Noutăți din domeniul securității cibernetice (28.04.2023)

Un set de 38 de jocuri Minecraft clonate infectează utilizatorii cu adware

Jocurile Minecraft erau clonate pentru a infecta dispozitivele utilizatorilor cu programul publicitar Android „HiddenAds” și a încărca ascuns reclame în fundal pentru a genera venituri operatorilor. Milioane  de utilizatori Android din Statele Unite, Canada, Coreea de Sud și Brazilia, au descărcat clone Android Minecraft (35 de milioane de descărcări pe dispozitivele Google Play), fără să observe activitatea adware rău intenționată, iar orice posibilă supraîncălzire, creștere a datelor de rețea sau consumul bateriei cauzate de încărcarea multor reclame le percepeau ca fiind cauzate de joc.

Sursa:https://www.bleepingcomputer.com/news/security/android-minecraft-clones-with-35m-downloads-infect-users-with-adware/

Google a interzis 173.000 conturi de dezvoltator pentru a bloca programe malware și acțiuni de fraudă

Google a publicat raportul său anual despre „aplicații proaste”, în care scrie că în anul 2022, a  interzis 173.000 de conturi de dezvoltator pentru a bloca operațiunile malware și acțiuni de fraudă. De asemenea, compania a dezvăluit că a împiedicat să ajungă în Magazinul Google Play, circa 1,5 milioane de aplicații legate de diferite încălcări ale politicii Google Play, precum și a blocat tranzacții frauduloase și abuzive ce ar fi putut duce la pierderi de peste 2 miliarde USD.

Sursa:https://www.bleepingcomputer.com/news/google/google-banned-173k-developer-accounts-to-block-malware-fraud-rings/

Cercetătorii au descoperit un nou program malware de furt de informații  

Un grup de cercetători în securitate cibernetică au descoperit un nou program malware de furt de informații macOS numit „Atomic” (alias „AMOS”), ce este vândut infractorilor cibernetici prin canale private de Telegram,  pentru un abonament lunar de 1.000 USD. Pentru prețul indicat, cumpărătorii primesc un fișier DMG ce conține un malware pe 64 de biți bazat pe Go, conceput pentru a viza sistemele macOS și pentru a fura parolele brelocului, fișierele din sistemul de fișiere local, parolele, cookie-urile și cărțile de credit stocate în browsere, inclusiv, un panou web gata de utilizat pentru gestionarea ușoară a victimelor, un brute-forcer MetaMask, un verificator de criptomonede, un program de instalare dmg și posibilitatea de a primi jurnalele furate pe Telegram.

Sursa:https://www.bleepingcomputer.com/news/security/new-atomic-macos-info-stealing-malware-targets-50-crypto-wallets/

CISA adaugă trei noi vulnerabilități la catalogul KEV

Agenția SUA pentru Securitate Cibernetică și Infrastructură (CISA) a adăugat trei defecte de securitate la catalogul Known Exploited Vulnerabilities (KEV), pe baza dovezilor de exploatare activă.

CVE-2023-28432 (scor CVSS - 7,5) - Vulnerabilitatea dezvăluirii informațiilor MiniIO;

CVE-2023-27350 (scor CVSS - 9,8) - Vulnerabilitatea PaperCut MF/NG pentru controlul accesului necorespunzătoare;

CVE-2023-2136 (scor CVSS - TBD) - Vulnerabilitatea de depășire a numărului întreg Google Chrome Skia;

Sursa:https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html

Cisco dezvăluie un defect XSS zero-day în instrumentul de management al serverului

Cisco a dezvăluit o vulnerabilitate zero-day în software-ul Prime Collaboration Deployment (PCD) al companiei, care poate fi exploatată pentru atacuri cu scripturi între site-uri. Urmărită ca CVE-2023-20060, eroarea a fost găsită în interfața de management bazată pe web a Cisco PCD 14 și mai devreme de Pierre Vivegnis de la Centrul de securitate cibernetică NATO (NCSC). Exploatarea cu succes permite atacatorilor neautentificați să lanseze atacuri cu scripturi între site-uri de la distanță, dar necesită interacțiunea utilizatorului.

Sursa:https://www.bleepingcomputer.com/news/security/cisco-discloses-xss-zero-day-flaw-in-server-management-tool/

Hackerii chinezi folosesc noi variante de malware Linux pentru spionaj

Hackerii chinezi implementează noi variante de malware Linux în atacurile de spionaj cibernetic, cum ar fi o nouă variantă PingPull și o ușă din spate nedocumentată anterior, urmărită ca „Sword2033”.  Varianta Linux a lui PingPull este un fișier ELF pe care doar trei din 62 de furnizori de antivirus îl semnalează în prezent ca fiind rău intenționat. Manevrele de comandă utilizate în PingPull se potrivesc cu cele observate într-un alt program malware numit „China Chopper”, un shell web văzut foarte folosit în atacurile împotriva serverelor Microsoft Exchange.

Sursa:https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-linux-malware-variants-for-espionage/

Google Authenticator face copii de rezervă în cloud pentru codurile 2FA

Aplicația Google Authenticator a primit o actualizare critică pentru Android și iOS, ce permite utilizatorilor să facă copii de rezervă pentru parolele unice de autentificare cu doi factori (OTP) în Conturile lor Google și să aibă suport pentru mai multe dispozitive. Noua actualizare a aplicației Authenticator este disponibilă în prezent în magazinul Apple iOS, dar este lansată treptat pentru utilizatorii de Android.  Autentificarea cu doi factori (2FA) adaugă un al doilea nivel de securitate conturilor dvs. online. Conturile configurate cu 2FA vor solicita utilizatorilor să introducă o parolă unică înainte de a se conecta la un cont, care este trimisă prin SMS-uri, e-mailuri sau generată de o aplicație de autentificare. Google Authenticator este o aplicație de autentificare extrem de populară, cu peste 100 de milioane de instalări, care permite utilizatorilor să genereze aceste parole unice pentru verificarea 2FA.

Sursa:https://www.bleepingcomputer.com/news/google/google-authenticator-now-backs-up-your-2fa-codes-to-the-cloud/