Μια νέα κακόβουλη δραστηριότητα Google Search στοχεύει σε χρήστες που επιθυμούν να κατεβάσουν το δημοφιλές πρόγραμμα επεξεργασίας κειμένου Notepad++, χρησιμοποιώντας προηγμένες τεχνικές για να αποφύγουν την ανίχνευση και την ανάλυση.
Οι φορείς απειλών κάνουν όλο και περισσότερο κατάχρηση των διαφημίσεων Google σε κακόβουλες καμπάνιες για την προώθηση ψεύτικων ιστότοπων λογισμικού που διανέμουν κακόβουλο λογισμικό.
Σύμφωνα με τη Malwarebytes, η οποία εντόπισε την κακόβουλη διαφημιστική καμπάνια Notepad++, ήταν ζωντανή εδώ και αρκετούς μήνες, αλλά κατάφερε να περάσει κάτω από το ραντάρ όλο αυτό το διάστημα.
Το τελικό ωφέλιμο φορτίο που παραδίδεται στα θύματα είναι άγνωστο, αλλά η Malwarebytes λέει ότι πιθανότατα πρόκειται για το Cobalt Strike, το οποίο συνήθως προηγείται των ιδιαίτερα επιζήμιων αναπτύξεων ransomware.
Κατάχρηση διαφημίσεων της Google
Το κακόβουλο Notepad++ προωθεί διευθύνσεις URL που είναι προφανώς άσχετες με το πρόγραμμα λογισμικού, αλλά χρησιμοποιούν παραπλανητικούς τίτλους που εμφανίζονται στις διαφημίσεις αποτελεσμάτων αναζήτησης της Google.
Αυτή η στρατηγική SEO χρησιμοποιείται σε μεγάλο βαθμό σε αυτή την περίπτωση, και δεδομένου ότι οι τίτλοι είναι πολύ μεγαλύτεροι και πιο ορατοί από τις διευθύνσεις URL, πολλοί άνθρωποι είναι πιθανό να πέσουν στην παγίδα.
Μόλις τα θύματα κάνουν κλικ σε κάποια από τις διαφημίσεις, ένα βήμα ανακατεύθυνσης ελέγχει την IP τους για να φιλτράρει τους χρήστες που πιθανόν να είναι crawlers, VPN, bots κ.λπ. και τους οδηγεί σε έναν ιστότοπο δόλωμα που δεν ρίχνει τίποτα κακόβουλο.
Αντίθετα, οι νόμιμοι στόχοι ανακατευθύνονται στο “notepadxtreme[.]com”, το οποίο μιμείται τον πραγματικό ιστότοπο του Notepad++, με συνδέσμους λήψης για διάφορες εκδόσεις του επεξεργαστή κειμένου.
Όταν οι επισκέπτες κάνουν κλικ σε αυτούς τους συνδέσμους, εκτελείται ένας δεύτερος έλεγχος δακτυλικών αποτυπωμάτων συστήματος από ένα τμήμα JavaScript για να επικυρωθεί ότι δεν υπάρχουν ανωμαλίες ή ενδείξεις ότι ο επισκέπτης χρησιμοποιεί ένα sandbox.
Στα θύματα που χαρακτηρίζονται ως κατάλληλοι στόχοι σερβίρεται στη συνέχεια μια δέσμη ενεργειών HTA, στην οποία αποδίδεται ένα μοναδικό αναγνωριστικό, το οποίο πιθανότατα επιτρέπει στους επιτιθέμενους να παρακολουθούν τις μολύνσεις τους. Αυτό το ωφέλιμο φορτίο σερβίρεται μόνο μία φορά ανά θύμα, οπότε μια δεύτερη επίσκεψη οδηγεί σε σφάλμα 404.
Η εξέταση του HTA από το Malwarebytes δεν παρήγαγε χρήσιμες πληροφορίες λόγω του ότι δεν ήταν οπλισμένο εκείνη τη στιγμή, αλλά οι αναλυτές βρήκαν το ίδιο αρχείο σε ένα VirusTotal upload από τον Ιούλιο.
Αυτό το αρχείο προσπάθησε να συνδεθεί σε έναν απομακρυσμένο τομέα σε μια προσαρμοσμένη θύρα, με τους ερευνητές να πιστεύουν ότι ήταν πιθανότατα μέρος μιας ανάπτυξης του Cobalt Strike.
Για να αποφύγετε τη λήψη κακόβουλου λογισμικού όταν αναζητάτε συγκεκριμένα εργαλεία λογισμικού, παραλείψτε τα προωθημένα αποτελέσματα στην Αναζήτηση Google και ελέγξτε ξανά ότι έχετε προσγειωθεί στον επίσημο τομέα.
Αν δεν είστε σίγουροι για τον πραγματικό ιστότοπο του προγράμματος, ελέγξτε τη σελίδα “Σχετικά”, την τεκμηρίωση, τη σελίδα της Wikipedia και τα επίσημα κανάλια κοινωνικής δικτύωσης.
Κυβερνοεπίθεση Στο Δικαστικό Σύστημα της Ελβετίας: Πιθανή Επίθεση Ransomware
Ένα δικαστικό σύστημα στην Ελβετία ανακοίνωσε την Τρίτη ότι έχει πληγεί από μια κυβερνοεπίθεση.
Το δικαστήριο, που βρίσκεται στη γερμανόφωνη περιοχή του Μαρτς στην κεντρική Ελβετία, εξυπηρετεί περίπου 45.000 άτομα.
Αν και η φύση της επίθεσης δεν έχει αποκαλυφθεί πλήρως, μια περιορισμένη περιγραφή στην ιστοσελίδα του δικαστηρίου υποδεικνύει ότι πιθανότατα πρόκειται για μια επίθεση ransomware. “Κλείσαμε προσωρινά ολόκληρο το πληροφορικό σύστημα για να προστατέψουμε τα δεδομένα. Προς το παρόν, δεν υπάρχει σαφής χρονικός ορίζοντας για την επαναφορά του, αλλά η διαδικασία μπορεί να διαρκέσει αρκετές ημέρες”, αναφέρει η ιστοσελίδα.
Οι τηλεφωνικές γραμμές του δικαστηρίου είναι προσωρινά εκτός λειτουργίας, αλλά προγραμματισμένες ακροάσεις αναμένεται να πραγματοποιηθούν σύμφωνα με το πρόγραμμα.
Αυτή η κυβερνοεπίθεση ακολουθεί μια παρόμοια επίθεση ransomware στη δημοτική διοίκηση του Zollikofen, προαστίου της Βέρνης, τον Νοέμβριο.
Σύμφωνα με την ελβετική εφημερίδα Inside IT, οι επιτιθέμενοι κρυπτογράφησαν τα δεδομένα διαχείρισης κατά τη διάρκεια της επίθεσης, με τις αρχές να αποσυνδέουν τα δίκτυα ως προληπτικό μέτρο.
Η κυβερνοεπίθεση μπορεί να έχει σοβαρές συνέπειες στη λειτουργία του δικαστικού συστήματος. Η διακοπή της πρόσβασης σε σημαντικά δεδομένα και αρχεία μπορεί να απειλήσει την ακεραιότητα των πληροφοριών και να δυσκολέψει την απονομή δικαιοσύνης. Αυτό μπορεί να οδηγήσει σε καθυστερήσεις ή ακόμη και ακυρώσεις δικαστικών διαδικασιών, με σοβαρές επιπτώσεις για τη δικαιοσύνη και την εμπιστοσύνη του κοινού.
Επιπλέον, μια κυβερνοεπίθεση μπορεί να προκαλέσει τη διαρροή ευαίσθητων πληροφοριών, θέτοντας σε κίνδυνο την ιδιωτικότητα και την ασφάλεια των ατόμων που συμμετέχουν σε δικαστικές διαδικασίες, με σοβαρές επιπτώσεις για τους ενδιαφερόμενους.
Η Google Ξεκινά τη Διαγραφή Ανενεργών Λογαριασμών: Πώς να Διατηρήσετε τον Δικό Σας Ασφαλή
Η Google ανακοίνωσε σήμερα ένα νέο βήμα στην πολιτική της για τη διαγραφή παλιών και ανενεργών λογαριασμών. Αν διαθέτετε έναν λογαριασμό Google που δεν έχετε χρησιμοποιήσει εδώ και μερικά χρόνια, είναι πιθανό να χρειαστεί να λάβετε μέτρα για να τον διατηρήσετε ενεργό.
Η Google ξεκινά αυτήν τη διαδικασία για λόγους ασφαλείας, καθώς οι ανενεργοί λογαριασμοί είναι πιο ευάλωτοι σε πιθανές παραβιάσεις. Αρχίζοντας με λογαριασμούς που δημιουργήθηκαν και δεν έχουν χρησιμοποιηθεί ποτέ, η Google επιδιώκει να διατηρήσει την ασφάλεια του οικοσυστήματός της.
Για να αποφύγετε τη διαγραφή του λογαριασμού σας, μπορείτε να συνδεθείτε ξανά σε αυτόν ή να αποστείλετε ένα email. Επίσης, η εγγραφή σε υπηρεσίες της Google, όπως το Google Drive, ή η παρακολούθηση περιεχομένου στο YouTube μπορεί να συνεισφέρει στη διατήρηση του λογαριασμού σας ως ενεργού.
Εάν χρησιμοποιείτε το Google Photos, θα πρέπει να συνδεθείτε σε αυτόν κάθε δύο χρόνια για να θεωρηθεί ενεργός και να διατηρήσει τις φωτογραφίες και το περιεχόμενο που έχετε αποθηκεύσει.
Είναι σημαντικό να σημειώσετε ότι οι λογαριασμοί Google που έχουν δημιουργηθεί για εργασία ή σχολείο, καθώς και οι λογαριασμοί που έχουν αγοράσει υπηρεσίες ή συνδρομές, δεν επηρεάζονται από αυτήν την πολιτική διαγραφής.
Προτού αποφασίσετε να αφήσετε ανενεργό έναν λογαριασμό, εξετάστε τις παραπάνω πληροφορίες και λάβετε τα απαραίτητα μέτρα για τη διατήρηση της ασφάλειας και της προστασίας των προσωπικών σας δεδομένων.
Αυτο είναι το δεύτερο κομμάτι του οδηγού πως μπορούμε να σπάσουμε WPA2 με την χρήση του FLUXION.
Είχαμε μείνει στο βήμα 5 όπου με την εντολή “sudo ./fluxion” τρέχαμε το εργαλείο μας, όποτε συνεχίζουμε απο εκει.
Βήμα 6
Αφού εκτελέσετε το Fluxion πληκτρολογώντας αυτήν την εντολή “sudo ./fluxion”, το πρώτο βήμα είναι να επιλέξετε τη γλώσσα.
Επί του παρόντος, το Fluxion υποστηρίζει 6 γλώσσες, δηλαδή γερμανικά, αγγλικά, ρουμανικά, τουρκικά, ισπανικά και κινέζικα.
Για να επιλέξετε Αγγλική Γλώσσα, απλώς πληκτρολογήστε τον αριθμό “2”.
Βήμα 7
Αφού επιλέξετε γλώσσα, το επόμενο βήμα είναι επιλέξετε κάποιον προσαρμογέα wifi (wifi adapter) αν σας κλείσει αυτόματα σημαίνει ότι δεν έχει εντοπίσει κάποιον.
Στην παρακάτω οθόνη, όπως μπορείτε να δείτε, εμφανίζει “wlan0” επειδή χρησιμοποιούμε έναν ασύρματο προσαρμογέα USB της TP-Link Company 150MBPS.
Για να επιλέξετε αυτον που θέλετε, απλώς πληκτρολογήστε τον αριθμό “1”.
Αν έχετε 2-3 μπορείτε να επιλέξετε αυτον που θέλετε με τον ανάλογο αριθμό.
Βήμα 8
Υπάρχουν περίπου 13 κανάλια σε ένα ασύρματο δίκτυο, εμεις τα θέλουμε όλα.
Οπότε επιλέγουμε το 1.
Σε αυτή τη φάση, θα τρέξει αυτόματα στο background ενα airodump-ng script
Βήμα 9
Όπως μπορείτε να δείτε, δείχνει περίπου 9 ασύρματα δίκτυα από τα οποία 7 δίκτυα χρησιμοποιούν ασφάλεια WPA2-PSK και 2 χρησιμοποιούν WPA.
Εάν θέλετε να κάνετε ξανά σάρωση, απλώς πληκτρολογήστε “r” και πατήστε enter.
Επομένως, σε αυτήν την περίπτωση, επιλέγουμε το ασύρματο δίκτυο στον αριθμό “9” επειδή αυτο με ενδιαφέρει εμένα.
Εσείς μποιρείτε να επιλέξετε όποιο θέλετε.
10)
Στην επόμενη οθόνη, θα εμφανιστούν πλήρεις λεπτομέρειες σχετικά με αυτό το δίκτυο, όπως Όνομα SSID, Αριθμός Καναλιού, Ταχύτητα κλπ.
Και παρακάτω μπορείτε να επιλέξετε οποιαδήποτε μέθοδο επίθεσης θέλετε να κάνετε στο δίκτυο αυτο, αλλά ο προτεινόμενος τρόπος είναι να χρησιμοποιήσετε το HOSTAPD.
Δηλαδή την πρώτη επιλογή και πατάμε 1.
Και στην επομενη οθονη πατάμε Enter
Και μετα το 1 και παλι την πρωτη επιλογή
11)
Στην φωτογραφία παρακάτω, μπορείτε εύκολα να δείτε δύο ακόμη 2 παράθυρα να έχουν ανοίξει.
στην επάνω όπου θα λάβετε το σήμα στη δεξιά πλευρά και στην κάτω οθόνη, συνεχίζεται μια δραστηριότητα κατάργησης ταυτότητας.
Μόλις λάβετε τη χειραψία στην πρώτη οθόνη, τερματίστε την εντολή κατάργησης ταυτότητας, διαφορετικά μπορεί να δημιουργήσει πρόβλημα στο τέλος.
Σε αυτήν την περίπτωση, το Δίκτυο “Jasdeep” που στοχεύουμε μπορεί να μην έχει ενεργούς clients, οπότε ας δοκιμάσουμε με κάποιο άλλο δίκτυο πατώντας τον αριθμό “3”.
Τώρα αυτή τη φορά επιλέγω τον αριθμό “8” δηλαδή το δίκτυο που ειναι σε αυτο το νούμερο, γιατί δείχνει ξεκάθαρα ότι έχει μερικούς ενεργούς πελάτες, οπότε υπάρχουν περισσότερες πιθανότητες
Επαναλάβετε τα ίδια βήματα.
Βλέπουμε εδώ πήραμε κανονικά ότι θέλαμε, Πατήστε το συνδυασμό πλήκτρων CTRL+C και στις δύο επάνω οθόνες και προχωρήστε με τον αριθμό “1” “Check Handshake”.