντεο που ανέβασε ένας χρήστης, κατά την εγκατάσταση του Andy OS, εγκαθίσταται και κάποια άλλη εφαρμογή η οποία εμφανίζεται στις διαδικασίες με την ονομασία updater.exe. Το updater.exe δεν φαίνεται να περιλαμβάνεται στον installer του Andy OS, αλλά εγκαθίσταται κατά την διάρκεια της εγκατάστασης του Andy OS, μέσω διαδικτύου. Το αποτέλεσμα είναι αυξημένη χρήση της GPU, με παράλληλα χαμηλότερες επιδόσεις στα παιχνίδια ή άλλες εφαρμογές που χρησιμοποιούν αυτή. Σύμφωνα με ένα εκπρόσωπο από την Andy, το Andy OS αξιοποιεί τεχνολογία blockchain και για αυτό ανιχνεύεται ως κακόβουλο λογισμικό. Σύμφωνα με άλλον εκπρόσωπο της Andy, ο miner δεν είναι μέρος του Andy OS και εγκαθίσταται μέσω κάποιου "third party installation file". Το κατά πόσο η Andy θα δώσει μια πειστική εξήγηση όσον αφορά το updater.exe, μένει να το δούμε. Μέχρι τότε, αν χρησιμοποιείτε το Andy OS, ίσως θα ήταν καλή ιδέα να σκεφτείτε την προσωρινή έστω αντικατάστασή του με άλλον emulator.
  6. Τελευταίες πληροφορίες θέλουν ένα malware, το οποίο φέρει την ονομασία VPNFilter, να διαδίδεται ταχύτατα σε συσκευές των Linksys, MikroTik, NETGEAR, TP-Link και QNAP, χωρίς η λίστα αυτή να θεωρείται ακόμα πλήρης. Επίσης η Draytek από την μεριά της προειδοποίησε για κενό ασφαλείας σε περισσότερες από 700 χιλιάδες συσκευές της. Όσον αφορά το malware, σύμφωνα με την Cisco, το VPNFilter έχει καταφέρει να προσβάλει μισό εκατομμύριο συσκευές σε τουλάχιστον 54 χώρες και διαδίδεται ταχύτατα. Επηρεάζει τόσο δικτυακό εξοπλισμό σε μικρές επιχειρήσεις και γραφεία, όσο και συσκευές NAS της QNAP. Σύμφωνα με το τμήμα κυβερνοασφάλειας Talos της Cisco, υπεύθυνη για το malware αυτό φαίνεται να είναι η Ρωσική κυβέρνηση. Το VPNFilter επιτρέπει σε hackers να κατασκοπεύσουν μέσω των προσβαλλόμενων συσκευών ή να τις αξιοποιήσουν αυτές σε DDoS επιθέσεις. Δεν είναι γνωστό πως διαδίδεται το VPNFilter, αλλά φαίνεται να στοχεύει κυρίως δικτυακό εξοπλισμό με γνωστά κενά ασφαλείας ή παλαιότερο λογισμικό. Η Cisco προτρέπει τους κατόχους των συσκευών που έχουν προσβληθεί, να τις γυρίσουν στις εργοστασιακές ρυθμίσεις, ώστε να αφαιρεθεί το malware. Η DrayTek αυτές τις μέρες προειδοποίησε τους κατόχους συσκευών router και DSL modems της σειράς Vigor, ότι βρέθηκε να κενό ασφαλείας το οποίο θα μπορούσε να επιτρέψει σε κάποιον να υποκλέψει ή να δημιουργήσει ένα administration session. Αυτό θα του επέτρεπε εν συνεχεία να αλλάξει τις ρυθμίσεις στο router. Αυτού του τύπου η επίθεση, είναι δυνατή μόνο σε web enabled συσκευές, ακόμα και στην περίπτωση που η δυνατότητα remote access είναι απενεργοποιημένη. Η εταιρία προτρέπει τους κατόχους των συσκευών που είναι ευπαθείς σε αυτό το κενό ασφαλείας, να ελέγξουν τους DNS servers, να χρησιμοποιούν μόνο ασφαλείς TLS 1.2 συνδέσεις και να απενεργοποιήσουν την δυνατότητα remote admin, έως ότου προβούν σε αναβάθμιση με το σχετικό firmware update που διορθώνει το πρόβλημα.
  7. Η Dr. Web είναι μια Ρωσική εταιρία που παρέχει προγράμματα antivirus. Στις αρχές του μήνα η εταιρία ανανέωσε την λίστα φτηνών Κινέζικων συσκευών Android στα οποία είχε ανιχνεύσει το trojan Android.Triada.231. Το trojan αυτό είχε ανιχνευτεί για πρώτη φορά στα μέσα του 2017, σε μικρό αριθμό συσκευών οι οποίες έρχονταν με μολυσμένο firmware. Από τότε ο αριθμός αυτός αυξάνεται συνεχώς. Στην τελευταία ενημέρωση της εταιρίας, ο αριθμός των συσκευών έφτασε τις 42. Ανάμεσα σε αυτές και αρκετά μοντέλα Leagoo, με την Leagoo να μιλάει για λάθος και να απειλεί με μηνύσεις όσους αναπαραγάγουν σχετικές ειδήσεις. Σύμφωνα με την τελευταία ενημέρωση της Dr. Web, η οποία βρίσκεται εδώ, το Android.Triada.231 είναι ένα από τα πλέον επικίνδυνα trojans. Προσβάλει το Zygote, το οποίο είναι μέρος του Android συστήματος και χρησιμοποιείται προκειμένου να εκτελεί όλες τις εφαρμογές Android. Με αυτό το τρόπο το trojan προσβάλει άλλες εφαρμογές και εκτελεί κακόβουλες ενέργειες, εν αγνοία του χρήστη. Σε αυτές περιλαμβάνονται το κατέβασμα και εκτέλεση άλλου κακόβουλου λογισμικού. Σύμφωνα με την Dr. Web, οι κυβερνοεγκληματίες εισάγουν το trojan στην βιβλιοθήκη συστήματος libandroid_runtime.so κατά την κατασκευή της συσκευής, οπότε αυτή έρχεται προσβεβλημένη στα χέρια των καταναλωτών. Η Dr. Web αναφέρει ότι είχε ήδη ενημερώσει τους κατασκευαστές των συσκευών που βρέθηκαν προσβεβλημένες με το Android.Triada.231, αλλά οι κατασκευαστές συνέχισαν να κυκλοφορούν νέα μοντέλα που συνέχιζαν να ενσωματώνουν το κακόβουλο αυτό λογισμικό. Ένα παράδειγμα τέτοιας συσκευής ήταν το Leagoo M9 που κυκλοφόρησε τον Δεκέμβριο του 2017. Η λίστα των συσκευών που έχουν ανιχνευτεί με το Android.Triada.231 είναι η παρακάτω: Leagoo M5 Leagoo M5 Plus Leagoo M5 Edge Leagoo M8 Leagoo M8 Pro Leagoo Z5C Leagoo T1 Plus Leagoo Z3C Leagoo Z1C Leagoo M9 ARK Benefit M8 Zopo Speed 7 Plus UHANS A101 Doogee X5 Max Doogee X5 Max Pro Doogee Shoot 1 Doogee Shoot 2 Tecno W2 Homtom HT16 Umi London Kiano Elegance 5.1 iLife Fivo Lite Mito A39 Vertex Impress InTouch 4G Vertex Impress Genius myPhone Hammer Energy Advan S5E NXT Advan S4Z Advan i5E STF AERIAL PLUS STF JOY PRO Tesla SP6.2 Cubot Rainbow EXTREME 7 Haier T51 Cherry Mobile Flare S5 Cherry Mobile Flare J2S Cherry Mobile Flare P1 NOA H6 Pelitt T1 PLUS Prestigio Grace M5 LTE BQ-5510 Strike Power Max 4G (Russia) Ενδεχομένως να υπάρχουν και άλλες συσκευές που περιλαμβάνουν το εν λόγω trojan και οι οποίες απλά ακόμα δεν έχουν ελεγχθεί. Όπως αναφέρθηκε και αρχικά η Leagoo αντέδρασε στα παραπάνω νέα, δεδομένου και του μεγάλου αριθμού συσκευών της εταιρίας στην παραπάνω λίστα. Η Leagoo ισχυρίζεται ότι οι αναφορές είναι εσφαλμένες και ότι οι ανιχνεύσεις κακόβουλου λογισμικό στις συσκευές της, είναι αποτέλεσμα λανθασμένων ανιχνεύσεων συγκεκριμένων APK εφαρμογών, που σχετίζονται με διαφημίσεις, ως κακόβουλων. Επιπλέον ισχυρίζεται ότι από την στιγμή που αναφέρθηκε το πρόβλημα, η εταιρία έχει ήδη προχωρήσει σε αναβαθμίσεις του Android OS των συσκευών της ώστε να αποφεύγονται οι λανθασμένες αυτές ανιχνεύσεις. Μάλιστα η εταιρία προειδοποιεί ότι θα κινηθεί νομικά εναντίον των δημοσιεύσεων που δείχνουν τις συσκευές της να έχουν εγκατεστημένο κακόβουλο λογισμικό, αφού όπως αναφέρει, η δημοσιοποίηση της παραπάνω λίστας είχε ιδιαίτερα αρνητική επίδραση στην φήμη της εταιρίας. Η Leagoo κλείνει την ανακοίνωσή της αναφέροντας ότι το όλο πρόβλημα δημιουργήθηκε εξαιτίας διαφορετικών μεθόδων ανίχνευσης κακόβουλου λογισμικού από Κινεζικές εφαρμογές antivirus και ξένες εφαρμογές antivirus και ότι πλέον σκοπεύει να υιοθετήσει και τις ξένες μεθόδους ανίχνευσης, ώστε να μην επαναληφθούν παρόμοια προβλήματα στο μέλλον. Προτείνεται σε όποιον διαθέτει συσκευή Leagoo και υποψιάζεται ότι αυτή είναι μολυσμένη, να προχωρήσει άμεσα σε αναβάθμιση στην τελευταία έκδοση του λειτουργικού για την συσκευή του. Μπορείτε να διαβάσετε την ανακοίνωση της Leagoo εδώ.
  8. Σύμφωνα με την AdGuard Research, πάνω από 20 εκατομμύρια χρήστες του Chrome έχουν πέσει θύματα εξαπάτησης, εγκαθιστώντας "ad blockers", που όμως εμπεριέχουν και κακόβουλο κώδικα. Όπως αναφέρουν οι ερευνητές της AdGuard αυτοί οι "ad blockers" αποτελούν συνήθως κλώνους αξιόπιστων επεκτάσεων, έχοντας και παρόμοιες ονομασίες, καθιστώντας ιδιαίτερα δύσκολο σε έναν χρήστη να ξεχωρίσει την αξιόπιστη επέκταση από τους κλώνους της. Οι χρήστες μπερδεύονται νομίζοντας ότι οι επεκτάσεις αυτές αποτελούν δημιουργίες των ίδιων προγραμματιστών που έχουν δημιουργήσει και τις γνωστές επεκτάσεις για ad blocking. Όπως αναφέρει η AdGuard, δυστυχώς δεν υπάρχουν και πολλά πράγματα που μπορούν να γίνουν προκειμένου να βελτιωθεί η κατάσταση αυτή. Το μόνο που μπορεί να γίνει και γίνεται για την ώρα, είναι καταγγελίες στην Google για παραβίαση εμπορικού σήματος, προκειμένου οι κλώνοι να αφαιρεθούν από το Google Web Store. Η διαδικασία αυτή όμως απαιτεί λίγες μέρες, διάστημα αρκετό ώστε οι επεκτάσεις αυτές να βρεθούν στους browsers χιλιάδων χρηστών. Ενδεικτικά ο λιγότερο δημοφιλής "ad blocker" κλώνος είχε κατέβει τουλάχιστον 30 χιλιάδες φορές, ενώ ένας άλλος είχε επιλεγεί από περισσότερους από 10 εκατομμύρια χρήστες. AdRemover for Google Chrome™ (10M+ users) uBlock Plus (8M+ users) Adblock Pro (2M+ users) HD for YouTube™ (400K+ users) Webutation (30K+ users) Οι πέντε παραπάνω επεκτάσεις τις οποίες κατήγγειλε η AdGuard στην Google και πλέον έχουν αφαιρεθεί από το Google Web Store, είχαν εγκατασταθεί από πάνω από 20 εκατομμύρια χρήστες. Όπως αναφέρει ο Andrew Meshkov της Adguard, οι επεκτάσεις αυτές συλλέγουν προσωπικά δεδομένα των χρηστών και πληροφορίες από την περιήγησή τους στο διαδίκτυο σε έναν server, ο οποίος εν συνεχεία στέλνει μια φαινομενικά αθώα εικόνα η οποία όμως εμπεριέχει κάποια scripts που εκτελεί ο browser. Περισσότερες τεχνικής φύσεως λεπτομέρειες μπορείτε να διαβάσετε εδώ. Θα πρέπει λοιπόν να είμαστε ιδιαίτερα προσεχτικοί όταν κατεβάζουμε κάποια επέκταση στον browser μας. Θα πρέπει να είμαστε ιδιαίτερα σίγουροι ότι η επέκταση αυτή προέρχεται από αξιόπιστο προγραμματιστή ή εταιρία.
  9. Μπορεί η Microsoft να προσπάθησε να ξανά κερδίσει χρήστες με τον Edge, αλλά η πλειοψηφία συνεχίζει να παραμένει σταθερά με τον Chrome της Google. Έτσι δεν είναι παράξενο να βλέπουμε την εταιρία να δημιουργεί μια νέα επέκταση(extension) για τον Chrome της Google. Η επέκταση αυτή φέρει την ονομασία Windows Defender Browser Protection και έχει να κάνει με την ασφάλεια κατά την περιήγηση στο διαδίκτυο. Ειδικότερα η επέκταση Windows Defender Browser Protection προσφέρει επιπλέον προστασία έναντι κακόβουλων ιστοσελίδων που προσπαθούν να εξαπατήσουν τον χρήστη. Η επέκταση αναλαμβάνει να ειδοποιήσει τον χρήστη όταν αυτός πατάει πάνω σε κάποιον σύνδεσμο που είναι γνωστό ότι οδηγεί σε κάποια κακόβουλη ιστοσελίδα, δίνοντάς του την δυνατότητα να αποφύγει την ιστοσελίδα αυτή. Πρακτικά λειτουργεί όπως το Safe Browsing της Google, αλλά η επέκταση της Microsoft είναι ταχύτερη και πιο αποτελεσματική, τόσο αυτής που προσφέρει η Google, όσο της αντίστοιχης που προσφέρει η Mozilla με τον Firefox, σύμφωνα με δοκιμές της NSS Labs. Βέβαια όποιος θέλει μπορεί να προσθέσει την επέκταση της Microsoft στον Chrome ώστε να απολαμβάνει την προστασία που παρέχει το Safe Browsing της Google, σε συνδυασμό με αυτή που παρέχει το Windows Defender Browser Protection της Microsoft. Το μόνο που ίσως θα μπορούσε να αποτρέψει κάποιον να προσθέσει την επέκταση στον Chrome, είναι το γεγονός ότι η επέκταση στέλνει στοιχεία, όσον αφορά την περιήγηση του χρήστη στο διαδίκτυο, στην Microsoft. Μπορείτε να κατεβάσετε την επέκταση από εδώ.
  10. Πριν μερικούς μήνες, στο εντελώς ξεκάρφωτο άρχισαν να βγαίνουν pop up στο κινητό μου και να κατεβαίνουν αυτόματα διαφημίσεις. Δεν είχα μπει σε κάποια περίεργη ιστοσελίδα, ούτε είχα εγκαταστήσει κάποιο apk εκτός playstore. Αφού δεν κατάφερα με τίποτα να το βγάλω (δοκίμασα διάφορα antimalware και antivirus) έκανα επαναφορά εργοστασιακών ρυθμίσεων (χωρίς τη χρήση κάποιου backup). Εντωμεταξύ, είχε προλάβει να με γράψει και σε μία συνδρομητική υπηρεσία πολυμεσικού χαρακτήρα η οποία χωρίς κανένα απολύτως sms με χρέωσε και 2 φορές από 3 ευρώ. Αυτό ξαναέγινε άλλες 2 φορές σε πολύ σύντομο χρονικό διάστημα. Όλο το διάστημα αυτό, στο κινητό είχα εγκατεστημένες 2 sim, μία της Vodafone με τον κύριο αριθμό μου και μία της Wind αποκλειστικά για Data. Τελευταία φορά που έκανα επαναφορά εργοστασιακών ρυθμίσεων ήταν γύρω στις 30 Δεκεμβρίου, οπότε και έβγαλα την κάρτα της Wind μιας και η Vodafone μου είχε κάνει δώρο αρκετά GB. Προχθές που τελείωσαν τα GB ξαναέβαλα την Sim της Wind, ενεργοποίησα πακέτο data και με το που συνδέθηκα στο Internet μέσα σε 1 λεπτό άρχισαν πάλι τα παλαβά. Το κινητό άρχισε να σέρνεται και διαπίστωσα ένα σκασμό εγκατηστημένες εφαρμογές. Επειδή δεν είχα το απαραίτητο δίωρο για επαναφορά εργοστασιακών, εγκατέστησα το antivirus της ESET, το οποίο βρήκε τα παρακάτω: Δυστυχώς για μένα το καθάρισμα που κάνει το ESET (και οποιοδήποτε άλλο a/v) είναι προσωρινό και τα trojan εμφανίζονται 2 φορές την ημέρα. Προφανώς και σήμερα - αύριο που θα έχω χρόνο θα ξανακάνω επαναφορά εργοστασιακών ρυθμίσεων. Έχει κανείς ιδέα όμως τι μπορεί να συμβαίνει και γιατί συμβαίνει κατ' εξακολούθηση; To ότι προχθές συνέβει με το που συνδέθηκα στο διαδίκτυο μέσω του δικτύου της Wind πιστεύετε ότι είναι τυχαίο;
  11. Η χρήση κρυπτονομισμάτων γίνεται όλο και πιο δημοφιλής στους χρήστες, παράλληλα όμως εμπνέει τους κυβερνοεγκληματίες να επινοούν νέους, μαζικότερους τρόπους πρόσβασης σε όλα αυτά τα εικονικά νομίσματα. Ως αποτέλεσμα, διαδικτυακές απάτες που στοχεύουν κρυπτονομίσματα έχουν κάνει την εμφάνισή τους και στην πλατφόρμα Android, με διάφορα είδη κακόβουλων εφαρμογών να ξεγελούν τους χρήστες. Η ESET δημοσίευσε ένα whitepaper περιγράφοντας τις πιο διαδεδομένες κατηγορίες «cryptocurrency scams», ενώ προσφέρει και μία σειρά συμβουλών για μεγαλύτερη προστασία των συσκευών και των κρυπτονομισμάτων. Ακολουθεί το σχετικό δελτίο τύπου. ESET: Scams που στοχεύουν κρυπτονομίσματα σε Android - Τι πρέπει να γνωρίζουν οι χρήστες 5 Μαρτίου 2018 – Η χρήση κρυπτονομισμάτων γίνεται όλο και πιο δημοφιλής στους χρήστες, παράλληλα όμως εμπνέει τους κυβερνοεγκληματίες να επινοούν νέους, μαζικότερους τρόπους πρόσβασης σε όλα αυτά τα εικονικά νομίσματα. Ως αποτέλεσμα, διαδικτυακές απάτες που στοχεύουν κρυπτονομίσματα έχουν κάνει την εμφάνισή τους και στην πλατφόρμα Android, με διάφορα είδη κακόβουλων εφαρμογών να ξεγελούν τους χρήστες. Η ESET δημοσίευσε ένα whitepaper περιγράφοντας τις πιο διαδεδομένες κατηγορίες «cryptocurrency scams», ενώ προσφέρει και μία σειρά συμβουλών για μεγαλύτερη προστασία των συσκευών και των κρυπτονομισμάτων. 1. Πλαστές εφαρμογές συναλλαγών κρυπτονομισμάτων. Σε αυτήν την κατηγορία ανήκουν κακόβουλες εφαρμογές ηλεκτρονικού «ψαρέματος» (phishing apps), που προσπαθούν να κλέψουν τους κωδικούς σύνδεσης για να παραβιάσουν λογαριασμούς. Οι συγκεκριμένες εφαρμογές μοιάζουν εξαιρετικά με τις αυθεντικές, ενώ μπορεί να έχουν καλή συνολική βαθμολογία χάρη σε ψεύτικα reviews. Μια πρόσφατη περίπτωση τέτοιου scam είναι οι εφαρμογές phishing που αντιγράφουν το Poloniex, ένα app για συναλλαγές cryptocurrency, που ανακαλύφθηκε πέρσι στο Google Play και εμφανίζεται συχνά από τότε. 2. Πλαστά wallet apps. Παρόμοιες phishing εφαρμογές επιτίθενται σε χρήστες πορτοφολιών κρυπτονομισμάτων, μόνο που εδώ γίνεται προσπάθεια κλοπής των ιδιωτικών κλειδιών και των φράσεων του χρήστη. Τον τελευταίο καιρό έχει παρατηρηθεί αυτό το είδος κακόβουλης συμπεριφοράς σε εφαρμογές που μοιάζουν με το MyEtherWallet, ένα δημοφιλές πορτοφόλι Ethereum ανοικτού κώδικα. Το MyEtherWallet δεν διαθέτει επίσημη εφαρμογή για κινητά, γεγονός που εκμεταλλεύονται οι απατεώνες του κυβερνοχώρου. Οι ερευνητές της ESET έχουν επίσης αναλύσει και πλαστά cryptocurrency wallet που προσπαθούν να εξαπατήσουν τα θύματα για να μεταφέρουν κέρματα στο πορτοφόλι των κυβερνοεγκληματιών. Αυτά τα scams προσποιούνται ότι δημιουργούν ένα δημόσιο κλειδί για ένα νέο πορτοφόλι και καθοδηγούν τους χρήστες να στείλουν τα ψηφιακά τους νομίσματα στη διεύθυνση που έχουν δημιουργήσει. 3. Crypto-mining malware που επιτίθεται σε Android. Το κατά πόσο μια εφαρμογή εξόρυξης κρυπτονομισμάτων (crypto-mining) μπορεί να θεωρηθεί κακόβουλη εξαρτάται από το αν λειτουργεί με τη συναίνεση του χρήστη ή όχι – στη δεύτερη περίπτωση η συσκευή έχει παραβιαστεί οπότε θεωρείται malware. Πρόσφατα, ανακαλύφθηκε ότι μια έκδοση του δημοφιλούς παιχνιδιού Bug Smasher, που έχει εγκατασταθεί από το Google Play από 1 έως 5 εκατομμύρια φορές, πραγματοποιούσε κρυφά mining κρυπτονομισμάτων Monero από τις συσκευές των χρηστών. 4. Πλαστά crypto-miners και εφαρμογές με δωρεάν παροχές. Εδώ ανήκουν οι εφαρμογές που προσποιούνται ότι εξορύσσουν κρυπτονομίσματα (crypto-miners) για το χρήστη, ενώ στην πραγματικότητα το μόνο που κάνουν είναι να προβάλλουν διαφημίσεις. Για να καταφέρνουν καλύτερα το σκοπό τους, τα συγκεκριμένα apps ενθαρρύνουν τους χρήστες να τα ανοίγουν σε τακτική βάση, υποσχόμενα περισσότερα «δωρεάν» κέρματα κάθε μέρα σε αντάλλαγμα. Ενώ αυτές οι εφαρμογές δεν είναι κακόβουλες «per se», θεωρούνται ανεπιθύμητες λόγω του παραπλανητικού τους χαρακτήρα. Στην κατηγορία αυτή περιλαμβάνονται apps που υπόσχονται ότι θα εξορύξουν κρυπτονομίσματα Ripple (XRP), στα οποία εξ’ ορισμού δεν μπορεί να γίνει mining. Όλες οι εφαρμογές που αναφέρονται παραπάνω εντοπίζονται και μπλοκάρονται από τα συστήματα της ESET και έχουν αποκλειστεί από το Google Play. Οι χρήστες που έχουν ενεργοποιημένη τη λειτουργία Google Play Protect προστατεύονται μέσω αυτού του μηχανισμού. Πως μπορούν να μείνουν ασφαλείς οι χρήστες H ESET δίνει τις παρακάτω συμβουλές στους χρήστες Android που δεν θέλουν να πέσουν θύματα των cryptocurrency scams: Χρησιμοποιήστε τα apps συναλλαγών κρυπτονομίσματων και πορτοφολιών με την ίδια προσοχή που χρησιμοποιείτε και τις εφαρμογές mobile banking. Όταν κάνετε λήψη εφαρμογών συναλλαγής κρυπτονομισμάτων ή πορτοφολιών σε κινητά, βεβαιωθείτε ότι η συγκεκριμένη υπηρεσία πράγματι διαθέτει εφαρμογή για κινητά. Θα πρέπει να υπάρχει link μεταξύ της επίσημης εφαρμογής και της ιστοσελίδας της υπηρεσίας. Αν προσφέρεται σαν επιλογή, χρησιμοποιήστε έλεγχο πιστοποίησης διπλού παράγοντα για να προστατεύσετε τους λογαριασμούς συναλλαγών ή πορτοφολιών με ένα πρόσθετο επίπεδο ασφάλειας. Κατά τη λήψη εφαρμογών από το Google Play, δώστε προσοχή στον αριθμό των λήψεων, καθώς και στις αξιολογήσεις και στα σχόλια των χρηστών. Ενημερώνετε διαρκώς την Android συσκευή σας και χρησιμοποιήστε μια αξιόπιστη λύση ασφάλειας για κινητά για να την προστατεύσετε από τις τελευταίες απειλές. Για περισσότερες πληροφορίες διαβάστε το σχετικό whitepaper της ESET: «Cryptocurrency scams on Android».
  12. Το 2017 ήταν αναμφισβήτητα «η χρονιά του ransomware», όπως αποδεικνύεται σε πρόσφατο White Paper που δημοσίευσε η ESET. Οι δημιουργοί κακόβουλου λογισμικού δεν περιορίστηκαν μόνο σε ransomware που στόχευε PC, καθώς αρκετά σημαντικό ήταν και το ποσοστό επιθέσεων ενάντια σε συσκευές Android. Τα κύρια χαρακτηριστικά που παρατήρησαν οι ερευνητές της ESET στη δράση του Android ransomware το 2017 ήταν οι πρωτοποριακές μέθοδοι που χρησιμοποίησε για να εισχωρεί στα συστήματα και οι σκληρότερες απαιτήσεις σχετικά με την απόσπαση λύτρων. Ακολουθεί το σχετικό δελτίο Τύπου. ESET: Το 2017 το Android ransomware ήταν πιο εφευρετικό στην εξάπλωση και πιο απαιτητικό στα λύτρα 15 Φεβρουαρίου 2018 –Το 2017 ήταν αναμφισβήτητα «η χρονιά του ransomware», όπως αποδεικνύεται σε πρόσφατο White Paper που δημοσίευσε η ESET. Οι δημιουργοί κακόβουλου λογισμικού δεν περιορίστηκαν μόνο σε ransomware που στόχευε PC, καθώς αρκετά σημαντικό ήταν και το ποσοστό επιθέσεων ενάντια σε συσκευές Android. Τα κύρια χαρακτηριστικά που παρατήρησαν οι ερευνητές της ESET στη δράση του Android ransomware το 2017 ήταν οι πρωτοποριακές μέθοδοι που χρησιμοποίησε για να εισχωρεί στα συστήματα και οι σκληρότερες απαιτήσεις σχετικά με την απόσπαση λύτρων. Ενδεικτικό παράδειγμα της εφευρετικότητας του Android ransomware υπήρξε η κατάχρηση των υπηρεσιών προσβασιμότητας της πλατφόρμας Android, οι οποίες έχουν σχεδιαστεί για να βοηθήσουν άτομα με ειδικές ανάγκες. Αυτή η κακόβουλη τεχνική χρησιμοποιούνταν τυπικά από το banking malware, ωστόσο, μέχρι το τέλος του 2017, εμφανίστηκε και στο Android ransomware. Πιθανά η πιο γνωστή περίπτωση αυτής της συμπεριφοράς είναι το DoubleLocker, η οικογένεια ransomware που ανακαλύφθηκε από τους ερευνητές της ESET. Παρά την εμφάνιση των νέων αυτών χαρακτηριστικών, η πιο δημοφιλής τεχνική επίθεσης του Android ransomware εξακολουθεί να παραμένει το κλείδωμα της οθόνης που ακολουθείται από αίτημα για λύτρα, προκειμένου να μπορέσει ο χρήστης να την ξεκλειδώσει. Σύμφωνα με την τηλεμετρία της ESET, οι πιο συχνά ανιχνεύσιμες παραλλαγές των Android ransomware που χρησιμοποιούν αυτή τη μέθοδο εκβιασμού ανήκουν στην οικογένεια Android/Locker. Αξίζει να σημειωθεί ότι συνολικά το Android ransomware δεν συνέχισε την ίδια ανοδική πορεία με τα προηγούμενα χρόνια. Η μεγαλύτερη αύξηση σημειώθηκε μέχρι το 2016, φθάνοντας στο αποκορύφωμα κατά το πρώτο εξάμηνο του έτους. Το 2017 παρατηρήθηκε μια αλλαγή σε αυτή την τάση και παρά το συνεχώς αυξανόμενο ποσοστό malware για Android, ο αριθμός του ransomware που στοχεύει αυτή την πλατφόρμα είχε χάσει μέρος της δύναμης του. Ωστόσο, οι ερευνητές της ESET παραμένουν επιφυλακτικοί καθώς, σύμφωνα με τα στοιχεία του ESET LiveGrid®, η μείωση αυτή μπορεί να ήταν προσωρινή, καθώς υπήρξαν αρκετές ανιχνεύσεις Android ransomware - συμπεριλαμβανομένου του DoubleLocker - προς το τέλος του 2017. Όσοι ενδιαφέρονται να μάθουν περισσότερα σχετικά με το Android ransomware, τις επικίνδυνες παραλλαγές που εμφανίστηκαν το 2017 καθώς και τα πιο αξιοσημείωτα συμβάντα που έχουν παρατηρηθεί από το 2013, μπορούν να διαβάσουν το σχετικό White Paper της ESET. Εάν θέλετε να μάθετε περισσότερα, μπορείτε επίσης να σταματήσετε από το περίπτερο της ESET (Hall 7, booth 7H41) στο φετινό Mobile World Congress που πραγματοποιείται στη Βαρκελώνη από 26 Φεβρουαρίου ως 1 Μαρτίου 2018.
  13. Δεν είναι λίγα τα προγράμματα που βασίζονται σε τεχνικές εκφοβισμού του χρήστη προκειμένου να τον πείσουν να τα αγοράσει. Η Microsoft ανακοίνωσε ότι προγράμματα τα οποία επιχειρούν να τρομοκρατήσουν τον χρήστη ή να το παραπλανήσουν προκειμένου να τα αγοράσει, θα αντιμετωπίζονται στο μέλλον ως κακόβουλα ή αχρείαστα και ο Windows Defender θα προχωράει σε αφαίρεσή τους από το σύστημα. Προγράμματα τα οποία χρησιμοποιούν αυτού του τύπου τις πρακτικές εκφοβισμού του χρήστη, συνήθως είναι προγράμματα που υπόσχονται να κάνουν την δουλειά κάποιου antivirus, κάποιου antimalware ή και κάποιου optimizer ή cleaner, δηλαδή κάποιου προγράμματος που υπόσχεται να βελτιώσει τις επιδόσεις του υπολογιστή. Πολλά από αυτά προωθούνται ως ελεύθερες εκδόσεις προγραμμάτων. Μετά την εγκατάστασή τους και την χρήση τους, εμφανίζουν μηνύματα που αναφέρουν με τον πλέον έντονο τρόπο ότι ανίχνευσαν πλήθος προβλημάτων τα οποία χρίζουν άμεσης διόρθωσης, διόρθωση η οποία μπορεί να γίνει μόνο με αγορά και χρήση της πλήρους έκδοσής τους. Τα μηνύματα αυτά είναι σχεδιασμένα έτσι ώστε να αποσκοπούν στην τρομοκράτηση του χρήστη. Η Microsoft σε σχετικό blog post αναφέρει ότι έχει αυξηθεί σημαντικά ο αριθμός των προγραμμάτων αυτών, που χρησιμοποιούν τρόπους εκφοβισμού των χρηστών, ωθώντας τελικά πολλούς από αυτούς στο να αγοράζουν λογισμικό το οποίο πρακτικά δεν τους χρειάζεται. Για τον λόγο αυτό η εταιρία αποφάσισε να αναθεωρήσει τα κριτήρια με τα οποία κατηγοριοποιεί τα προγράμματα σε κακόβουλα ή αχρείαστα. Στο μέλλον προγράμματα τα οποία χρησιμοποιούν τεχνικές εκφοβισμού θα αφαιρούνται από τον Windows Defender.
  14. Εδώ και μερικούς μήνες έχει γίνει φανερό ότι το πρόβλημα με τις ιστοσελίδες που αξιοποιούν τα συστήματα των επισκεπτών τους για παραγωγή ψηφιακών νομισμάτων είναι σοβαρό και θα γίνει πιθανόν ακόμα σοβαρότερο στο μέλλον. Τελευταίο παράδειγμα αυτό του YouTube, όπου κώδικας για παραγωγή ψηφιακών νομισμάτων βρέθηκε σε διαφημίσεις στις σελίδες του. Το παραπάνω έγινε γνωστό όταν κάποιοι επισκέπτες του YouTube, ανέφεραν σε μέσα κοινωνικής δικτύωσης ότι τα προγράμματα antivirus που είχαν εγκατεστημένα στο σύστημά τους, εμφάνιζαν την ιστοσελίδα του YouTube ως ύποπτη για κακόβουλο λογισμικό. Σύμφωνα με την Trend Micro, διαφημίσεις από την πλατφόρμα DoubleClick της Google, φαίνεται να είχαν προσβληθεί με κώδικα javascript ο οποίος αξιοποιούσε την υπολογιστική ισχύ του υπολογιστή του επισκέπτη του YouTube για την παραγωγή ψηφιακών νομισμάτων Monero, μέσω του Coinhive. Έτσι, όσο ο επισκέπτης παρέμενε στην ιστοσελίδα του YouTube παρακολουθώντας κάποιο βίντεο, το σύστημά του αξιοποιούταν από αυτούς που είχαν μολύνει τις διαφημίσεις με το javascript για την παραγωγή ηλεκτρονικών νομισμάτων Monero. Χάρη στην ανωνυμία που χαρακτηρίζει τα ψηφιακά νομίσματα, είναι πρακτικά αδύνατο να βρει κάποιος τον υπεύθυνο για την εισαγωγή του κακόβουλου javascript κώδικα στις διαφημίσεις. Είναι επίσης φανερό ότι ακόμα και μεγάλες ιστοσελίδες όπως η Google, η YouTube και κατ' επέκταση οι επισκέπτες τους, θα μπορούσαν να πέσουν θύματα της παραπάνω πρακτικής κάποιων που προσπαθούν να κερδίσουν από την εκτόξευση της αξίας των ψηφιακών νομισμάτων. Η Google προχώρησε σε σχετική ανακοίνωση, μιας και ήταν η δική της πλατφόρμα που αξιοποιήθηκε για την διάδοση του javascript κώδικα, σημειώνοντας ότι οι διαφημίσεις με το κακόβουλο javascript κώδικα μπλοκαρίστηκαν εντός δύο ωρών. Με βάση όμως την Trend Micro η οποία αναφέρει ότι το πρόβλημα δείχνει να ξεκίνησε να εμφανίζεται στις 18 Ιανουαρίου, δεν αποκλείεται οι διαφημίσεις με το κακόβουλο javascript κώδικα να έτρεχαν για μερικές μέρες ή και μια εβδομάδα.
  15. Οι ειδήσεις σχετικές με κακόβουλο λογισμικό που προσπαθεί να τρέξει miners για ψηφιακά νομίσματα στην συσκευή που έχει προσβάλει, συνεχώς αυξάνουν. Αυτή τη φορά η Kaspersky Lab ανακοίνωσε ότι ανακάλυψε ένα νέο malware που στοχεύει Android συσκευές και το οποίο εγκαθιστά σε αυτές σχετικούς miners. Η διαφορά εδώ, σε σχέση με αντίστοιχες περιπτώσεις με miners σε σταθερούς ή φορητούς υπολογιστές, είναι ότι θα μπορούσε να προκληθεί ζημιά στην συσκευή στην οποία εγκαθίσταται ο miner. Το νέο malware έχει λάβει την ονομασία Trojan.AndroidOS.Loapi από την Kaspersky Lab και μεταδίδεται μέσω αγορών αμφίβολης αξιοπιστίας, διαφημίσεων, SMS spam και άλλες μεθόδους. Όπως αναφέρει η Kaspersky Lab, το malware είναι σε θέση να προχωρήσει σε πολλές κακόβουλες ενέργειες, όπως το να εμφανίζει συνεχώς πλήθος διαφημίσεων, να χρησιμοποιήσει την προσβεβλημένη συσκευή σε μια επίθεση DDoS, να προβεί σε συνδρομές υπηρεσιών που χρεώνουν ή να αποστέλλει SMS σε άλλους αριθμούς. Μετά την εγκατάστασή του ο χρήστης δεν έχει πολλές επιλογές, με το κακόβουλο λογισμικό να μην επιτρέπει την εκτέλεση ή εγκατάσταση λογισμικού που θα μπορούσε να χρησιμοποιηθεί για την αφαίρεσή του. Ένα από τα χειρότερα χαρακτηριστικά του όμως, φαίνεται να είναι ο επιθετικός τρόπος με τον οποίο το malware αξιοποιεί την συσκευή για mining ψηφιακών νομισμάτων(monero). Η Kaspersky Lab αναφέρει ότι δοκίμασε το malware σε μια συσκευή, η οποία μετά από δύο μέρες συνεχούς mining, κατέληξε με φουσκωμένη μπαταρία στον βαθμό που ξεκούμπωσε το πίσω καπάκι της συσκευής. Φαίνεται ότι το malware δεν θέτει αυτοπεριορισμό στο ποσό χρήσης του επεξεργαστή της συσκευής από τον miner. Έτσι αν η συσκευή δεν είναι σωστά ρυθμισμένη από τον κατασκευαστή, ώστε να προβαίνει σε throttling όταν η θερμοκρασία της μπαταρίας είναι υψηλή, τα αποτελέσματα μπορεί να είναι ιδιαίτερα αρνητικά για την συσκευή, όπως φαίνεται και στην παρακάτω φωτογραφία. Αναλυτικό άρθρο μπορείτε να διαβάσετε στο Securelist.
  16. Ερευνητές της ESET, σε συνεργασία με την Microsoft και με υπηρεσίες επιβολής του νόμου - το FBI, την Interpol, τη Europol και άλλους φορείς που μεριμνούν για την ασφάλεια του κυβερνοχώρου – κατέρριψαν σήμερα μια σημαντική επιχείρηση botnet γνωστή ως Gamarue (εντοπίστηκε από την ESET ως Win32/ TrojanDownloader.Wauchos), που μολύνει υπολογιστές από το 2011. Ακολουθεί το σχετικό δελτίο Τύπου. Η ESET ενώνει τις δυνάμεις της με τη Microsoft και με υπηρεσίες επιβολής του νόμου ενάντια στην επιχείρηση botnet «Gamarue» Αθήνα, 5 Δεκεμβρίου 2017 - Ερευνητές της ESET, σε συνεργασία με την Microsoft και με υπηρεσίες επιβολής του νόμου - το FBI, την Interpol, τη Europol και άλλους φορείς που μεριμνούν για την ασφάλεια του κυβερνοχώρου – κατέρριψαν σήμερα μια σημαντική επιχείρηση botnet γνωστή ως Gamarue (εντοπίστηκε από την ESET ως Win32/ TrojanDownloader.Wauchos), που μολύνει υπολογιστές από το 2011. Οι συντονισμένες δράσεις κατάρριψης ξεκίνησαν στις 29 Νοεμβρίου 2017 και χάρη στην κοινή αυτή προσπάθεια, οι υπηρεσίες επιβολής του νόμου σε ολόκληρο τον κόσμο μπόρεσαν να προχωρήσουν σε συλλήψεις και να εμποδίσουν τη δραστηριότητα της οικογένειας malware που ευθυνόταν για τη μόλυνση περισσότερων από 1,1 εκατομμυρίων συστημάτων μηνιαίως. Οι ερευνητές της ESET και της Microsoft αντάλλαξαν τεχνικές αναλύσεις, στατιστικές πληροφορίες και δημοφιλή domains από C&C servers για να βοηθήσουν στη διακοπή της κακόβουλης δραστηριότητας της ομάδας. Η ESET μοιράστηκε επίσης τις γνώσεις της για το Gamarue, τις οποίες είχε συγκεντρώσει από τη συνεχή παρακολούθηση του malware και των επιπτώσεων του στους χρήστες κατά τα τελευταία χρόνια. Τι είναι το Gamarue? Η οικογένεια Gamarue δημιουργήθηκε από κυβερνοεγκληματίες το Σεπτέμβριο του 2011 και πωλήθηκε ως «crime-kit» σε underground φόρουμ στο Dark Web, με σκοπό την κλοπή διαπιστευτηρίων και τη λήψη και εγκατάσταση επιπλέον κακόβουλου λογισμικού στα συστήματα των χρηστών. Αυτή η οικογένεια malware αποτελεί ένα bot με δυνατότητες εξατομίκευσης, επιτρέποντας στον ιδιοκτήτη του να δημιουργεί και να χρησιμοποιεί προσαρμοσμένα plugins. Ένα τέτοιο plugin επιτρέπει στον κυβερνοεγκληματία να κλέβει το περιεχόμενο που εισάγουν οι χρήστες σε φόρμες web, ενώ ένα άλλο επιτρέπει τη σύνδεση των εγκληματιών και τον έλεγχο των παραβιασμένων συστημάτων. Η δημοτικότητά του έχει οδηγήσει σε μια σειρά από ανεξάρτητα, «in the wild» botnets Gamarue. Στην πραγματικότητα, η ESET διαπίστωσε ότι δείγματα Gamarue έχουν εξαπλωθεί σε όλο τον κόσμο μέσω κοινωνικών μέσων, instant messaging, αφαιρούμενων μέσων, spam και exploit kits. Πώς οι ερευνητές της ESET και της Microsoft συγκέντρωναν πληροφορίες; Χρησιμοποιώντας την υπηρεσία ESET Threat Intelligence, οι ερευνητές της ESET κατάφεραν να δημιουργήσουν ένα bot που θα μπορούσε να επικοινωνεί με το C&C server της απειλής. Έτσι, η ESET και η Microsoft μπόρεσαν να παρακολουθήσουν στενά τα botnets του Gamarue κατά τον προηγούμενο 1,5 χρόνο, να εντοπίσουν τους C&C servers για να τους «ρίξουν» και να ελέγξουν τι έχει εγκατασταθεί στα συστήματα των θυμάτων. Από τότε, οι δύο εταιρίες δημιούργησαν λίστα με όλα τα domains που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου ως C&C servers. «Στο παρελθόν, η Wauchos ήταν η πιο συχνά ανιχνευμένη οικογένεια malware μεταξύ των χρηστών της ESET, οπότε όταν μας προσέγγισε η Microsoft για να συμμετάσχουμε σε μια κοινή προσπάθεια καταπολέμησης, για να προστατέψουμε καλύτερα τους χρήστες μας και το ευρύ κοινό γενικά, ήταν αυτονόητο να συμφωνήσουμε», δήλωσε ο Jean-Ian Boutin, Senior Malware Research της ESET. «Αυτή η συγκεκριμένη απειλή υπάρχει εδώ και αρκετά χρόνια και επανεμφανίζεται συνεχώς - γεγονός που μπορεί να δυσκολέψει την παρακολούθηση. Ωστόσο, χρησιμοποιώντας την υπηρεσία ESET Threat Intelligence και δουλεύοντας σε συνεργασία με τους ερευνητές της Microsoft, καταφέραμε να παρακολουθούμε τις αλλαγές στη συμπεριφορά του malware και συνεπώς να προσφέρουμε αξιοποιήσιμα δεδομένα, τα οποία αποδείχθηκαν ανεκτίμητα σε αυτές τις προσπάθειες κατάρριψης». Τι πρέπει να κάνουν οι χρήστες εάν υποψιάζονται ότι τα συστήματά τους έχουν παραβιαστεί; Οι εγκληματίες του κυβερνοχώρου παραδοσιακά χρησιμοποίησαν το Gamarue για να στοχεύσουν τους οικιακούς χρήστες ώστε να κλέψουν διαπιστευτήρια από ιστότοπους μέσω ενός plugin με δυνατότητες form grabbing. Ωστόσο, οι ερευνητές της ESET παρατήρησαν πρόσφατα ότι το malware έχει χρησιμοποιηθεί για την εγκατάσταση διαφόρων spam bots σε παραβιασμένα συστήματα σε ένα λεγόμενο «pay-per-install» σύστημα. Η ESET ενημερώνει όσους χρήστες φοβούνται ότι τα Windows τους ενδέχεται να έχουν παραβιαστεί, να κατεβάσουν και να χρησιμοποιήσετε το ESET Online Scanner, το οποίο θα αφαιρέσει τυχόν απειλές που βρίσκονται στο σύστημα, συμπεριλαμβανομένου του Gamarue. Για να ενημερωθείτε σχετικά με πιο σύνθετους τρόπους προστασίας των συσκευών σας από botnets, επισκεφθείτε την ειδική ιστοσελίδα της ESET. Σχετικό και ιδιαίτερα αναλυτικό άρθρο έχει δημοσιεύσει και η Microsoft, το οποίο θα βρείτε στο παρακάτω link: Microsoft teams up with law enforcement and other partners to disrupt Gamarue (Andromeda) – Windows Security blog Gamarue’s global prevalence from May to November 2017 Machines, IPs, and unique file encounters for Gamarue from May to November 2017; data does not include LNK detections Sample control dashboard used by attackers to communicate to Gamarue bots
  17. Οκτώ νέες κακόβουλες εφαρμογές εντόπισαν τα συστήματα της ESET στο επίσημο κατάστημα της Google. Τα κακόβουλα apps ανιχνεύονται ως Android/TrojanDropper.Agent.BKY και αποτελούν μία νέα οικογένεια Android malware. Ξεχωρίζουν γιατί δρουν σε πολλά επίπεδα, φαίνονται έγκυρα και καθυστερούν να εκδηλώσουν τις κακόβουλες προθέσεις τους. Ακολουθεί σχετικό δελτίο Τύπου. Οι ερευνητές της ESET ανακάλυψαν malware με εξελιγμένες δυνατότητες διαφυγής των μηχανισμών προστασίας του Google Play Αθήνα, 28 Νοεμβρίου 2017 – Οκτώ νέες κακόβουλες εφαρμογές εντόπισαν τα συστήματα της ESET στο επίσημο κατάστημα της Google. Τα κακόβουλα apps ανιχνεύονται ως Android/TrojanDropper.Agent.BKY και αποτελούν μία νέα οικογένεια Android malware. Ξεχωρίζουν γιατί δρουν σε πολλά επίπεδα, φαίνονται έγκυρα και καθυστερούν να εκδηλώσουν τις κακόβουλες προθέσεις τους . Έξι από τις κακόβουλες εφαρμογές που ανακαλύφθηκαν στο Google Play Καμία από τις συγκεκριμένες εφαρμογές δεν έχει ξεπεράσει τις μερικές εκατοντάδες λήψεις, ωστόσο παρουσιάζει ενδιαφέρον το ότι διαθέτουν μία σειρά προηγμένων χαρακτηριστικών για να διαφεύγουν της ανίχνευσης. Χάρη σε μία πολύ-επίπεδη αρχιτεκτονική και σε μηχανισμούς κρυπτογράφησης, καταφέρνουν να ξεγελάσουν το χρήστη για να τις εγκαταστήσει. Οι εφαρμογές δεν ζητούν ύποπτα δικαιώματα και εμφανίζουν την αναμενόμενη λειτουργία, όσο στο παρασκήνιο εκτελείται η κακόβουλη δραστηριότητά τους. Σε όλες τις περιπτώσεις που διερευνήθηκαν, η δραστηριότητα αυτή οδηγεί σε ένα banking trojan ειδικά για κινητές συσκευές. Μόλις εγκατασταθεί, συμπεριφέρεται σαν μια τυπική κακόβουλη εφαρμογή αυτού του είδους: μπορεί να παρουσιάσει στον χρήστη πλαστές φόρμες σύνδεσης για να κλέψει διαπιστευτήρια ή στοιχεία πιστωτικής κάρτας. H ESET έχει ενημερώσει την ομάδα ασφάλειας της Google σχετικά με την ανακάλυψη αυτή και η Google έχει αφαιρέσει και τις οκτώ εφαρμογές από το κατάστημά της. Οι χρήστες του που έχουν ενεργοποιήσει τη λειτουργία Google Play Protect μπορούν να χρησιμοποιήσουν μία συγκεκριμένη διαδικασία για να παραμείνουν προστατευμένοι. Οι χρήστες που έχουν κατεβάσει κάποια από τις συγκεκριμένες εφαρμογές, μπορούν να προχωρήσουν σε απεγκατάστασή τους σύμφωνα με τις οδηγίες που υπάρχουν στο σχετικό άρθρο της ESET στη σελίδα WeLiveSecurity.
  18. Η ESET ανακάλυψε μια νέα απειλή, όπου οι εισβολείς μολύνουν μη-ενημερωμένους Windows web servers με έναν κακόβουλο cryptocurrency miner, προκειμένου να εξορύξουν Monero - μια νεότερη μορφή κρυπτονομισμάτων, εναλλακτική του Bitcoin. Η εταιρία παροτρύνει τους χρήστες του Windows Server 2003 να προχωρήσουν στις ενημερώσεις ασφαλείας που έχει εκδώσει η Microsoft για να μην πέσουν θύματα της συγκεκριμένης επίθεσης εξόρυξης cryptocurrencies. Ακολουθεί σχετικό δελτίο Τύπου. Μalware για mining κρυπτονομισμάτων Monero εκμεταλλεύεται ευπάθεια της Microsoft Η ESET παροτρύνει τους χρήστες του Windows Server 2003 να προχωρήσουν στις ενημερώσεις ασφαλείας για να μην πέσουν θύματα της τελευταίας επίθεσης εξόρυξης cryptocurrencies Αθήνα, 28 Σεπτεμβρίου 2017 – Η ESET ανακάλυψε μια νέα απειλή, όπου οι εισβολείς μολύνουν μη-ενημερωμένους Windows web servers με έναν κακόβουλο cryptocurrency miner, προκειμένου να εξορύξουν Monero - μια νεότερη μορφή κρυπτονομισμάτων, εναλλακτική του Bitcoin. Η Microsoft κυκλοφόρησε τη σχετική ενημέρωση του λογισμικού της, ωστόσο, μέχρι σήμερα, σε πολλούς servers εξακολουθεί να μην έχει γίνει η εγκατάσταση της ενημέρωσης αυτής. Για να πετύχουν τους στόχους τους, οι κυβερνοεγκληματίες τροποποίησαν νόμιμο λογισμικό ανοιχτού κώδικα που κάνει εξόρυξη Monero και εκμεταλλεύτηκαν μια γνωστή ευπάθεια στην έκδοση 6.0 του Microsoft IIS για να εγκαταστήσουν κρυφά το miner σε server χωρίς ενημερώσεις. Κατά την ανάπτυξη του κακόβουλου λογισμικού mining, οι εγκληματίες δεν έκαναν καμία αλλαγή στην αυθεντική, open-source βάση κώδικα, παρά μόνο πρόσθεσαν ενσωματωμένες παράμετρους εκτέλεσης του wallet address των κυβερνοεγκληματιών και το mining pool για τα URL. Σύμφωνα με την ESET, αυτή η διαδικασία θα μπορούσε να έχει ολοκληρωθεί από τους κυβερνοεγκληματίες μέσα σε λίγα μόνο λεπτά. Ένα malware που αποφέρει κέρδη Οι ειδικοί malware της ESET πιστεύουν ότι αυτή η κακόβουλη επιχείρηση συμβαίνει από τον Μάιο του 2017. Σε αυτό το διάστημα, οι κυβερνοεγκληματίες που βρίσκονται πίσω από τη συγκεκριμένη εκστρατεία δημιούργησαν ένα botnet εκατοντάδων μολυσμένων μηχανών και απέσπασαν κέρδη που ισοδυναμούν με Monero αξίας πάνω από 63.000 αμερικάνικων δολαρίων. «Παρόλο που συγκριτικά με το Bitcoin, το συγκεκριμένο νόμισμα έχει χαμηλότερα μερίδια στην αγορά, υπάρχουν διάφοροι λόγοι για τους οποίους οι εισβολείς επέλεξαν να εξορύξουν Monero», δήλωσε ο Peter Kálnai, Malware Researcher της ESET. «Εμφανίζοντας χαρακτηριστικά όπως τις συναλλαγές που δεν εντοπίζονται και τον proof of work αλγόριθμο, γνωστό ως CryptoNight, που είναι «φιλικότερος» προς τις κεντρικές μονάδες επεξεργασίας υπολογιστών ή server, το Monero αποτελεί μια ελκυστική εναλλακτική λύση για τους εγκληματίες του κυβερνοχώρου. Η εξόρυξη Bitcoin αντίθετα, απαιτεί εξειδικευμένο hardware για mining.» Εκμετάλλευση ευπαθειών Αυτή η μορφή κακόβουλης δραστηριότητας αποτελεί απόδειξη του πόσο εύκολα, με ελάχιστες ικανότητες και χαμηλό λειτουργικό κόστος, μπορεί να προκληθεί ένα σημαντικό πρόβλημα. Στη συγκεκριμένη περίπτωση, αρκούσε η κατάχρηση ενός νόμιμου, open-source λογισμικού για εξόρυξη cryptocurrencies και η στόχευση παλαιών συστημάτων που πιθανόν να παραμείνουν χωρίς ενημερώσεις. Τον Ιούλιο του 2015, η Microsoft ολοκλήρωσε την τακτική υποστήριξη ενημερώσεων για τον Windows Server 2003 και δεν είχε κυκλοφορήσει σχετικό patch για αυτή την ευπάθεια μέχρι το φετινό Ιούνιο, οπότε οι δημιουργοί malware εντόπισαν αρκετά τρωτά σημεία στα μη ενημερωμένα συστήματα. Παρά το γεγονός ότι το σύστημα βρίσκεται μετά το τέλος του κύκλου ζωής του, η Microsoft προχώρησε σε έκδοση patches για αυτές τις κρίσιμες ευπάθειες, προκειμένου να αποφευχθεί η επανεμφάνιση μεγάλων επιθέσεων όπως της εκστρατείας WannaCry. Ωστόσο, είναι γεγονός ότι οι αυτόματες ενημερώσεις δεν λειτουργούν πάντα ομαλά και αυτό θα μπορούσε να επηρεάσει την ικανότητα του Windows Server 2003 να διατηρηθεί ενημερωμένος. «Καθώς ένας σημαντικός αριθμός συστημάτων εξακολουθεί να παραμένει ευάλωτος, συνιστάται στους χρήστες του Windows Server 2003 να προχωρήσουν το συντομότερο δυνατόν στην ενημερωμένη έκδοση ασφαλείας KB3197835 και σε άλλα κρίσιμα patches», σημειώνει ο Michal Poslušný, Malware Analyst της ESET. «Εάν οι αυτόματες ενημερώσεις δεν λειτουργήσουν, προτρέπουμε τους χρήστες να κάνουν λήψη και εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας χειροκίνητα για να αποφύγουν να πέσουν θύματα κακόβουλων επιθέσεων». Για περισσότερες πληροφορίες, επισκεφθείτε τη σελίδα WeLiveSecurity.
  19. Το CCleaner είναι ένα δωρεάν πρόγραμμα το οποίο υπόσχεται να επιταχύνει το σύστημα του χρήστη, αλλά και να προσφέρει ασφαλέστερη περιήγηση στο διαδίκτυο. Εκατομμύρια χρήστες το επιλέγουν για αυτό το σκοπό. Αν είστε ένας από αυτούς και αν κατεβάσατε στο πρόσφατο παρελθόν το CCleaner ή το CCleaner Cloud , καλό θα ήταν να προβείτε σε άμεση αναβάθμιση, αν δεν είναι εγκατεστημένη η τελευταία έκδοση του προγράμματος που χρησιμοποιείτε. Η Talos, παρακλάδι του τμήματος ασφαλείας της Cisco, ανακάλυψε ότι hackers παραβίασαν τους servers της Piriform, της εταιρίας που βρίσκεται πίσω από τα CCleaner και CCleaner Cloud και εισήγαγαν malware στον installer των προγραμμάτων. Το CCleaner διαθέτει ψηφιακή υπογραφή που του επιτρέπει να θεωρείται αυτόματα ως ασφαλής εφαρμογή κατά την εγκατάστασή του από το σύστημα. Οι προσβεβλημένες εκδόσεις των CCleaner και CCleaner Cloud, ήταν διαθέσιμες για download τον Αύγουστο. Το CCleaner Cloud διαθέτει σύστημα αυτόματης αναβάθμισης, αλλά το CCleaner όχι, οπότε είναι πιθανό ότι η έκδοση αυτή παραμένει εγκατεστημένη σε πλήθος μηχανημάτων. Οι προσβεβλημένες εκδόσεις των προγραμμάτων επιχειρούν να συνδεθούν σε πλήθος μη καταχωρημένων ιστοσελίδων, με το malware να διαδίδεται με παρόμοιο τρόπο που διαδιδόταν το NoPetya. Η Piriform προέβη σε ανάρτηση ενός blog post όπου ζητάει συγνώμη από τους χρήστες των προγραμμάτων και καλεί τους χρήστες που χρησιμοποιούν ακόμα τις εκδόσεις CCleaner 5.33.6162 και CCleaner Cloud 1.07.3191 να τις αναβαθμίσουν άμεσα. Σύμφωνα με το blog post, η εταιρία θεωρεί ότι κινήθηκε αρκετά γρήγορα, ώστε να σταματήσει την απειλή πριν αυτή προκαλέσει ζημιά.
  20. Οι ερευνητές της ESET ανακάλυψαν ένα νέο, ύπουλο κακόβουλο λογισμικό με το όνομα Joao, το οποίο εξαπλώνεται μέσω ηλεκτρονικών παιχνιδιών που δημοσιεύονται σε μη έγκυρες ιστοσελίδες. Η έρευνα της ESET έδειξε ότι οι δημιουργοί της κακόβουλης εκστρατείας καταχράστηκαν αρκετούς τίτλους παιχνιδιών της εταιρίας Aeria Games, δημοσιεύοντας τροποποιημένες εκδόσεις τους σε διάφορες, μη έγκυρες ιστοσελίδες. Από αυτές, μία κατόρθωσε να παραμείνει ενεργή στην εξάπλωση του κακόβουλου λογισμικού, η gf.ignitgames[.]to, ωστόσο οι λύσεις ασφαλείας της ESET κατόρθωσαν να την μπλοκάρουν. Ακολουθεί το σχετικό δελτίο Τύπου. Η ESET ανακάλυψε νέα απειλή με στόχο τους gamers Αθήνα, 6 Σεπτεμβρίου 2017 – Οι ερευνητές της ESET ανακάλυψαν ένα νέο, ύπουλο κακόβουλο λογισμικό με το όνομα Joao, το οποίο εξαπλώνεται μέσω ηλεκτρονικών παιχνιδιών που δημοσιεύονται σε μη έγκυρες ιστοσελίδες. Το Joao είναι ένα modular malware ικανό να κατεβάζει και να εκτελεί άλλους κακόβουλους κώδικες. «Για να εξαπλωθεί το κακόβουλο λογισμικό Joao, οι δημιουργοί του έχουν καταχραστεί τα μαζικά διαδικτυακά παιχνίδια ρόλων πολλαπλών παικτών. Τα τροποποίησαν ώστε αυτά να μπορούν να κατεβάσουν ακόμη περισσότερα κακόβουλα προγράμματα», εξηγεί ο Tomáš Gardoň, Malware Analyst στην ESET. Η έρευνα της ESET έδειξε ότι οι δημιουργοί της κακόβουλης εκστρατείας καταχράστηκαν αρκετούς τίτλους παιχνιδιών της εταιρίας Aeria Games, δημοσιεύοντας τροποποιημένες εκδόσεις τους σε διάφορες, μη έγκυρες ιστοσελίδες. Από αυτές, μία κατόρθωσε να παραμείνει ενεργή στην εξάπλωση του κακόβουλου λογισμικού, η gf.ignitgames[.]to, ωστόσο οι λύσεις ασφαλείας της ESET κατορθωσαν να την μπλοκάρουν. Τα παιχνίδια που περιείχαν το Joao μπορούσαν να συγκεντρώσουν πληροφορίες σχετικά με τον παραβιασμένο υπολογιστή και στη συνέχεια να κατεβάσουν πρόσθετα στοιχεία που έστελνε ο C&C server. Οι ερευνητές της ESET ανακάλυψαν κατά τη διάρκεια της έρευνάς ότι το Joao διέθετε δυνατότητες για επιθέσεις backdoor, κατασκοπείας και DDoS. «Η διαδικασία της μόλυνσης είναι καλά «μεταμφιεσμένη» για να ξεγελά τα θύματα και αυτά τα τροποποιημένα παιχνίδια λειτουργούν σύμφωνα με το σχέδιο των δημιουργών τους. Μόλις ο παίκτης ξεγελαστεί και προχωρήσει σε λήψη του τροποποιημένου παιχνιδιού, δεν υπάρχει κανένα στοιχείο που να εγείρει τις υποψίες του. Όσοι δεν προστατεύονται με μια αξιόπιστη λύση ασφάλειας καταλήγουν απλά με μολυσμένους υπολογιστές» προειδοποιεί ο Gardoň. Περισσότερες λεπτομέρειες σχετικά με το malware Joao – πώς λειτουργεί, πώς εντοπίζεται και πώς αφαιρείται – βρίσκονται στο σχετικό άρθρο του Tomáš Gardoň στο blog της ESET, WeLiveSecurity.com. Επίσης, οι ειδικοί της ESET έχουν συγκεντρώσει μία σειρά συμβουλών για να βοηθήσουν τους gamers να απολαμβάνουν το παιχνίδι τους χωρίς τον κίνδυνο των απειλών, μερικές από τις οποίες είναι: Προτιμήστε επίσημες πηγές όπου είναι δυνατόν. Φροντίστε τα παιχνίδια να διαθέτουν τις τελευταίες ενημερώσεις. Χρησιμοποιήστε μία αξιόπιστη λύση ασφάλειας και κρτήστε την ενεργή όσο παίζετε. Να θυμάστε ότι υπάρχουν και άλλες απειλές από τις οποίες πρέπει να προφυλαχθείτε. Ακόμη περισσότερες συμβουλές ασφάλειας για gamers από την ESET εδώ.
  21. ΑΠΑΓΟΡΕΥΕΤΑΙ η αντιγραφή του οδηγού από άλλα sites χωρίς αναφορά πηγής αυτό εδώ το thread. Μια προσπάθεια για να βοηθηθούν όσοι δεν τα καταφέρνουν εύκολα με όλα αυτά τα ρημάδια που κυκλοφορούν! Πάμε..... Α) Συμπτώματα. Αυτόματες επανεκκινήσεις, αυτόματες κλήσεις του μόντεμ, «περίεργα» κολλήματα προγραμμάτων, παραθυράκια από παντού και άλλες μη συνηθισμένες συμπεριφορές του λειτουργικού σας συστήματος. Όταν συμβαίνει κάτι απ' όλα αυτά, κάτι βρωμάει στο λειτουργικό σας! Β) Προετοιμασία Windows Service Packs Service Pack 2 για Windows XP ή Service Pack 4 για Windows 2000. Εάν δεν υπάρχουν, να εγκατασταθούν άμεσα (εννοείται ότι πρέπει να κατεβάσετε το ανάλογο SP για την γλώσσα του λειτουργικού σας). Αφαίρεση passwords από Users Αφαιρούμε ΟΛΑ τα passwords εντελώς από όσους χρήστες έχουν. Αλλιώς τα αρχεία μας στους system folders τους μπορεί να είναι κλειδωμένα. Εμφάνιση των κρυφών και system files: Από το Folder Options (My Computer, Tools, Folder Options), στο tab View τικ-αρισμένο το "Display the contents of system folders", επιλέγουμε το "Show hidden files and folders" και ξε-τικάρουμε τα "Hide extensions for known file types" και "Hide protected operating system files". Καθάρισμα των άχρηστων αρχείων Το CCleaner θα μας απαλλάξει γρήγορα και εύκολα από temp & cached files, έτσι ώστε να τελειώσουν τα scan μας ποιο γρήγορα. Απενεργοποίηση του System Restore Βασικό, γιατί σχεδόν όλα τα κ@λοπρογράμματα αυτά αποθηκεύουν κλώνους τους εκεί και μετά την διαγραφή τους επαναφέρονται. Πάμε λοιπόν Start -> Run -> services.msc βρίσκουμε το System Restore Service και το κάνουμε Stop και Disable. Εγκατάσταση Προστασίας Θα χρειαστούμε ένα antivirus, ένα antispyware, ένα immunizer, ένα firewall* και ένα νέο browser. Προσωπικά χρησιμοποιώ τα: Avast! Antivirus Home (ενημέρωση iAVS), MalwareBytes AntiMalware, Spybot Search and Destroy, ZoneAlarm 6.5*, Mozilla Firefox. Κατά την εγκατάσταση του Avast! μας προτείνεται να προγραμματίσουμε ένα scan στο επόμενο boot στο οποίο και επιλέγουμε να το κάνει. Δεν κάνουμε κανένα restart ακόμα. Ενημερώνουμε όλα τα προγράμματα. Τελευταίο περνάμε το ZoneAlarm* και κάνουμε restart. *Windows Vista Update: Επειδή τα Firewalls γενικότερα έχουν πρόβλημα, προτείνω το Vista Firewall Control Free το οποίο προσθέτει έλεγχο και outbound protection με βάση του Vista Firewall. Γ) Καθαρισμός 1) Στην επανεκκίνηση που θα κάνουμε θα ξεκινήσει αυτόματα το Avast!. Το αφήνουμε να κάνει τη δουλειά του και όταν πιάσει κάτι πατάμε μετακίνηση στο κιβώτιο του. Μόλις τελειώσει το Avast!, ξεκινάνε τα Windows. 2) Κάνουμε πάλι επανεκκίνηση και βάζουμε το λειτουργικό σε Safe Mode, πατώντας το F8 ή το F5 συνεχώς πριν φτάσει η εκκίνηση στη οθόνη των Windows. Logon στο λογαριασμό Administrator. 3) Σε safe mode τρέχουμε το MalwareBytes Antimalware (ίσως χρειαστεί να τρέξουμε την service του από services.msc), εγκαθιστούμε τον Firefox και μετά τρέχουμε το Spybot και κάνουμε Scan και μετά Immunize το σύστημά μας. Κάνουμε επανεκκίνηση σε normal Windows. 4) Πάμε στο Run -> msconfig μήπως τυχόν έχει ξεφύγει κάτι. Το πιθανότερο είναι πως είναι όλα καθαρά, αλλά ένας manual έλεγχος δεν βλάπτει! Άλλος ένας έλεγχος με το AntiVirus είναι απαραίτητος για να είμαστε σίγουροι. 5) Το σύστημα θα γίνει πια πεντακάθαρο, οπότε κάνουμε ξανά επανεκκίνηση και τέλος! Αν θέλετε επανενεργοποιείτε το System Restore και κάνετε ένα restore point με καθαρό σύστημα. Αντίστροφα λοιπόν, Start -> Run -> services.msc βρίσκουμε το System Restore Service και το κάνουμε Start & Automatic. Δ) Προστασία από μελλοντικές επιθέσεις. 1) Firewall: Ναι, ναι, είναι άκρως απαραίτητο! Και ναι, ναι, των Windows XP μέχρι SP2 δεν κάνει τίποτα από μόνο του! Προτιμώ το ZoneAlarm Free 6.5 γιατί είναι ελαφρύ και έχει άριστο Outbound protection. Αν είστε τυχεροί και μπορείτε να βρείτε και να εγκαταστήσετε το παλιό, καλό Sygate έχει καλώς. 2) Αντί του Internet Explorer, να χρησιμοποιείτε τον Mozilla Firefox ή τον Opera. Ο IE είναι ευαίσθητος στις ActiveX εγκαταστάσεις και τα περισσότερα αυτών των ρημαδιών χρησιμοποιούν το ActiveX για να εισχωρήσουν στο σύστημά σας. Οι άλλοι 2 browsers δεν μασάνε εκεί που ο ΙΕ δεν προστατεύει. 3) Κλειδί στην όλη υπόθεση είναι η συχνή ανανέωση και ο παράγοντας Χρήστης. Πρέπει να προσέχουμε που κάνουμε κλικ και τι κατεβάζουμε. Πάντως με τη μαγική συνταγή Firewall, Antivirus Shield, Firefox, ανανέωσης δεν θα έχετε εύκολα πρόβλημα! Για τους χρήστες που θέλουν free software προτείνω το Avast! Home που υπάρχει και στα Ελληνικά και το ZoneAlarm. Για τους υπόλοιπους, Kaspersky AV ή Nod32. Τα παραπάνω αποτελούν λύσεις στα περισσότερα προβλήματα που έχω συναντήσει και λύσει ως τώρα. Το review θα ανανεώνεται κάθε φορά που θα μαθαίνω κάτι φρέσκο! Όποιος έχει κάποια διαφωνία, προσθήκη ή ερώτηση είναι ελεύθερος να την postάρει. Το ZoneAlarm 6.5 δεν υπάρχει πλέον, οπότε το ανέβασα rapidshare για να υπάρχει. Extra: Διάφορα links και σημειώσεις Online Scanners Μπορείτε να κάνετε upload ένα αρχείο που θέλετε και να σκαναριστεί με πολλά AV ταυτόχρονα. Thanks to Βίξ
  22. Η ESET έχει εντοπίσει και ερευνά μια πολύπλοκη απειλή, η οποία προέρχεται από ένα νέο στέλεχος κακόβουλου λογισμικού και έχει επηρεάσει μέχρι στιγμής μισό εκατομμύριο χρήστες. Ο τρόπος δράσης του κακόβουλου λογισμικού, με την ονομασία Stantinko, αναλύεται σε πρόσφατο white paper της ESET. Εκεί αναφέρεται ότι το malware ξεγελά τα θύματα να κατεβάζουν πειρατικό λογισμικό από πλαστούς ιστότοπους torrent, ενώ το ίδιο κατορθώνει εδώ και πέντε χρόνια να μεταμορφώνεται συνεχώς, καθιστώντας δύσκολη την ανίχνευσή του. Ακολουθεί σχετικό δελτίο τύπου. Αθήνα, 24 Ιουλίου 2017 – Η ESET έχει εντοπίσει και ερευνά μια πολύπλοκη απειλή, η οποία προέρχεται από ένα νέο στέλεχος κακόβουλου λογισμικού και έχει επηρεάσει μέχρι στιγμής μισό εκατομμύριο χρήστες. Ο τρόπος δράσης του κακόβουλου λογισμικού, με την ονομασία Stantinko, αναλύεται σε πρόσφατο white paper της ESET. Εκεί αναφέρεται ότι το malware ξεγελά τα θύματα να κατεβάζουν πειρατικό λογισμικό από πλαστούς ιστότοπους torrent, ενώ το ίδιο κατορθώνει εδώ και πέντε χρόνια να μεταμορφώνεται συνεχώς, καθιστώντας δύσκολη την ανίχνευσή του. Στοχεύοντας κυρίως χρήστες που μιλούν ρωσικά, το Stantinko αποτελεί ένα δίκτυο bot που κερδίζει έσοδα εγκαθιστώντας επεκτάσεις προγραμμάτων περιήγησης, οι οποίες εμφανίζουν ψεύτικες διαφημίσεις κατά την περιήγηση στο διαδίκτυο. Αφού εγκατασταθεί σε ένα μηχάνημα, μπορεί ανώνυμα να πραγματοποιήσει μαζικές αναζητήσεις στο Google και να δημιουργήσει ψεύτικους λογαριασμούς στο Facebook, οι οποίοι έχουν τη δυνατότητα να προσθέτουν φίλους και να κάνουν «like» σε εικόνες και σελίδες. Ένα «Modular Backdoor» Το Stantinko χρησιμοποιεί ισχυρές τεχνικές για να ξεφεύγει του εντοπισμού και μπορεί να κρύβεται σε απλό κώδικα, ο οποίος φαίνεται νόμιμος. Χρησιμοποιώντας προηγμένες μεθόδους, ο κακόβουλος κώδικας μπορεί να κρυφτεί ή να κρυπτογραφηθεί σε ένα αρχείο είτε στο μητρώο των Windows. Στη συνέχεια αποκρυπτογραφείται χρησιμοποιώντας ένα κλειδί που δημιουργείται κατά την αρχική παραβίαση. Η κακόβουλη συμπεριφορά του δεν μπορεί να ανιχνευθεί μέχρι να λάβει νέα στοιχεία από τον διακομιστή Command-and-Control, γεγονός που καθιστά δύσκολη την αποκάλυψή του. Στα μηχανήματα που έχουν μολυνθεί, εγκαθίστανται δύο υπηρεσίες των Windows με βλαβερό περιεχόμενο που ξεκινούν αυτόματα με την έναρξη του συστήματος. «Αν μολυνθείτε, είναι δύσκολο να απαλλαγείτε από αυτό, αφού η κάθε μία από τις υπηρεσίες έχει τη δυνατότητα να επανεγκαταστήσει την άλλη στην περίπτωση που αυτή διαγραφεί από το σύστημα. Για να εξαλειφθεί πλήρως το πρόβλημα, ο χρήστης πρέπει να διαγράψει ταυτόχρονα και τις δύο υπηρεσίες από το μηχάνημά του», εξηγεί ο Frédéric Vachon, Malware Researcher στην ESET. Με το που βρεθεί μέσα σε μια συσκευή, το Stantinko εγκαθιστά δύο plug-ins για προγράμματα περιήγησης, που είναι και τα δύο διαθέσιμα στο Web Store του Google Chrome – το «The Safe Surfing» και το «Teddy Protection». «Και τα δύο plugins ήταν ακόμα διαθέσιμα στο διαδίκτυο κατά τη διάρκεια της ανάλυσης μας» υποστηρίζει ο Marc-Etienne Léveillé, Senior Malware Researcher στην ESET. «Εκ πρώτης όψεως μοιάζουν με νόμιμες επεκτάσεις του προγράμματος περιήγησης και έχουν ακόμη και ιστότοπο. Ωστόσο, όταν εγκατασταθουν από το Stantinko, οι επεκτάσεις αποκτούν νέες ρυθμίσεις, οι οποίες εμπεριέχουν κανόνες για πρόκληση απάτης με παράνομα κλικ και διαφημίσεις». Μόλις το Stantinko διεισδύσει σε έναν υπολογιστή, οι χειριστές του μπορούν να χρησιμοποιήσουν ευέλικτα plugins για να κάνουν ό, τι θέλουν με το παραβιασμένο σύστημα, όπως να πραγματοποιήσουν ανώνυμα μαζικές αναζητήσεις για την εύρεση ιστότοπων Joomla και WordPress, να επιτεθούν σε αυτούς, να βρουν και να υποκλέψουν δεδομένα και να δημιουργήσουν ψεύτικους λογαριασμούς στο Facebook. Πώς κερδίζουν χρήματα οι χάκερ που βρίσκονται πίσω από το Stantinko Το Stantinko εμφανίζει μεγάλες δυνατότητες για κέρδη, καθώς οι επιθέσεις «click fraud» αποτελούν μια σημαντική πηγή εσόδων για τους χάκερ. Σύμφωνα με έρευνα της White Ops και του Συνδέσμου Διαφημιζομένων στις ΗΠΑ εκτιμάται ότι οι επιθέσεις click fraud μόνο για φέτος στοίχισαν στις επιχειρήσεις 6,5 δισεκατομμύρια αμερικάνικα δολάρια. Δεδομένα από τους ιστότοπους που παραβιάζονται από τον Stantinko μπορούν επίσης να πωληθούν στην «μαύρη» αγορά, αφού το malware μπορεί να μαντέψει τους κωδικούς πρόσβασης προσπαθώντας χιλιάδες διαφορετικούς συνδυασμούς. Παρόλο που οι ερευνητές της ESET δεν μπόρεσαν να παρακολουθήσουν την κακόβουλη δραστηριότητα στα κοινωνικά δίκτυο, οι δημιουργοί του Stantinko διαθέτουν ένα εργαλείο που τους επιτρέπει να εκτελούν απάτες στο Facebook, πουλώντας παράνομα «likes» για να προσελκύουν την προσοχή ανυποψίαστων καταναλωτών. Τα plugins Safe Surfing και Teddy Protection μπορούν να εμφανίζουν διαφημίσεις ή να ανακατευθύνουν τον χρήστη. «Επιτρέπουν στους δημιουργούς του Stantinko να πληρώνονται για το traffic αυτών των διαφημίσεων. Βρήκαμε ακόμη και ότι οι χρήστες αποκτούσαν πρόσβαση στον ιστότοπο του διαφημιζόμενου απευθείας μέσω διαφημίσεων που ανήκουν στο Stantinko», καταλήγει ο Matthieu Faou, Malware Researcher στην ESET. Για περισσότερες πληροφορίες σχετικά με το Stantinko επισκεφθείτε τη σελίδα welivesecurity.com.
  23. Η Trend Micro αποκάλυψε έναν νέο κακόβουλο λογισμικό τύπου trojan, το οποίο βρισκόταν σε πάνω από 800 εφαρμογές που μπορούσε να κατεβάσει κάποιος από το Google Play. Το όνομα αυτού “ANDROIDOS_XAVIER.AXM” ή πιο απλά Xavier. Το Xavier έχει δύο ιδιαιτερότητες το οποίο το καθιστούν ιδιαίτερα επικίνδυνο και ύπουλο. Το Xavier βρέθηκε σε πάνω από 800 εφαρμογές του Google Play, εφαρμογές που προέρχονται συνήθως από την Νοτιοανατολική Ασία και εμφανίζονταν ως ασφαλείς εφαρμογές, όπως για παράδειγμα, εφαρμογές για ringtones ή εφαρμογές για photo editing. Σύμφωνα με την Trend Micro, οι εφαρμογές αυτές έχουν ήδη κατέβει εκατομμύρια φορές από διάφορους χρήστες. Ο λόγος που πέρασε απαρατήρητο, είναι ότι οι εφαρμογές αυτές δεν ενσωματώνουν κάποιο κακόβουλο κώδικα οι ίδιες. Με την εγκατάστασή τους όμως, κατεβάζουν τον απαραίτητο κακόβουλο κώδικα μέσω ενός κρυφού server τον οποίον κώδικα εν συνεχεία εκτελεί. Όλες αυτές οι εργασίες συμβαίνουν χωρίς να γίνουν αντιληπτές από τον χρήστη. Οι δυνατότητες του Xavier περιλαμβάνουν την δυνατότητα εγκατάστασης APK εφαρμογών και μάλιστα χωρίς να γίνει αυτό αντιληπτό σε συσκευές που είναι rooted. Οι επικοινωνία του μέσω διαδικτύου γίνεται μέσω κρυπτογράφησης, ώστε να μην ανιχνευτεί η παρουσία του, ενώ επιπλέον ελέγχει και το αν τρέχει σε συσκευή ή emulator. Σε περίπτωση που τρέχει σε emulator, σταματάει την λειτουργία του. Σε περίπτωση που τρέχει σε κανονική συσκευή, τότε είναι σε θέση να αποστείλει διάφορες πληροφορίες για την συσκευή ή τον χρήστη αυτής. Μια λίστα με μερικές από τις εφαρμογές που περιελάμβαναν το Xavier και αφαιρέθηκαν από την Google έχει δημοσιευτεί εδώ: PDF
  24. Οι υπότιτλοι δεν είναι τίποτα παραπάνω από αρχεία κειμένου και έτσι ακριβώς αντιμετωπίζονται από τα περισσότερα προγράμματα antivirus. Αυτό ίσως να αλλάξει από εδώ και πέρα μιας και οι ερευνητές της Check Point βρήκαν ένα κενό ασφαλείας, το οποίο επιτρέπει την εκκίνηση κακόβουλου λογισμικού μέσω αρχείων υποτίτλων. Το κενό αυτό ασφαλείας επηρεάζει πλήθος γνωστών εφαρμογών αναπαραγωγής αρχείων πολυμέσων, όπως τα Kodi, VLC, Popcorn Time και Stremio και μάλιστα δεν περιορίζεται στα PCs. Επηρεάζει επίσης φορητές συσκευές, αλλά και smart TVs. Μέσω αυτού του κενού ασφαλείας κάποιος θα μπορούσε να αποκτήσει τον πλήρη έλεγχο ενός συστήματος, να τρέξει επιπλέον κακόβουλο λογισμικό, όπως ransomware ή να υποκλέψει προσωπικά δεδομένα. Οι ερευνητές της Check Point πάντως είχαν ειδοποιήσει του δημιουργούς των εφαρμογών αυτών πριν δημοσιοποιήσουν τα ευρήματά τους, οπότε έχουν ήδη κυκλοφορήσει updates που διορθώνουν αυτό το κενό ασφαλείας. Μάλιστα υπάρχουν σχετικά links στην σελίδα της Check Point και στο σχετικό άρθρο της που δημοσίευσαν και το οποίο μπορείτε να βρείτε σε αυτό εδώ το link. Αν χρησιμοποιείτε κάποιο από τα παραπάνω προγράμματα, θα ήταν καλό να προχωρήσετε σε άμεση αναβάθμισή του. Αν χρησιμοποιείται κάποιο άλλο πρόγραμμα, ίσως θα ήταν καλό να ελέγξετε το αν βγήκε αυτές τις μέρες κάποια αναβάθμιση.
  25. Πολλές φορές αποφεύγουμε συσκευές, smartphones ή tablets, από άγνωστες Κινέζικες εταιρίες, από φόβο μήπως έχουν προ εγκατεστημένο κάποιο malware(κακόβουλο πρόγραμμα). Φαίνεται όμως ότι το malware προσβάλει και επώνυμες συσκευές, μιας και ερευνητές της Check Point Security βρήκαν malware εντός 38 επώνυμων συσκευών. Όπως αναφέρουν οι ερευνητές της Check Point Security, το malware βρισκόταν στις συσκευές των χρηστών, πριν αυτοί τις ανοίξουν για πρώτη φορά. Αλλά αυτό το malware δεν αποτελούσε τμήμα του επίσημου firmware των συσκευών, αλλά προστέθηκε από τρίτους κατά την διαδρομής των συσκευών από τα εργοστάσια κατασκευής τους, έως τους τελικούς καταναλωτές. Στην λίστα των προσβεβλημένων συσκευών, περιλαμβάνονται και τα παρακάτω γνωστά μοντέλα. Samsung Galaxy Note2 LG G4 Samsung Galaxy S7 Samsung Galaxy S4 Samsung Galaxy Note4 Samsung Galaxy Note5 Xiaomi Mi 4i Xiaomi Redmi ZTE X500 Samsung Galaxy Note3 Samsung Galaxy Note Edge Samsung Galaxy Tab S2 Samsung Galaxy A5 Vivo X6 Plus Asus Zenfone 2 Lenovo S90 Oppo R7 Plus Oppo N3 Lenovo A850 Τα περισσότερα από τα malwares που ήταν εγκατεστημένα στις συσκευές, είχαν σκοπό την κλοπή πληροφοριών, προβολή διαφημίσεων, αλλά ακόμα και ένα ransomware το οποίο ονομάζεται Slocker. Φαίνεται λοιπόν ότι δεν αρκεί η συσκευή που αγοράζουμε να είναι επώνυμη. Πρέπει και το μαγαζί από όπου την αγοράζουμε να είναι αξιόπιστο και επιπλέον και το ίδιο να είναι σίγουρο για τους προμηθευτές του. Για περισσότερες πληροφορίες μπορείτε να δείτε το πλήρες άρθρο της Check Point Security, εδώ: Preinstalled Malware Targeting Mobile Users | Check Point Blog
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.