Noutățile Săptămânii din Securitate Cibernetică 12.02.2021
Un nou atac de tip phishing utilizează codul Morse
O campanie de phishing include o tehnică ce utilizează codul Morse pentru a ascunde URL-uri periculoase în atașamentele email-urilor. Atacul începe printr-un email ce pretinde că include o factură, subiectul fiind de forma „Revenue_payment_invoice February_Wednesday 02/03/21”.
Email-ul conține un atașament html, care, odată accesat, deschide un spreadsheet Excel ce îi solicită vicimei să se logheze la Office365, pentru a putea vedea documentul. După introducerea datelor de logare, acestea sunt trimise către un site remote, de unde atacatorii pot colecta informațiile.
Vizualizarea atașamentului într-un text editor va releva scriptul Java pentru conversia literelor și cifrelor în codul Morse. Scriptul conține o funcție pentru decodarea limbajului în string hexadecimal, la rândul său decodat în tag-uri JavaScript ce sunt injectate în pagina html.
Noi actualizări de securitate de la Microsoft
Microsoft a emis actualizări de securitate pentru 56 de vulnerabilități, dintre care 11 vulnerabilități critice, 43 – importante și două ca fiind moderate ca severitate.
Actualizările se referă la .Net Framework, Azure IoT, Microsoft Dynamics, Microsoft Edge pentru Android, Microsoft Exchange Server, Microsoft Office, Skype, Visual Studio, etc.
Cea Mai critică vulnerabilitate se referă la escaladarea privilegiilor Windows Win32k (CVE-2021-1732) care are atribuit un scor CVSS 7.8. Exploatată cu succes, aceasta ar putea permite unui atacator să obțină acces la sistemul victimă și să ruleze cod rău intenționat cu permisiuni ridicate.
Întreaga listă a actualizărilor emise pentru luna februarie poate fi accesată aici.
Sursa: https://thehackernews.com/2021/02/microsoft-issues-patches-for-in-wild-0.html
Vulnerabilități critice la nivelul MS Windows TCP/IP stack
Actualizarea de securitate lansată de Microsoft în februarie 2021 se adresează mai multor vulnerabilități ale TCP/IP stack, dintre care, două permit atacatorilor să obțină acces pentru „Remote Code Execution” (RCE) pe dispozitivele Windows vulnerabile. Pentru moment, exploatarea celor două vulnerabilități este complexă, implicând probabilitatea scăzută pentru efectuarea acestui lucru pe termen scurt.
Noul botnet Matryosh afectează dispozitivele Android
Cercetătorii de securitate de la Netlab au identificat un nou botnet ce reutilizează structura botnet-ului Mirai, dezvoltat prin interfața ADB. Noul botnet a fost denumit „Matryosh” iar campania de malware aferentă urmărește co-optarea de dispozitive Android pentru desfășurarea de atacuri tip distributed denial of service (DDoS) prin intermediul tcpraw, icmpecho și udpplain.
După propagarea Matryosh prin intermediul Android Debug Bridge (ce utilizează portul 5555), principala sa funcție constă în descărcarea și rularea de script-uri de la un remote host (199.19.226.25). În plus, în urma comparării Matryosh cu Moobot, cel mai activ botnet, au fost identificate următoarele similarități: utilizarea unui model Tor C2, portul C2 (31337) și „attack process name” sunt aceleași, „C2 command format” este similar.
Măsuri de apărare împotriva Matryosh sunt scanarea rețelelor interne și externe, pentru a verifica dacă există dispozitive aflate în starea „listening” pe portul 5555 și dezactivarea funcției ADB din setările Android OS, însă multe device-uri nu dispun de această opțiune. Astfel, multe sisteme rămân vulnerabile, dar, conform cercetătorilor, Matryosh nu pare pregătit pentru realizarea de operații majore..
Sursa: https://blog.malwarebytes.com/malwarebytes-news/2021/02/android-devices-caught-in-matryosh-botnet/
