Οι ερευνητές κυβερνοασφάλειας της εταιρείας ασφάλειας επιχειρήσεων Proofpoint ανακάλυψαν ένα τρομακτικό νέο κακόβουλο λογισμικό που διανέμεται ως πακέτο εγκατάστασης του δημοφιλούς διαχειριστή κωδικών πρόσβασης Bitwarden για να εξαπατήσει τους χρήστες και να κλέψει ευαίσθητα δεδομένα από τις συσκευές τους.
Αυτό το ψεύτικο πακέτο εγκατάστασης, με την ονομασία ZenRAT, παραδίδεται μέσω ενός ψεύτικου ιστότοπου Bitwarden, ο οποίος μοιάζει ακριβώς με τον αρχικό, αλλά δεν είναι νόμιμος. Αν ένας χρήστης δώσει προσοχή, είναι εύκολο να αντιληφθεί ότι οι χειριστές του κακόβουλου λογισμικού έχουν χρησιμοποιήσει την τεχνική typosquatting, επειδή ο ψεύτικος ιστότοπος έχει τίτλο bitwaridencom.
Οι κύριοι στόχοι του ZenRAT είναι ανυποψίαστοι χρήστες των Windows. Εάν ένας επισκέπτης κάνει κλικ στο σύνδεσμο λήψης που είναι σημειωμένος για άλλη πλατφόρμα (π.χ. Linux ή macOS), ανακατευθύνεται στον αρχικό ιστότοπο της Bitwarden (vault.bitwarden.com) στη σελίδα Λήψεις. Εάν ένας χρήστης των Windows κάνει κλικ σε αυτόν, η συσκευή του θα μολυνθεί με το ZenRAT και το κακόβουλο λογισμικό θα δημιουργήσει μια σύνδεση με τον διακομιστή C2 (185.186.7214).
Μόλις γίνει αυτό, το κακόβουλο λογισμικό θα συλλέξει τα επιθυμητά δεδομένα, συμπεριλαμβανομένων των λεπτομερειών του συστήματος και των αποθηκευμένων διαπιστευτηρίων. Το ZenRAT μπορεί να κλέψει πληροφορίες όπως τα ονόματα της CPU και της GPU, την έκδοση του λειτουργικού συστήματος, τη μνήμη RAM, τη διεύθυνση IP και την πύλη της συσκευής. Θα αποσπάσει επίσης πληροφορίες σχετικά με τις εγκατεστημένες λύσεις antivirus και άλλες εφαρμογές. Μπορεί επίσης να κλέψει δεδομένα και κωδικούς πρόσβασης του προγράμματος περιήγησης. Το ZenRAT διαβιβάζει τα αρχεία καταγραφής στον διακομιστή C2 σε απλό κείμενο.
Επαναπροσανατολίζει τους επισκέπτες του ιστότοπου σε έναν καλοήθη ιστότοπο. Ωστόσο, οι ερευνητές δεν διευκρίνισαν πώς ανακατευθύνονται οι επισκέπτες στον ιστότοπο. Προηγουμένως, το κακόβουλο λογισμικό διανεμόταν σε τέτοιες εκστρατείες μέσω phishing, SEO poisoning ή επιθέσεων malvertising. Το ωφέλιμο φορτίο φέρει τον τίτλο Bitwarden-installer-version-2023-7-1.exe και κατεβαίνει μέσω του crazygamescom. Αυτή η δούρειος ίππος έκδοση του νόμιμου εγκαταστάτη Bitwarden περιέχει ένα εκτελέσιμο αρχείο .NET με τίτλο (ApplicationRuntimeMonitor.exe).
Σύμφωνα με την ανάρτηση στο blog της Proofpoint, όταν οι ερευνητές εξέτασαν τα μεταδεδομένα του κακόβουλου πακέτου εγκατάστασης, παρατήρησαν ότι ο επιτιθέμενος το είχε μεταμφιέσει σε Speccy της Priform. Πρόκειται για ένα δωρεάν βοηθητικό πρόγραμμα των Windows που εμφανίζει πληροφορίες σχετικές με το υλικό/λογισμικό.
Επιπλέον, το εκτελέσιμο αρχείο έχει μια άκυρη υπογραφή που φαίνεται να υπογράφεται από τον διάσημο Γερμανό επιστήμονα πληροφορικής FileZilla Tim Kosse. Ωστόσο, αυτή η υπογραφή είναι επίσης ψεύτικη. Αυτό το σπονδυλωτό RAT εκτελεί επίσης ελέγχους anti-sandbox και anti-VM για να διαπιστώσει αν είναι ασφαλές να λειτουργεί στη συσκευή. Οι έλεγχοι περιλαμβάνουν επίσης geofencing για να διασφαλιστεί ότι δεν έχει εγκατασταθεί σε καμία ρωσόφωνη περιοχή.
Προσοχή κατά τη χρήση ενός διαχειριστή κωδικών πρόσβασης
Οι ερευνητές συμβουλεύουν τους χρήστες να είναι προσεκτικοί κατά τη λήψη λογισμικού και συνιστούν να προμηθεύονται εφαρμογές αποκλειστικά από επίσημες πηγές. Αξίζει να σημειωθεί ότι οι διαχειριστές κωδικών πρόσβασης έχουν γίνει συχνά στόχος κυβερνοεπιθέσεων και απάτης, με το LastPass να αποτελεί ένα αξιοσημείωτο παράδειγμα.
Ως ασφαλέστερη εναλλακτική λύση, τα τρία κορυφαία προγράμματα περιήγησης – Google Chrome, Mozilla Firefox και Safari – προσφέρουν δωρεάν λειτουργίες διαχείρισης κωδικών πρόσβασης. Αν δεν είστε σίγουροι για το ποια υπηρεσία να χρησιμοποιήσετε, οποιαδήποτε από αυτές τις τρεις επιλογές θα σας προσφέρει παρόμοια οφέλη και, σε ορισμένες περιπτώσεις, μπορεί να είναι πιο ασφαλής από άλλες.
Δυσλειτουργία της εφαρμογής της T-Mobile επιτρέπει στους χρήστες να βλέπουν τις πληροφορίες άλλων χρηστών
Σήμερα, οι πελάτες της T-Mobile δήλωσαν ότι μπορούσαν να δουν τις πληροφορίες λογαριασμού και χρέωσης άλλων χρηστών μετά τη σύνδεσή τους στην επίσημη εφαρμογή κινητής τηλεφωνίας της εταιρείας. Σύμφωνα με αναφορές χρηστών στα μέσα κοινωνικής δικτύωσης, οι εκτεθειμένες πληροφορίες περιλάμβαναν ονόματα πελατών, αριθμούς τηλεφώνου, διευθύνσεις, υπόλοιπα λογαριασμών και στοιχεία πιστωτικών καρτών, όπως οι ημερομηνίες λήξης και τα τέσσερα τελευταία ψηφία.
Όπως ανέφερε για πρώτη φορά το The Verge, ορισμένοι από τους πελάτες που επηρεάστηκαν από αυτό το πρόβλημα μπορούσαν να δουν τις ευαίσθητες πληροφορίες πολλών άλλων ατόμων ενώ ήταν συνδεδεμένοι στους δικούς τους λογαριασμούς. Ενώ ένας τεράστιος αριθμός αναφορών άρχισε να εμφανίζεται νωρίτερα σήμερα στο Reddit και το Twitter, ορισμένοι πελάτες της T-Mobile ισχυρίστηκαν επίσης ότι αντιμετωπίζουν αυτό το πρόβλημα καθ’ όλη τη διάρκεια των τελευταίων δύο εβδομάδων.
“Ανέφερα αυτό το ζήτημα όταν πρωτοεμφανίστηκε εδώ στο Reddit πριν από 2 εβδομάδες και έστειλα φωτογραφίες με τις πληροφορίες των άλλων ατόμων στην ομάδα ασφαλείας τους. Καμία απάντηση, αλλά ουάου, απλά ουάου”, δήλωσε ένας πελάτης.
“Έχω αναφέρει αυτό το θέμα στους εκπροσώπους της T-Mobile στο παρελθόν, καθώς και το πρόβλημά μου με τη δρομολόγηση στη γραμμή ενεργοποίησης του μετρό όταν οι υπηρεσίες του τηλεφώνου μου αναστέλλονται”, πρόσθεσε ένας άλλος.
Η T-Mobile αναφέρει ότι το περιστατικό δεν προκλήθηκε από κυβερνοεπίθεση και ότι τα συστήματά της δεν παραβιάστηκαν.
Επίσης, παρά το σημαντικό κύμα πελατών που ανέφεραν ότι επηρεάστηκαν από αυτό το ζήτημα, η T-Mobile αναφέρει ότι το περιστατικό είχε περιορισμένο αντίκτυπο, επηρεάζοντας μόνο λιγότερα από 100 άτομα.
“Δεν υπήρξε κυβερνοεπίθεση ή παραβίαση στην T-Mobile”, δήλωσε εκπρόσωπος της εταιρίας όταν του ζητήθηκαν περισσότερες λεπτομέρειες.
“Επρόκειτο για μια προσωρινή δυσλειτουργία του συστήματος που σχετιζόταν με μια προγραμματισμένη ολονύκτια τεχνολογική ενημέρωση που αφορούσε περιορισμένες πληροφορίες λογαριασμού για λιγότερους από 100 πελάτες, η οποία επιλύθηκε γρήγορα”.
Οι επιθέσεις Ransomware στοχεύουν τώρα μη ενημερωμένους διακομιστές WS_FTP
Οι εκτεθειμένοι στο Διαδίκτυο διακομιστές WS_FTP που δεν έχουν ενημερωθεί για μια ευπάθεια μέγιστης σοβαρότητας αποτελούν πλέον στόχο επιθέσεων ransomware.
Όπως παρατηρήθηκε πρόσφατα από τους υπεύθυνους αντιμετώπισης περιστατικών της Sophos X-Ops, οι απειλητικοί φορείς που αυτοπροσδιορίζονται ως Reichsadler Cybercrime Group προσπάθησαν, ανεπιτυχώς, να αναπτύξουν ωφέλιμα φορτία ransomware που δημιουργήθηκαν χρησιμοποιώντας έναν οικοδόμο LockBit 3.0 που κλάπηκε τον Σεπτέμβριο του 2022.
Οι επιτιθέμενοι προσπάθησαν να κλιμακώσουν τα προνόμια χρησιμοποιώντας το εργαλείο ανοικτού κώδικα GodPotato, το οποίο επιτρέπει την κλιμάκωση προνομίων σε ‘NT AUTHORITY\SYSTEM’ σε πλατφόρμες πελατών Windows (Windows 8 έως Windows 11) και διακομιστών (Windows Server 2012 έως Windows Server 2022).
Ευτυχώς, η προσπάθειά τους να αναπτύξουν τα ωφέλιμα φορτία ransomware στα συστήματα των θυμάτων ματαιώθηκε, εμποδίζοντας τους επιτιθέμενους να κρυπτογραφήσουν τα δεδομένα του στόχου.
Παρόλο που δεν κατάφεραν να κρυπτογραφήσουν τα αρχεία, οι απειλητικοί φορείς εξακολουθούσαν να απαιτούν λύτρα ύψους 500 δολαρίων, πληρωτέα έως τις 15 Οκτωβρίου, ώρα Μόσχας.
Η χαμηλή απαίτηση λύτρων υποδηλώνει ότι οι εκτεθειμένοι στο Διαδίκτυο και ευάλωτοι διακομιστές WS_FTP πιθανότατα αποτελούν στόχο μαζικών αυτοματοποιημένων επιθέσεων ή μιας άπειρης επιχείρησης ransomware.
Με την ονομασία CVE-2023-40044, το ελάττωμα προκαλείται από μια ευπάθεια αποδιαταξινόμησης του .NET στο Ad Hoc Transfer Module, επιτρέποντας σε μη εξουσιοδοτημένους επιτιθέμενους να εκτελούν εντολές στο υποκείμενο λειτουργικό σύστημα μέσω αιτήσεων HTTP από απόσταση.
Στις 27 Σεπτεμβρίου, η Progress Software κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση της κρίσιμης ευπάθειας του WS_FTP Server, προτρέποντας τους διαχειριστές να αναβαθμίσουν τις ευάλωτες περιπτώσεις.
Οι ερευνητές ασφαλείας της Assetnote που ανακάλυψαν το σφάλμα WS_FTP κυκλοφόρησαν κώδικα απόδειξης του σχεδίου (PoC) για εκμετάλλευση μόλις λίγες ημέρες μετά την επιδιόρθωσή του.
Η εταιρεία κυβερνοασφάλειας Rapid7 αποκάλυψε ότι οι επιτιθέμενοι άρχισαν να εκμεταλλεύονται το CVE-2023-40044 στις 3 Σεπτεμβρίου, την ημέρα που κυκλοφόρησε το exploit PoC.
Το Shodan απαριθμεί σχεδόν 2.000 συσκευές που είναι εκτεθειμένες στο Διαδίκτυο και χρησιμοποιούν το λογισμικό WS_FTP Server, επιβεβαιώνοντας τις αρχικές εκτιμήσεις της Assetnote.
Οι οργανισμοί που δεν μπορούν να επιδιορθώσουν άμεσα τους διακομιστές τους μπορούν να εμποδίσουν τις εισερχόμενες επιθέσεις απενεργοποιώντας την ευάλωτη μονάδα Ad Hoc Transfer Module του διακομιστή WS_FTP.
Το Κέντρο Συντονισμού Κυβερνοασφάλειας του Τομέα Υγείας (HC3), η ομάδα ασφαλείας του Υπουργείου Υγείας των ΗΠΑ, προειδοποίησε επίσης τον περασμένο μήνα τους οργανισμούς του τομέα της υγειονομικής περίθαλψης και της δημόσιας υγείας να επιδιορθώσουν τους διακομιστές τους το συντομότερο δυνατό.
Η Progress Software αντιμετωπίζει επί του παρόντος τα απόνερα μιας εκτεταμένης σειράς επιθέσεων κλοπής δεδομένων που εκμεταλλεύτηκαν ένα σφάλμα μηδενικής ημέρας στην πλατφόρμα ασφαλούς μεταφοράς αρχείων MOVEit Transfer νωρίτερα φέτος.
Οι επιθέσεις αυτές επηρέασαν πάνω από 2.500 οργανισμούς και περισσότερα από 64 εκατομμύρια άτομα, όπως εκτιμά η Emsisoft.
Οι Καλύτερες Μηχανές Αναζήτησης για Ανώνυμη Περιήγηση
Υπάρχουν πολλές μηχανές αναζήτησης που έχουν ως κύριο χαρακτηριστικό την προστασία της ανωνυμίας των χρηστών και τον σεβασμό της ιδιωτικής τους ζωής. Αυτές οι μηχανές αναζήτησης δεν καταγράφουν τις αναζητήσεις σας, δεν χρησιμοποιούν τα προσωπικά σας δεδομένα για στοχοθεσμένες διαφημίσεις και προσπαθούν να διατηρήσουν την ανωνυμία σας. Εδώ είναι μερικές από αυτές:
DuckDuckGo (https://duckduckgo.com): Η DuckDuckGo είναι μία από τις πιο δημοφιλείς μηχανές αναζήτησης. Δεν αποθηκεύει πληροφορίες χρήστη, όπως η IP διεύθυνση, και δεν παρακολουθεί τις αναζητήσεις σας.
StartPage (https://www.startpage.com): Το StartPage χρησιμοποιεί τη Google για τις αναζητήσεις σας, αλλά απομονώνει τα προσωπικά σας δεδομένα από τη Google, διατηρώντας την ανωνυμία σας.
Qwant (https://www.qwant.com): Η Qwant είναι μια γαλλική μηχανή αναζήτησης που δεν παρακολουθεί τις αναζητήσεις σας και δεν χρησιμοποιεί προσωπικά δεδομένα για προσαρμοσμένα αποτελέσματα.
Searx (https://searx.me): Ο Searx είναι ένα ανοικτού κώδικα σύστημα αναζήτησης που επιτρέπει στους χρήστες να το χρησιμοποιούν από τον δικό τους server για μεγαλύτερη ανωνυμία.
MetaGer (https://metager.org): Η MetaGer είναι μια μηχανή αναζήτησης από τη Γερμανία που προστατεύει την ιδιωτική ζωή των χρηστών και δεν καταγράφει προσωπικά δεδομένα.