Noutățile săptămânii din securitatea cibernetică (04.09.2020)
Un nou Skimmer Web fură datele cardurilor de credit și le transmite prin Telegram
Cercetătorii de la Malwarebytes au publicat o analiză despre un nou skimmer web care utilizează noi tactici și tehnici pentru a fura datele sensibile ale cardurilor și a le transmite ulterior prin Telegram atacatorilor.
Acesta reprezintă un atac cibernetic de tip formjacking în care persoanele răuintenționate injectează cod JavaScript malițios în formularele de plată ale paginilor web ale site-urilor comerciale. Atunci când un utilizator introduce informațiile cardului, prin intermediul codului malițios sunt colectate datele sensibile introduse (de exemplu numele, numărul cardului, data de expirare, CVV), după care, conform noii tactici, sunt transmise într-un canal privat Telegram folosind un bot ID codificat în codul skimmer-ului.
Telegram este un serviciu de mesagerie instant, popular și legitim, oferind o criptare end-to-end a conținutului, care este abuzat, însă de un număr considerabil de infractori cibernetici.
Analiza completă privind detaliile tehnice, modul de funcționare, tehnicile utilizate și strategia de atac ale acestui skimmer pot fi vizualizate aici.
Sursa:https://thehackernews.com/2020/09/credit-card-telegram-hackers.html
CISCO avertizează despre noi vulnerabilități de epuizare a memoriei
Vulnerabilități multiple identificate în Protocolul de rutare multicast de la distanță (DVMRP) a software-ului Cisco IOS XR ar putea unui atacator neautentificat să blocheze protocolul IGMP (Internet Group Management Protocol) sau să provoace epuizarea memoriei disponibile, pentru ca eventual, acesta să se blocheze și să cauzeze instabilitatea altor procese.
Aceasta vulnerabilitate se datorează manipulării incorecte a pachetelor IGMP, fiind urmărite ca CVE-2020-3566, CVE-2020-3569 și CVE-400. Acestea au impact asupra dispozitivelor Cisco ce rulează orice versiune a software-ului Cisco IOS XR care are și rutarea multicast activată pe oricare dintre interfețele sale. În cazul în care rutarea multicast nu este activată, atunci dispozitivul nu este afectat de către aceste vulnerabilități.
Avizul publicat de către Cisco, cu privire la vulnerabilitățile identificate și recomandările de securitate emise poate fi accesat aici.
Google a eliminat o colecție de aplicații pentru Android din Google Play Store care fac parte dintr-un botnet de fraudă publicitară
Cercetătorii de securitate de la White Ops au descoperit și raportat un botnet, numit Terracotta care funcționa prin descărcarea unor aplicații din Google Play Store care le promitea utilizatorilor că vor primi lucruri gratuite, de obicei încălțăminte, bilete, tratamente dentare, etc, în timp de două săptămâni de la descărcarea aplicației.
Botnetul a rulat pe o versiune modificată a clasei WebView și o versiune mai veche a Google Chrome, efectuând fraude publicitare prin încărcarea anunțurilor false și obținerea veniturilor din afișări.
După intervenția din partea Google, prezența malware-ului în Google Play Store a fost redusă. Din păcate, încă nu a fost lansată o listă a aplicațiilor infectate, însă odată ce Google a eliminat aplicațiile rău intenționate din Google Play Store are loc dezactivarea automată a acestora de pe toate dispozitivele utilizatorilor, astfel stopându-se comportamentul malițios al acestora.
Cercetătorii de la White Ops au publicat un raport tehnic amănunțit care detaliază modul de funcționare internă a malware-lui Terracotta, începând cu descărcarea inițială până la indicatorii de compromis și o listă a aplicațiilor identificate ce au fost eliminate din Google Play Store până în prezent. Raportul poate fi vizualizat aici.
Vulnerabilitate a sistemului de plăți Visa contactless poate permite efectuarea tranzacțiilor cu ocolirea verificării codului PIN
Cercetătorii din securitate de la ETH Zurich au descoperit o vulnerabilitate a protocolului EMV Contactless al Visa ce permite decontarea unor sume ce depășesc limita impusă, fără solicitarea PIN-ului. EMV, protocolul internațional standard pentru plata SmartCard este folosit de peste 9 miliarde de carduri din toată lumea și totodată în peste 80% din tranzacțiile cu carduri din lume.
În acest context, a fost simulat un atac, cu ajutorul a două telefoane cu SO Android, un card de credit contactless si o aplicație Android de tip proof-of-concept (PoC) dezvoltată special, care nu are nevoie de hack-uri sau privilegii root pentru a funcționa. Telefoanele comunică prin WiFi unul cu celălalt, respectiv prin Near-Field-Communication (NFC) cu terminalul și cardul, explică cercetătorii. În urma conexiunii, se modifică un obiect cu date ale cardului (Card Transaction Qualifiers) care instruiește terminalul că verificarea PIN-ului nu este necesară, fiind deja realizată. Echipa notează că acest tip de fraudă, testată și în afara laboratorului pe cardurile cercetătorilor, este dificil de observat, din moment ce a devenit o obișnuință ca plățile să fie realizate cu telefoanele.
Vulnerabilitate a File Manager depistată în WordPress
Recent, echipa Wordfence Threat Intelligence a raportat prezența unei vulnerabilități exploatată în File Manager, un plugin WordPress cu peste 700.000 de utilizatori activi. Această vulnerabilitate a permis utilizatorilor neautentificați să execute comenzi și să încarce fișiere malițioase pe un site țintă.
Potrivit echipei Wordfence Threat Intelligence, soluția împotriva acestei vulnerabilități este ca utilizatorii WordPress sa facă update-ul pentru ultima versiune - 6.9. Aceasta conține un patch pentru această vulnerabilitate care protejează utilizatorii de astfel de atacuri.
Atât utilizatorii Wordfence Premium, cât și site-urile care rulează versiunea gratuită a Wordfence au fost protejați împotriva atacurilor care vizează această vulnerabilitate datorită protecției încorporate a fișierului firewall Wordfence. Utilizatorii Wordfence Premium au primit, de asemenea, servicii firewall suplimentare care oferă protecție suplimentară împotriva oricărei vulnerabilități. Site-urile care încă folosesc versiunea gratuită a Wordfence vor primi serviciile suplimentare în 30 de zile pe 1 octombrie 2020.
