Οι Ισραηλινοί χρήστες Android έχουν στοχοποιηθεί από μια κακόβουλη έκδοση της εφαρμογής “RedAlert – Rocket Alerts”, η οποία, ενώ προσφέρει την υποσχόμενη λειτουργικότητα, λειτουργεί ως λογισμικό κατασκοπείας στο παρασκήνιο. Το RedAlert – Rocket Alerts είναι μια νόμιμη εφαρμογή ανοιχτού κώδικα που χρησιμοποιείται από τους Ισραηλινούς πολίτες για να λαμβάνουν ειδοποιήσεις για εισερχόμενες ρουκέτες που στοχεύουν τη χώρα. Η εφαρμογή είναι ιδιαίτερα δημοφιλής, με πάνω από ένα εκατομμύριο λήψεις στο Google Play.
Από τότε που οι τρομοκράτες της Χαμάς εξαπέλυσαν την επίθεσή τους στο Νότιο Ισραήλ την περασμένη εβδομάδα, με χιλιάδες ρουκέτες, το ενδιαφέρον για την εφαρμογή έχει εκραγεί, καθώς οι άνθρωποι αναζητούσαν έγκαιρες προειδοποιήσεις για επερχόμενες αεροπορικές επιδρομές στην περιοχή τους. Σύμφωνα με την Cloudflare, χάκερ άγνωστης αιτιολογίας και προέλευσης εκμεταλλεύονται το αυξημένο ενδιαφέρον για την εφαρμογή και τον φόβο των επιθέσεων για να διανείμουν μια ψεύτικη έκδοση που εγκαθιστά λογισμικό κατασκοπείας.
Αυτή η κακόβουλη έκδοση διανέμεται από τον ιστότοπο “redalerts[.]me”, ο οποίος δημιουργήθηκε στις 12 Οκτωβρίου 2023 και περιλαμβάνει δύο κουμπιά για τη λήψη της εφαρμογής για τις πλατφόρμες iOS και Android. Η λήψη για το iOS ανακατευθύνει τον χρήστη στη σελίδα του νόμιμου έργου στο App Store της Apple, αλλά το κουμπί για το Android κατεβάζει απευθείας ένα αρχείο APK για να εγκατασταθεί στη συσκευή.
Ειδοποίηση Spyware
Το APK που κατεβάσατε χρησιμοποιεί τον νόμιμο κώδικα της πραγματικής εφαρμογής RedAlert, έτσι ώστε να περιέχει όλες τις κανονικές λειτουργίες και να εμφανίζεται ως ένα νόμιμο εργαλείο συναγερμού πυραύλων.
Ωστόσο, η Cloudflare διαπίστωσε ότι η εφαρμογή ζητά πρόσθετες άδειες από τα θύματα, συμπεριλαμβανομένης της πρόσβασης στις επαφές, τους αριθμούς, το περιεχόμενο SMS του χρήστη, τη λίστα του εγκατεστημένου λογισμικού, τα αρχεία καταγραφής κλήσεων, το IMEI του τηλεφώνου, τους συνδεδεμένους λογαριασμούς ηλεκτρονικού ταχυδρομείου και εφαρμογών και πολλά άλλα.
Κατά την εκκίνηση, η εφαρμογή ξεκινά μια υπηρεσία παρασκηνίου που κάνει κατάχρηση αυτών των δικαιωμάτων για να συλλέξει δεδομένα, να τα κρυπτογραφήσει με AES σε λειτουργία CBC και να τα φορτώσει σε μια σκληρά κωδικοποιημένη διεύθυνση IP.
Η εφαρμογή διαθέτει επίσης μηχανισμούς κατά της αποσφαλμάτωσης, κατά της εξομοίωσης και κατά των δοκιμών που την προστατεύουν από τους ερευνητές και τα εργαλεία αναθεώρησης κώδικα.
Συμβουλές ασφαλείας RedAlert
Ο ψεύτικος ιστότοπος είναι εκτός λειτουργίας τη στιγμή που γράφονται αυτές οι γραμμές. Ωστόσο, οι απειλητικοί φορείς πιθανότατα θα στραφούν σε νέο τομέα μετά την αποκάλυψη της επιχείρησής τους.
Ένας απλός τρόπος για να διακρίνετε μεταξύ της πραγματικής και της παγιδευμένης έκδοσης είναι να ελέγξετε τα δικαιώματα που ζητά η εφαρμογή κατά την εγκατάσταση ή στα οποία έχει πρόσβαση σε περίπτωση που είναι ήδη εγκατεστημένη στη συσκευή σας.
Για να το ελέγξετε αυτό, πατήστε παρατεταμένα το εικονίδιο της εφαρμογής, επιλέξτε “Πληροφορίες εφαρμογής” και πατήστε “Δικαιώματα”.
Επίσης, έχουν αναφερθεί περιπτώσεις αεροπειρατείας στην πραγματική εφαρμογή RedAlert, με χακτιβιστές να εκμεταλλεύονται ελαττώματα API για να προωθούν ψεύτικες ειδοποιήσεις στους χρήστες. Για να ελαχιστοποιήσετε την πιθανότητα τέτοιων περιστατικών, βεβαιωθείτε ότι χρησιμοποιείτε την τελευταία έκδοση της εφαρμογής που περιλαμβάνει όλες τις διαθέσιμες διορθώσεις ασφαλείας.
Ερευνητές ασφαλείας ανακάλυψαν μια νέα εκστρατεία που διανέμει μια νέα έκδοση του κακόβουλου λογισμικού Xenomorph σε χρήστες Android στις Ηνωμένες Πολιτείες, τον Καναδά, την Ισπανία, την Ιταλία, την Πορτογαλία και το Βέλγιο.
Οι αναλυτές της εταιρείας κυβερνοασφάλειας ThreatFabric παρακολουθούν τη δραστηριότητα του Xenomorph από τον Φεβρουάριο του 2022 και σημειώνουν ότι η νέα εκστρατεία ξεκίνησε στα μέσα Αυγούστου.
Η τελευταία έκδοση του Xenomorph στοχεύει χρήστες πορτοφολιών κρυπτονομισμάτων και διάφορα χρηματοπιστωτικά ιδρύματα των ΗΠΑ.
Ιστορικό του Xenomorph
Το Xenomorph εμφανίστηκε για πρώτη φορά στη φύση στις αρχές του 2022, λειτουργώντας ως τραπεζικό trojan που στόχευε 56 ευρωπαϊκές τράπεζες μέσω του screen overlay phishing. Διανεμήθηκε μέσω του Google Play, όπου μέτρησε πάνω από 50.000 εγκαταστάσεις.
Οι δημιουργοί του, η “Hadoken Security”, συνέχισαν την ανάπτυξή του και τον Ιούνιο του 2022 κυκλοφόρησαν μια ξαναγραμμένη έκδοση που έκανε το κακόβουλο λογισμικό αρθρωτό και πιο ευέλικτο.
Μέχρι τότε, το Xenomorph βρισκόταν στην πρώτη δεκάδα των πιο διαδεδομένων τραπεζικών trojans της Zimperium, οπότε είχε ήδη αποκτήσει το καθεστώς “μεγάλης απειλής”.
Τον Αύγουστο του 2022, το ThreatFabric ανέφερε ότι το Xenomorph διανέμεται μέσω ενός νέου dropper με την ονομασία “BugDrop”, ο οποίος παρακάμπτει τα χαρακτηριστικά ασφαλείας του Android 13.
Τον Δεκέμβριο του 2022, οι ίδιοι αναλυτές ανέφεραν για μια νέα πλατφόρμα διανομής κακόβουλου λογισμικού με την ονομασία “Zombinder”, η οποία ενσωμάτωσε την απειλή στο αρχείο APK νόμιμων εφαρμογών Android.
Πιο πρόσφατα, τον Μάρτιο του 2023, η Hadoken κυκλοφόρησε την τρίτη μεγάλη έκδοση του Xenomorph, η οποία διαθέτει ένα σύστημα αυτόματης μεταφοράς (ATS) για αυτόνομες συναλλαγές στη συσκευή, παράκαμψη MFA, κλοπή cookies και τη δυνατότητα να στοχεύει πάνω από 400 τράπεζες.
Νέα καμπάνια
Στην τελευταία εκστρατεία, οι διαχειριστές του κακόβουλου λογισμικού επέλεξαν να χρησιμοποιήσουν σελίδες phishing, παρασύροντας τους επισκέπτες να ενημερώσουν το πρόγραμμα περιήγησης Chrome και εξαπατώντας τους να κατεβάσουν το κακόβουλο APK.
Το κακόβουλο λογισμικό συνεχίζει να χρησιμοποιεί επικαλύψεις για την κλοπή πληροφοριών. Ωστόσο, έχει πλέον επεκτείνει το πεδίο στόχευσής του και περιλαμβάνει χρηματοπιστωτικά ιδρύματα από τις Ηνωμένες Πολιτείες και πολλαπλές εφαρμογές κρυπτονομισμάτων.
Η ThreatFabric εξηγεί ότι κάθε δείγμα Xenomorph είναι φορτωμένο με περίπου εκατό επικαλύψεις που στοχεύουν διαφορετικά σύνολα τραπεζών και εφαρμογών κρυπτογράφησης, ανάλογα με τη στοχευόμενη δημογραφική ομάδα.
Πιο πρόσφατη έκδοση
Παρόλο που τα νέα δείγματα του Xenomorph δεν διαφέρουν σημαντικά από τις προηγούμενες παραλλαγές, διαθέτουν ορισμένα νέα χαρακτηριστικά που υποδεικνύουν ότι οι δημιουργοί του συνεχίζουν να βελτιώνουν και να βελτιώνουν το κακόβουλο λογισμικό.
Πρώτον, ένα νέο χαρακτηριστικό “μίμησης” μπορεί να ενεργοποιηθεί με μια αντίστοιχη εντολή, δίνοντας στο κακόβουλο λογισμικό τη δυνατότητα να ενεργεί ως άλλη εφαρμογή.
Επιπλέον, το mimic διαθέτει μια ενσωματωμένη δραστηριότητα με το όνομα IDLEActivity, η οποία λειτουργεί ως WebView για την εμφάνιση νόμιμου περιεχομένου ιστού από το πλαίσιο μιας αξιόπιστης διεργασίας.
Αυτό το σύστημα αντικαθιστά την ανάγκη απόκρυψης εικονιδίων από τον εκκινητή εφαρμογών μετά την εγκατάσταση, η οποία επισημαίνεται ως ύποπτη συμπεριφορά από τα περισσότερα εργαλεία ασφαλείας για κινητά τηλέφωνα.
Ένα άλλο νέο χαρακτηριστικό είναι το “ClickOnPoint”, το οποίο επιτρέπει στους χειριστές του Xenomorph να προσομοιώνουν πατήματα σε συγκεκριμένες συντεταγμένες της οθόνης.
Αυτό επιτρέπει στους χειριστές να περνούν από τις οθόνες επιβεβαίωσης ή να εκτελούν άλλες απλές ενέργειες χωρίς να χρησιμοποιούν την πλήρη μονάδα ATS, η οποία μπορεί να προκαλέσει προειδοποιήσεις ασφαλείας.
Τέλος, υπάρχει ένα νέο σύστημα “antisleep” που εμποδίζει τη συσκευή να απενεργοποιήσει την οθόνη της μέσω μιας ενεργής ειδοποίησης.
Αυτό είναι χρήσιμο για την παράταση της εμπλοκής και την αποφυγή διακοπών που απαιτούν την αποκατάσταση των επικοινωνιών διοίκησης και ελέγχου.
Άλλα ευρήματα
Εκμεταλλευόμενοι τα αδύναμα μέτρα ασφαλείας του χειριστή του κακόβουλου λογισμικού, οι αναλυτές του ThreatFabric είχαν πρόσβαση στην υποδομή φιλοξενίας του ωφέλιμου φορτίου.
Εκεί, ανακάλυψαν πρόσθετα κακόβουλα ωφέλιμα φορτία, συμπεριλαμβανομένων των παραλλαγών κακόβουλου λογισμικού Android Medusa και Cabassous, των Windows information stealers RisePro και LummaC2 και του φορτωτή κακόβουλου λογισμικού Private Loader.
Οι χρήστες θα πρέπει να είναι προσεκτικοί με τις προτροπές στα κινητά για ενημέρωση των προγραμμάτων περιήγησής τους, καθώς αυτές είναι πιθανό να αποτελούν μέρος εκστρατειών διανομής κακόβουλου λογισμικού.
Η διανομή του Xenomorph μαζί με ισχυρό κακόβουλο λογισμικό των Windows υποδηλώνει συνεργασία μεταξύ φορέων απειλών ή την πιθανότητα το trojan Android να πωλείται ως Malware-as-a-Service (MaaS).
Πως λειτουργεί μια επίθεση DDos και τρόποι προστασίας
Οι επιθέσεις DDoS (Distributed Denial of Service) λειτουργούν καταφέρνοντας να υπερφορτώσουν έναν στόχο με κίνηση από πολλούς υπολογιστές ή συσκευές, καθιστώντας τον μη διαθέσιμο για τους νόμιμους χρήστες. Ακολουθούν τα βασικά στάδια του πώς λειτουργεί μια επίθεση DDoS:
Επιλογή του Στόχου: Ο επιτιθέμενος επιλέγει μια ιστοσελίδα, έναν διακομιστή ή μια υπηρεσία ως στόχο για την επίθεση DDoS.
Δημιουργία Botnet Δικτύου (Botnet): Ο επιτιθέμενος συγκεντρώνει ένα μεγάλο αριθμό υπολογιστών ή συσκευών που είναι μολυσμένα από κακόβουλο λογισμικό (malware) και έχουν μετατραπεί σε bot. Αυτά τα μέλη του botnet μπορούν να ελεγχθούν από τον επιτιθέμενο.
Εκτέλεση της Επίθεσης: Ο επιτιθέμενος εκτελεί την επίθεση ενεργοποιώντας τους υπολογιστές στο botnet να στείλουν μεγάλο όγκο αιτημάτων στον στόχο (συνήθως στον διακομιστή του στόχου).
Υπερφόρτωση του Διακομιστή Στόχου: Ο διακομιστής στόχος αντιμετωπίζει τον υπερβολικό όγκο κίνησης από το botnet. Οι αιτήσεις από το botnet συχνά είναι ανώνυμες ή περιέχουν πλαστικά δεδομένα, καθιστώντας δύσκολο τον διαχωρισμό μεταξύ νόμιμων και κακόβουλων αιτημάτων.
Αποτυχία της Διαθεσιμότητας: Η διακίνηση των κακόβουλων αιτημάτων καταφέρνει να υπερφορτώσει τον διακομιστή στόχο, καθιστώντας τον μη διαθέσιμο για τους νόμιμους χρήστες. Αυτό είναι γνωστό ως “αποκοπή της υπηρεσίας” (Denial of Service) και συνήθως είναι το αποτέλεσμα της επίθεσης DDoS.
Οι επιθέσεις DDoS μπορούν να έχουν σοβαρές συνέπειες για τους στόχους τους, όπως διακοπή της λειτουργίας της ιστοσελίδας ή της υπηρεσίας, απώλεια επιχειρηματικής δραστηριότητας και οικονομικές απώλειες. Για αυτόν τον λόγο, οι ιδιοκτήτες ιστοσελίδων και οι διαχειριστές δικτύου πρέπει να λάβουν μέτρα προστασίας, όπως τη χρήση WAFs, CDNs, και λοιπών ασφαλιστικών πρακτικών για την αντιμετώπιση των επιθέσεων DDoS.
Η προστασία από επιθέσεις DDoS (Distributed Denial of Service) είναι σημαντική για τη διατήρηση της διαθεσιμότητας της ιστοσελίδας σας και την προστασία της από υπερφορτώσεις του δικτύου. Εδώ είναι μερικά βασικά μέτρα για την προστασία από DDoS:
Χρησιμοποιήστε Content Delivery Network (CDN): Η χρήση ενός CDN μπορεί να βοηθήσει στην κατανομή του φόρτου των επιθέσεων DDoS σε διάφορες τοποθεσίες, μειώνοντας τον αντίκτυπο στον κύριο διακομιστή σας.
Χρησιμοποιήστε Φιλτρά και Εισόδους Web Application Firewall (WAF): Ένα WAF μπορεί να ανιχνεύσει και να αποτρέψει επιθέσεις DDoS. Συνδυάζοντας το με φιλτρά ανάλυσης κίνησης, μπορείτε να αντιμετωπίσετε τις επιθέσεις πριν φτάσουν στον διακομιστή σας.
Παρακολούθηση της Κίνησης Δικτύου: Χρησιμοποιήστε λύσεις παρακολούθησης της κίνησης του δικτύου για να ανιχνεύετε ασυνήθιστη δραστηριότητα που ενδεχομένως να υποδηλώνει DDoS επιθέσεις.
Αντιμετώπιση της Εξελισσόμενης Κίνησης: Ορίστε μηχανισμούς αυτόματης επέκτασης της υποδομής σας για να αντιμετωπίζετε αυξημένη κίνηση κατά την επίδειξη επιθέσεων DDoS.
Απενεργοποίηση Pingbacks και Trackbacks: Στο WordPress, απενεργοποιήστε τις λειτουργίες Pingbacks και Trackbacks, καθώς μπορούν να χρησιμοποιηθούν για επιθέσεις επικάλυψης DDoS.
Χρησιμοποιήστε Υπηρεσίες Ασφαλείας DDoS: Υπάρχουν πολλές εταιρείες που προσφέρουν υπηρεσίες προστασίας DDoS. Αυτές οι υπηρεσίες μπορούν να αναλάβουν την προστασία της ιστοσελίδας σας και να διαχειριστούν την κίνηση DDoS για εσάς.
Σχεδιασμός για Κλιμάκωση: Σχεδιάστε την υποδομή σας και τον κωδικά της ιστοσελίδας σας με τη δυνατότητα κλιμάκωσης, έτσι ώστε να μπορεί να αντιμετωπίσει αυξημένη κίνηση κατά τις επιθέσεις DDoS χωρίς να αποτύχει.
Εφαρμογή Rate Limiting: Εφαρμόστε περιορισμούς στον αριθμό των αιτήσεων που μπορούν να γίνουν από μια διεύθυνση IP σε σύντομο χρονικό διάστημα.
Εφαρμόστε περιορισμούς: Εάν γνωρίζετε τη γεωγραφική περιοχή από την οποία προέρχονται συχνά οι επιθέσεις, μπορείτε να εφαρμόσετε περιορισμούς που θα αποκλείουν την κίνηση από αυτές τις χώρες.
CloudFlare και προστασία απο επιθέσεις DDos
Η Cloudflare παρέχει εξειδικευμένα εργαλεία και υπηρεσίες για την προστασία από DDoS επιθέσεις. Εδώ είναι μερικά από τα βήματα που μπορείτε να ακολουθήσετε για να ενισχύσετε την προστασία σας χρησιμοποιώντας την υπηρεσία Cloudflare:
Ενεργοποίηση του DDoS Protection: Βεβαιωθείτε ότι έχετε ενεργοποιήσει την προστασία DDoS από τον λογαριασμό Cloudflare σας. Αυτό περιλαμβάνει την προστασία από επιθέσεις (Layer 3/4) και επιθέσεις εφαρμογής (Layer 7).
Διαμορφώστε τους κανόνες ασφαλείας: Στον πίνακα ελέγχου της Cloudflare, μπορείτε να διαμορφώσετε κανόνες ασφαλείας για να ανιχνεύουν και να φιλτράρουν κίνηση που φαίνεται ύποπτη ή από επιθετικές διευθύνσεις IP.
Χρησιμοποιήστε τη λειτουργία “I’m Under Attack”: Η Cloudflare έχει μια επιλογή που λέγεται “I’m Under Attack,” η οποία ενεργοποιεί επιπρόσθετα μέτρα προστασίας κατά των DDoS επιθέσεων. Μπορείτε να τη χρησιμοποιήσετε όταν παρατηρείτε υπερβολική κίνηση.
Καταγραφή και ανάλυση: Ενεργοποιήστε την καταγραφή γεγονότων και ανάλυση κίνησης στο Cloudflare για να παρακολουθείτε την εισερχόμενη κίνηση και να ανιχνεύετε επιθέσεις.
Χρησιμοποιήστε την WAF της Cloudflare: Η Web Application Firewall (WAF) της Cloudflare μπορεί να ανιχνεύει και να προστατεύει την εφαρμογή σας από επιθέσεις εφαρμογής. Ρυθμίστε την WAF σύμφωνα με τις ανάγκες σας.
Χρησιμοποιήστε Rate Limiting: Η υπηρεσία Rate Limiting της Cloudflare μπορεί να περιορίσει τον αριθμό των αιτημάτων από μια διεύθυνση IP σε ένα συγκεκριμένο χρονικό διάστημα, βοηθώντας έτσι στην αντιμετώπιση επιθέσεων που βασίζονται στον όγκο.
Συνεχής ενημέρωση και παρακολούθηση: Παρακολουθείτε συνεχώς τις αναφορές ασφαλείας της Cloudflare και ενημερώνετε τις ρυθμίσεις ασφαλείας σας ανάλογα με τις νέες απειλές.
Εύρεση των βάσεων δεδομένων –> sqlmap.py -u <URL> --dbs
Αποκτήστε πρόσβαση στη βάση δεδομένων που θέλετε –> sqlmap.py -u <URL> --tables -D <όνομα βάσης δεδομένων>
Τραβήξτε τις στήλες των πινάκων –> sqlmap.py -u <URL> -columns -Τ <όνομα πίνακα>
Βρείτε τα δεδομένα απο τα tables–> sqlmap.py -u <URL> --columns -Τ <όνομα πίνακα> -C <ονόματα των στηλών> (serperate με κόμματα EG: a_username, a_password) --dump
Ας ξεκινήσουμε.
Δεν θα μπω στη διαδικασία να σας εξηγήσω πως μπορούμε να βρούμε μια σελίδα ευάλωτη σε sql injection η πως κάνουμε εγκατάσταση του Sqlmap.
1)Δίνουμε την εντολή
sqlmap.py -u vuln url
Όπου vuln url βάζουμε το δικό μας.
Αν είναι ευπαθής η σελίδα θα δείτε κάτι σαν το παρακάτω.
2)Πάμε να βρούμε την βάση δεδομένων, αυτο μπορούμε να το κάνουμε με την εντολή
sqlmap.py -u <vuln url> --dbs
Και σαν αποτέλεσμα παίρνουμε την βάση δεδομένων της σελίδας.
3)Τώρα θα πρέπει να πάρουμε πρόσβαση το οποίο είναι εύκολο! Διαγράψετε –dbs και πληκτρολογήστε –tables -D και, στη συνέχεια, τη βάση δεδομένων που θέλετε.
Τι κάναμε ακριβώς; το –tables λέει στο sqlmap οτι ψάχνουμε για πίνακες και το -D (πρέπει να είναι κεφαλαία!) λέει στο sqlmap οτι θέλουμε να ανοίξουμε αυτή τη βάση δεδομένων.
Αν όλα πάνε καλα θα πρέπει να μοιάζει με την παραπάνω εικόνα
4)Τώρα θα πρέπει να ανοίξετε τους πίνακες που βρήκε για να διαβάσουμε τα δεδομένα, usernames,passwords κλπ
Διαγράψτε το –tables και αντικαταστήστε το με –columns το οποίο ενημερώνει τον χρήστη οτι θέλουμε να ανοίξουμε τις στήλες στη συνέχεια, πληκτρολογήστε -Τ (ΚΕΦΑΛΑΙΑ!) Και, στη συνέχεια, το πίνακα που θέλετε να ανοίξετε!
Και το αποτέλεσμα
Βλέπουμε δύο πράγματα ενδιαφερων, db_username και db_password.
Για άλλη μια φορά, προσθέστε -C βάση δεδομένων, βάση δεδομένων αντικατάστασή τους με αυτά που θέλετε και, στη συνέχεια, –dump στο τέλος, αυτό λέει στο sqlmap οτι θέλουμε να έχουν πρόσβαση σε δύο από αυτές τις στήλες.
Οι επιθέσεις Ransomware στοχεύουν τώρα μη ενημερωμένους διακομιστές WS_FTP
Οι εκτεθειμένοι στο Διαδίκτυο διακομιστές WS_FTP που δεν έχουν ενημερωθεί για μια ευπάθεια μέγιστης σοβαρότητας αποτελούν πλέον στόχο επιθέσεων ransomware.
Όπως παρατηρήθηκε πρόσφατα από τους υπεύθυνους αντιμετώπισης περιστατικών της Sophos X-Ops, οι απειλητικοί φορείς που αυτοπροσδιορίζονται ως Reichsadler Cybercrime Group προσπάθησαν, ανεπιτυχώς, να αναπτύξουν ωφέλιμα φορτία ransomware που δημιουργήθηκαν χρησιμοποιώντας έναν οικοδόμο LockBit 3.0 που κλάπηκε τον Σεπτέμβριο του 2022.
Οι επιτιθέμενοι προσπάθησαν να κλιμακώσουν τα προνόμια χρησιμοποιώντας το εργαλείο ανοικτού κώδικα GodPotato, το οποίο επιτρέπει την κλιμάκωση προνομίων σε ‘NT AUTHORITY\SYSTEM’ σε πλατφόρμες πελατών Windows (Windows 8 έως Windows 11) και διακομιστών (Windows Server 2012 έως Windows Server 2022).
Ευτυχώς, η προσπάθειά τους να αναπτύξουν τα ωφέλιμα φορτία ransomware στα συστήματα των θυμάτων ματαιώθηκε, εμποδίζοντας τους επιτιθέμενους να κρυπτογραφήσουν τα δεδομένα του στόχου.
Παρόλο που δεν κατάφεραν να κρυπτογραφήσουν τα αρχεία, οι απειλητικοί φορείς εξακολουθούσαν να απαιτούν λύτρα ύψους 500 δολαρίων, πληρωτέα έως τις 15 Οκτωβρίου, ώρα Μόσχας.
Η χαμηλή απαίτηση λύτρων υποδηλώνει ότι οι εκτεθειμένοι στο Διαδίκτυο και ευάλωτοι διακομιστές WS_FTP πιθανότατα αποτελούν στόχο μαζικών αυτοματοποιημένων επιθέσεων ή μιας άπειρης επιχείρησης ransomware.
Με την ονομασία CVE-2023-40044, το ελάττωμα προκαλείται από μια ευπάθεια αποδιαταξινόμησης του .NET στο Ad Hoc Transfer Module, επιτρέποντας σε μη εξουσιοδοτημένους επιτιθέμενους να εκτελούν εντολές στο υποκείμενο λειτουργικό σύστημα μέσω αιτήσεων HTTP από απόσταση.
Στις 27 Σεπτεμβρίου, η Progress Software κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση της κρίσιμης ευπάθειας του WS_FTP Server, προτρέποντας τους διαχειριστές να αναβαθμίσουν τις ευάλωτες περιπτώσεις.
Οι ερευνητές ασφαλείας της Assetnote που ανακάλυψαν το σφάλμα WS_FTP κυκλοφόρησαν κώδικα απόδειξης του σχεδίου (PoC) για εκμετάλλευση μόλις λίγες ημέρες μετά την επιδιόρθωσή του.
Η εταιρεία κυβερνοασφάλειας Rapid7 αποκάλυψε ότι οι επιτιθέμενοι άρχισαν να εκμεταλλεύονται το CVE-2023-40044 στις 3 Σεπτεμβρίου, την ημέρα που κυκλοφόρησε το exploit PoC.
Το Shodan απαριθμεί σχεδόν 2.000 συσκευές που είναι εκτεθειμένες στο Διαδίκτυο και χρησιμοποιούν το λογισμικό WS_FTP Server, επιβεβαιώνοντας τις αρχικές εκτιμήσεις της Assetnote.
Οι οργανισμοί που δεν μπορούν να επιδιορθώσουν άμεσα τους διακομιστές τους μπορούν να εμποδίσουν τις εισερχόμενες επιθέσεις απενεργοποιώντας την ευάλωτη μονάδα Ad Hoc Transfer Module του διακομιστή WS_FTP.
Το Κέντρο Συντονισμού Κυβερνοασφάλειας του Τομέα Υγείας (HC3), η ομάδα ασφαλείας του Υπουργείου Υγείας των ΗΠΑ, προειδοποίησε επίσης τον περασμένο μήνα τους οργανισμούς του τομέα της υγειονομικής περίθαλψης και της δημόσιας υγείας να επιδιορθώσουν τους διακομιστές τους το συντομότερο δυνατό.
Η Progress Software αντιμετωπίζει επί του παρόντος τα απόνερα μιας εκτεταμένης σειράς επιθέσεων κλοπής δεδομένων που εκμεταλλεύτηκαν ένα σφάλμα μηδενικής ημέρας στην πλατφόρμα ασφαλούς μεταφοράς αρχείων MOVEit Transfer νωρίτερα φέτος.
Οι επιθέσεις αυτές επηρέασαν πάνω από 2.500 οργανισμούς και περισσότερα από 64 εκατομμύρια άτομα, όπως εκτιμά η Emsisoft.
Στις μέρες μας πολλοί άνθρωποι συνήθισαν πλέον να έχουν ένα προσωπικό τους Email για να μιλάνε με δικά τ ους πρόσωπα ακόμα και για να έχουν κάποια μέσα κοινωνικά δικτύωσης σκεφτήκατε ποτέ όμως ότι αυτό μπορεί να γίνει και ένα ολοζώντανο σενάριο Ηλεκτρονικής παραβίασης; Όχι φυσικά. Οπότε ας πάμε να το αναλύσουμε όσο ποιο πολύ μπορούμε.
Τι είναι ένα Email Spoofing? Ορισμός : Email spoofing είναι η δημιουργία των μηνυμάτων ηλεκτρονικού ταχυδρομείου με πλαστή διεύθυνση αποστολέα.
Ουσιαστικά οι spammers ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν Email Spoofing για να ξεγελάσουν τα θύματά τους ώστε να πιστέψουν ότι ο αποστολέας είναι κάποιος, ο οποίος δεν είναι στην ουσία . Ένα παράδειγμα θα ήταν αν κάποιος στείλει ένα μια επίσημη φόρμα στο θύμα τους, ισχυρίζοντας ότι είναι από το Facebook, με σκοπό την κλοπή και παραπλάνηση του ατόμου.
Πόσα άτομα πέφτουν στην απάτη αυτή καθημερινά?
Μπορώ να σας πω ότι μέσα από την πείρα χρόνων που έχω τα άτομα τα οποία έχουν πέσει θύμα σε αυτές τις επιθέσεις ξεπερνάνε τις χιλιάδες σε παγκόσμια εμβέλεια καθημερινός.
Για ποιους λόγους χρησιμοποιείτε το Email Spoofing?
1. Για να τους κάνετε να τρέξουν κάποιο κακόβουλο λογισμικό δικό σας ( Στην περίπτωση μου έκανα τα θύματα να τρέχουν Meterpreters ) 2. Να κάνουν επίσκεψη σε μία σελίδα που θέλετε εσείς ( Λογικά για τα Views Per Click η για να προσαρμόσετε κάποιο Cookie Stealer / Session Hijack ) 3. Να πληροφορήσετε το θύμα σας με εσφαλμένες πληροφορίες ( Π.Χ ότι κάποιος γνωστός τους απεβίωσε για δικούς σας λόγους πάντα ) 4. Ηλεκτρονικό Ψάρεμα / Υποκλοπές
Το Email spoofing είναι ένας ισχυρός σύμμαχος, αν χρησιμοποιηθεί σωστά μπορείτε να χειραγωγήσετε όποιον θέλετε.
Αυτά είναι τα 4 βασικά στοιχεία που αποτελούν την δομή του Email Spoofing.
Ας ξεκινήσουμε λοιπόν στην σύνθεση του.
Η γλώσσα PhP είναι μια πολύ δυνατή γλώσσα μέσω αυτής μπορούμε να δημιουργήσουμε έναν απλό τύπου Email Spoofing σε php και να το ανεβάσουμε σε κάποια σελίδα δικιά μας,το θέμα μας εδώ είναι ότι κάθε πράγμα που θα αποστείλουμε μέσω του Script θα πάει κατευθείαν στο Spam Folder λόγο του ότι το gmail έχει παραμέτρους για τέτοια Script και τα φιλτράρει οπότε θα βρούμε μια μέθοδο προσπέλασης ας αρχίσουμε λοιπόν.
Θα πρέπει να κάνουμε έναν λογαριασμό αρχικά στο ManDrill από εδώ
https://mailchimp.com/
Προτού πάω παρακάτω θα πω τι είναι το ManDrill.Tο ManDrill είναι ένα Web Based Email Spooder που μας επιτρέπει να αποστείλουμε Email χωρίς το φίλτρο να καταλάβει ότι είναι κακόβουλο το Script με αποτέλεσμα να πάει κατευθείαν στο inbox του προορισμό που ορίσαμε. Ας συνεχίσουμε λοιπόν.
Μόλις κάνετε τον λογαριασμό θα πάτε στην μπάρα πάνω στην αριστερή πλευρά σας και θα επιλέξετε την επιλογή “OutBound” και θα πατήσετε “Compose Message” για όσους δεν κατάλαβαν που πρέπει να πάτε παραθέτω και μία εικόνα
Αμέσως μετά θα σας λέει να συμπληρώσετε στοιχεία αποστολέα και email ακόμα και το μήνυμα θα σας εξηγήσω τι βάζετε ακριβώς. – Από Email / From Email : Η διεύθυνση ηλεκτρονικού ταχυδρομείου που θέλετε να εμφανίζεται από όπου προήλθε το email π.χ μπορείτε να βάλετε από της αστυνομίας η από όποιον οργανισμό θέλετε. – Για Email / Τo Email : η διεύθυνση ηλεκτρονικού ταχυδρομείου που θέλετε το μήνυμα σύνθεσής σας που πρόκειται να παραδοθεί π.χ στον φίλο σας. – Θέμα / Subject : Εδώ βάζετε καθαρά το Θέμα που θα έχει το μήνυμα π.χ ” Facebook Support ” – Και το μεγάλο λευκό κείμενο : Είναι για να κάνετε σύνταξη του μηνύματος που θέλετε να στείλετε στο θύμα σας.
Παραθέτω μια εικόνα για το πως είναι.
Το ποιο σημαντικό κομμάτι είναι να κάνετε το Email σας να είναι πραγματικό οπότε μην ξεχάσετε να εφαρμόσετε και μερικά HTML Elements τι εννοώ με αυτό; Μπορείτε να πλαστογραφήσετε ένα ολόκληρο μήνυμα που σας στείλανε και να το βάλετε στην φόρμα σας κανονικό περιεχόμενο με αλλαγμένους τους σύνδεσμους.
Παραθέτω μια εικόνα.
Μόλις τα έχετε όλα έτοιμα πατήστε ” Send / Αποστολή ”
Το μήνυμα θα έρθει στο θύμα μας μέσα σε μερικά λεπτά και θα είναι στο Inbox του.
Παραθέτω εικόνα του τελικού προϊόντος.
Τελευταίο και καλύτερο από όλα το ManDrill έχει την δυνατότητα να ξέρει πότε ο χρήστης έκανε κλίκ στο Email που το στείλαμε! Οπότε θα είστε ενημερωμένη πάντα αν το έλαβε και αν το διάβασε και δεν έπεσε θύμα.
Υποκλοπή Cookies: Προστατεύοντας την Ιδιωτικότητά σας στον Ψηφιακό Κόσμο
Οι ψηφιακοί χώροι έχουν γίνει σημαντικό κομμάτι της καθημερινής μας ζωής, και οι ιστότοποι συχνά χρησιμοποιούν τα cookies για να συλλέξουν πληροφορίες σχετικά με τους χρήστες. Ωστόσο, η υποκλοπή των cookies, δηλαδή η παράνομη πρόσβαση και χρήση αυτών των πληροφοριών από ανεπιθύμητα πρόσωπα, αποτελεί σοβαρή απειλή για την ιδιωτικότητά σας. Σε αυτό το άρθρο, θα εξετάσουμε τι είναι η υποκλοπή των cookies, πώς λειτουργεί, και πώς μπορείτε να προστατεύσετε την ιδιωτικότητά σας όταν περιηγείστε στο διαδίκτυο.
Τι είναι τα Cookies;
Τα cookies είναι μικρά αρχεία που αποθηκεύονται στον υπολογιστή σας όταν επισκέπτεστε ιστοσελίδες. Αυτά τα αρχεία περιέχουν πληροφορίες σχετικά με την περιήγησή σας, όπως τις προτιμήσεις σας, το ιστορικό περιήγησής σας, και τα στοιχεία σύνδεσης. Τα cookies χρησιμοποιούνται για να βελτιστοποιήσουν την εμπειρία περιήγησής σας στο διαδίκτυο και να παρέχουν εξατομικευμένο περιεχόμενο.
Υποκλοπή Cookies: Τι Συμβαίνει;
Η υποκλοπή των cookies συμβαίνει όταν κακόβουλοι ή ανεπιθύμητοι χρήστες καταφέρνουν να αποκτήσουν πρόσβαση στα cookies του υπολογιστή σας χωρίς την άδειά σας. Αυτό μπορεί να γίνει με διάφορους τρόπους:
Μαλισταρισμένα Emails ή Μηνύματα: Κακόβουλοι αποστολείς μπορούν να στείλουν phishing emails ή μηνύματα που περιέχουν κακόβουλους συνδέσμους που, αν ακολουθήσετε, μπορούν να υποκλέψουν τα cookies από τον φυλλομετρητή σας.
Κακόβουλα Προγράμματα: Οι κακόβουλοι χρήστες μπορούν να εγκαταστήσουν κακόβουλα προγράμματα στον υπολογιστή σας που να αφαιρούν τα cookies από τον φυλλομετρητή σας.
Ευπάθειες του Ιστοτόπου: Σε ορισμένες περιπτώσεις, ευπάθειες στον ιστότοπο μπορούν να επιτρέψουν σε επιτιθέμενους να κλέψουν τα cookies από τον φυλλομετρητή σας.
Πώς να Προστατευτείτε από την Υποκλοπή των Cookies:
Παρότι η υποκλοπή των cookies μπορεί να φαίνεται ανησυχητική, υπάρχουν πολλά βήματα που μπορείτε να ακολουθήσετε για να προστατευτείτε:
Ενημερωθείτε: Πρώτα από όλα, είναι σημαντικό να κατανοήσετε τον τρόπο λειτουργίας των cookies και τους κινδύνους που μπορεί να συνεπάγονται. Ενημερωθείτε για την ιδιωτικότητα στον ψηφιακό κόσμο και για τα εργαλεία προστασίας.
Ενημερώστε τον Φυλλομετρητή σας: Οι περισσότεροι σύγχρονοι φυλλομετρητές έχουν ενσωματωμένες επιλογές ασφαλείας και προστασίας της ιδιωτικότητας. Ενημερώστε τον φυλλομετρητή σας και χρησιμοποιήστε ρυθμίσεις που περιορίζουν τα cookies.
Χρησιμοποιήστε Επεκτάσεις Ασφαλείας: Υπάρχουν πολλές επεκτάσεις (extensions) διαθέσιμες για διάφορους φυλλομετρητές που μπορούν να σας βοηθήσουν να προστατευτείτε από την υποκλοπή των cookies και άλλες απειλές. Προσθέστε μια επέκταση ασφαλείας στον φυλλομετρητή σας.
Καθαρίστε τα Cookies Ρυθμιστικά: Ο φυλλομετρητής σας συνήθως παρέχει τη δυνατότητα να διαγράψετε τα cookies. Κανονικά, αυτό γίνεται από τις ρυθμίσεις του φυλλομετρητή σας. Καθαρίστε τα cookies τακτικά ή όταν υποψιάζεστε ότι η ασφάλεια του υπολογιστή σας μπορεί να έχει παραβιαστεί.
Χρησιμοποιήστε Ενισχυμένη Ασφάλεια: Συνιστάται να χρησιμοποιείτε αντι-virus και αντι-malware προγράμματα για να προστατεύσετε τον υπολογιστή σας από κακόβουλο λογισμικό που μπορεί να επιχειρήσει να αποκτήσει πρόσβαση στα cookies.
Επιλέξτε Ασφαλείς Συνδέσεις (HTTPS): Προτιμήστε ιστοσελίδες που παρέχουν ασφαλείς συνδέσεις (HTTPS). Αυτό εξασφαλίζει ότι τα δεδομένα που ανταλλάσσετε είναι κρυπτογραφημένα.
Χρησιμοποιήστε Ενισχυμένες Πρακτικές Πλοήγησης: Είναι σημαντικό να είστε προσεκτικοί και να ακολουθείτε καλές πρακτικές πλοήγησης στο διαδίκτυο. Μην κλικάρετε σε ύποπτους συνδέσμους ή επισκεφτείτε αναξιόπιστες ιστοσελίδες.
Χρησιμοποιήστε VPN: Ένα εικονικό ιδιωτικό δίκτυο (VPN) μπορεί να προστατεύσει την ιδιωτικότητά σας. Τα VPN κρυπτογραφούν την σύνδεσή σας στο διαδίκτυο και αναθέτουν διευθύνσεις IP από διάφορες τοποθεσίες, καθιστώντας δυσκολότερο τον εντοπισμό της πραγματικής σας τοποθεσίας.
Καλά Συνθηματικά: Χρησιμοποιήστε ισχυρά συνθηματικά για τις υπηρεσίες σας στο διαδίκτυο. Επιλέξτε διαφορετικά συνθηματικά για κάθε υπηρεσία και αλλάξτε τα περιοδικά.
Καταστείστε Ενημερωμένοι: Η ασφάλεια στο διαδίκτυο διαμορφώνεται διαρκώς. Ενημερωθείτε σχετικά με τις τελευταίες απειλές και τις βέλτιστες πρακτικές για προστασία της ιδιωτικότητάς σας.
Χρησιμοποιήστε Προστατευτικά Προγράμματα Περιήγησης: Ορισμένοι φυλλομετρητές προσφέρουν λειτουργίες προστασίας της ιδιωτικότητας, όπως “Λειτουργία Ιδιωτικής Περιήγησης” (Private Browsing) ή “Απενεργοποίηση Cookies από τρίτους”.
Προστατευτείτε από τον Κοινωνικό Μηχανικό: Οι κοινωνικοί μηχανικοί προσπαθούν να αποκτήσουν πρόσβαση στον υπολογιστή σας με κολακευτικές τεχνικές. Να είστε προσεκτικοί με τις επικοινωνίες που λαμβάνετε από άγνωστα άτομα.
Το κλειδί για την προστασία από την υποκλοπή των cookies είναι η επίγνωση και η προαγωγή της ιδιωτικότητάς σας.
Απολαύστε την Ιδιωτικότητα σας: Οι πληροφορίες σας και η ιδιωτικότητά σας είναι σημαντικές. Με τη σωστή επιμέλεια και προστασία, μπορείτε να απολαμβάνετε τον ψηφιακό κόσμο χωρίς ανησυχίες για την υποκλοπή των cookies ή την παραβίαση της ιδιωτικότητάς σας.
Τέλος, θυμηθείτε ότι η τεχνολογία εξελίσσεται συνεχώς, και οι απειλές στον διαδικτυακό κόσμο μπορεί να αλλάζουν. Είναι σημαντικό να είστε ενημερωμένοι και προσεκτικοί στην πλοήγησή σας, καθώς και να ακολουθείτε τις πρακτικές προστασίας της ιδιωτικότητας για να διασφαλίσετε ότι οι προσωπικές σας πληροφορίες παραμένουν ασφαλείς.
Με αυτά τα βήματα και την επίγνωση των κινδύνων, μπορείτε να προστατεύσετε την ιδιωτικότητά σας στον ψηφιακό κόσμο και να απολαμβάνετε μια ασφαλή και ανώδυνη περιήγηση στο διαδίκτυο.
Titygram – Νόμιμη υπηρεσία που θα σας βοηθήσει στο e-whoring
Το titygram είναι μια ιστοσελίδα που έχει δημιουργηθεί από Ρώσσους προγραμματιστές και έχει ως σκοπό να στείλετε ένα μήνυμα στον/στην αγαπημένο σας το οποίο μήνυμα θα είναι γραμμένο πάνω στο…στήθος ενός γυμνασμένου άνδρα ή μιας φουσκωτής σέξυ γυναίκας.
Είναι πολύ απλό, γράφετε το μήνυμα σας, δίνετε το email σας στο οποίο θα σταλεί η φωτογραφία και πληρώνετε γρήγορα και με ασφάλεια.
Η τιμή είναι 15$ για το απλό πακέτο και 25$ για το “premium” με το οποίο μπορείτε να διαλέξετε το μοντέλο σας και τι ρούχα θέλετε να φοράει.
Η φωτογραφία “τραβιέται” σχετικά γρήγορα. Βάση με αυτά που λένε στην σελίδα, μέσα σε μια ώρα. Βέβαια αυτό είναι αδύνατο πολλές φορές.
Πως μπορείτε να το χρησιμοποιήσετε αυτό στο e-whoring?
Πολλές φορές τα θύματα σας ζητάνε φωτογραφίες σας στις οποίες να γράψετε το όνομα του πάνω σε κάποιο μέρος του σώματος σας(του κοριτσιού που προσποιήστε).
Για να γίνει αυτό, επειδή δεν είστε γυναίκα, κατά 99.8%,μπορείτε αν έχετε τις κατάλληλες γνώσεις στο Photoshop,να πάρετε μια φωτογραφία του “Κοριτσιού σας” και να γράψετε πάνω το όνομα του θύματος ή ότι άλλο ζητήσει.
Αν πάλι δεν έχετε τις κατάλληλες γνώσεις μπορείτε να πληρώσετε διάφορα άτομα, τα οποία έχουνε τις κατάλληλες γνώσεις, ένα ποσό(συνήθως από 10-30$ )και να σας φτιάξουν την φωτογραφία με το όνομα/φράση πάνω στη φωτογραφία που θα τους πείτε, στο μέρος που θέλετε.