Noutăți din domeniul securității cibernetice (19.06.2024)
Conturile Microsoft 365 ale firmelor financiare vizate de un nouă platformă de phishing
O nouă platformă de phishing (PhaaS) numită ONNX Store vizează conturile Microsoft 365 ale angajaților din firmele financiare, utilizând coduri QR în atașamente PDF.
Platforma poate viza atât conturile Microsoft 365, cât și Office 365 și operează prin intermediul boturilor Telegram și dispune de mecanisme pentru ocolirea autentificării cu doi factori (2FA).
Cercetătorii de la EclecticIQ, care au descoperit această activitate, cred că ONNX este o versiune actualizată a kitului de phishing Caffeine.
Erori false Google Chrome care te forțează să rulezi scripturi malițioase PowerShell
O nouă campanie de distribuire a malware-ului folosește erori false de la Google Chrome, Word și OneDrive pentru a păcăli utilizatorii să ruleze „remedieri” malițioase PowerShell care instalează malware.
Noua campanie a fost observată ca fiind folosită de mai mulți actori de amenințare, inclusiv cei din spatele ClearFake, un nou grup de atacuri numit ClickFix și actorul de amenințări TA571, cunoscut pentru distribuirea de spam care trimite volume mari de emailuri, ducând la infecții cu malware și ransomware.
Atacurile anterioare ClearFake utilizau suprapuneri de site-uri web care solicită vizitatorilor să instaleze o actualizare falsă a browserului, dar care ulterior instala un malware.
Hackerii folosesc malware-ul F5 BIG-IP pentru a extrage date în mod discret
Un grup de actori suspectați de spionaj cibernetic din China, numit 'Velvet Ant', distribuie malware personalizat pe dispozitivele F5 BIG-IP pentru a obține o conexiune persistentă la rețeaua internă și a extrage date.
Conform unui raport al Sygnia, care a descoperit intruziunea, după ce au fost invitați să investigheze atacul cibernetic, Velvet Ant a stabilit mai multe puncte de acces, folosind diverse puncte de intrare în rețea, inclusiv un dispozitiv F5 BIG-IP vechi care servea ca server intern de comandă și control (C2).
Noul atac ARM 'TIKTAG' afectează sistemele Google Chrome și Linux
Un nou atac speculativ numit "TIKTAG" vizează extensia Memory Tagging Extension (MTE) a ARM pentru a extrage date cu o șansă de succes de peste 95%, permițând hackerilor să ocolească această caracteristică de securitate.
Studiul, efectuat în comun de o echipă de cercetători coreeni de la Samsung, Universitatea Națională din Seul și Institutul de Tehnologie din Georgia, demonstrează atacul împotriva Google Chrome și a kernel-ului Linux.
MTE este o caracteristică adăugată în arhitectura ARM v8.5-A (și ulterior), concepută pentru a detecta și preveni corupția memoriei.
Un malware Linux este controlat prin intermediul emoji-urilor
Un malware Linux recent descoperit, numit 'DISGOMOJI', utilizează o abordare nouă folosind emoji-uri pentru a executa comenzi pe dispozitivele infectate în atacuri asupra agențiilor guvernamentale din India.
Malware-ul a fost descoperit de firma de securitate cibernetică Volexity, care consideră că este legat de un actor de amenințare din Pakistan cunoscut sub numele de 'UTA0137.' Acesta are obiective legate de spionaj și o misiune ce vizează entitățile guvernamentale din India.
Microsoft amână lansarea funcției Recall după îngrijorări legate de confidențialitate și securitate
Microsoft a anunțat că va amâna previzualizarea disponibilă pe scară largă a funcției intens discutate Recall pentru PC-urile Copilot+ (calculatoare personale echipate cu mai multe caracteristici de inteligență artificială).
Funcția Recall urmărește orice, de la navigarea pe web până la conversațiile vocale. Ideea este că Recall poate ajuta utilizatorii să reconstruiască activitatea trecută prin realizarea de capturi de ecran regulate ale activității utilizatorului și stocarea acestora local.
Cu toate acestea, Recall a primit critici severe din partea cercetătorilor în securitate și a susținătorilor confidențialității de când a fost anunțată luna trecută.
Cercetătorii au demonstrat cât de ușor era să extragi și să cauți prin capturile de ecran ale Recall pe un sistem compromis. Practic, ar fi o mină de aur pe care programele spyware și hoții de informații ar putea să o acceseze și să o caute cu ușurință.
Hackerii exploatează site-uri web legitime pentru a livra un tip de software rău intenționat pentru Windows
„Actorul de amenințare folosește un lanț de atacuri cu mai multe etape care implică un site web infectat, un server de comandă și control (C2), în unele cazuri o actualizare falsă de browser și un descărcător JScript pentru a implementa o ușă în sistemul victimei”, a declarat compania germană de securitate cibernetică G DATA într-un raport.
Totul începe cu un site web compromis, inclusiv cele construite pe platforma WordPress, pentru a injecta un cod care include o logică de determinare dacă utilizatorul a vizitat site-ul anterior.
În cazul primei vizite a utilizatorului, codul colectează informații despre dispozitiv, adresă IP, agent utilizator și locație, și le transmite către un domeniu hard-codat printr-o cerere HTTP GET.
sursa: https://thehackernews.com/2024/06/hackers-exploit-legitimate-websites-to.html
Atacul de tip ransomware din Londra a dus la anularea a 1500 de programări și operații
Peste 800 de operații planificate și 700 de programări pentru consultații externe au trebuit să fie reprogramate în prima săptămână a lunii iunie, după un atac critic de ransomware asupra unor furnizori, a dezvăluit serviciul de sănătate britanic.
NHS England a declarat că cifra se referă la King's College Hospital NHS Foundation Trust și Guy's and St Thomas' NHS Foundation Trust.
Într-un efort de a reduce impactul asupra pacienților, trust-urile au adăugat clinici suplimentare în weekend și colaborează cu alte spitale pentru a asigura că pacienții care au nevoie de îngrijire cu caracter de urgență pot primi asistență în altă parte.
sursa: https://www.infosecurity-magazine.com/news/london-ransomware1500-cancelled/
Notă: Buletinul informativ săptămânal are scopul de a spori gradul de sensibilizare cu privire la securitatea cibernetică. Vă rugăm să fiți precauți atunci când accesați diverse link-uri pe internet, fie că acționați în numele unei instituții sau în scop personal.
