Noutățile săptămânii din Securitatea Cibernetică (27.03.2020)
1. Namecheap blochează înregistrarea domeniilor care includ în denumire „coronavirus” și „vaccin”
Registratorul de domenii Namecheap a declarant recent că nu va mai accepta înregistrarea de noi domenii care includ în denumirea sa cuvintele „coronavirus”, „covid” și „vaccin”, inclusiv alte cuvinte și expresii, care fac aluzie la pandemia COVID-19. Compania din Los Angeles spune că această măsura are drept scop de a preveni abuzul și frauda de pe site-urile care încearcă să ofere produse false și dezinformare, contribuind astfel la amploarea crizei globale în sectorul sanitar și cel economic. Namecheap spune că companiile legitime și proprietarii de site-uri web pot solicita un nume de domeniu, care conține unul dintre cuvintele interzise acum, doar în baza unei examinări prealabile.
În ultimele luni, fraudele și abuzurile legate de subiectul coronavirus, înregistrează o creștere constantă. Acest lucru a dus la un val de contramăsuri ale companiilor tehnologice mari și mici. Amazon, eBay și alți vânzători online au început să elimine înregistrările, care fac afirmații false de coronavirus, precum și să restricționeze vânzarea de produse sanitare, cum ar fi măștile de față și dezinfectantul de mână. Companiile mari precum Facebook, Twitter și YouTube au început să lucreze împreună pentru a lua poziții mai agresive în ceea ce privește stoparea dezinformării masive a populației prin intermediul conținutului fraudulos.
2. Infractorii cibernetici compromit routere vulnerabile
Pe parcursul ultimelor săptămâni, hackerii au devenit din ce în ce mai creativi în ceea ce privește pandemia coronavirusului. Respectiv, prin compromiterea routerelor vulnerabile, aceștea reușesc să schimbe setările IP DNS, pentru a redirecționa victimele către site-urile controlate de atacatori care promovează aplicații false cu informații despre coronavirus. Dacă victimele descarcă aceste aplicații, acestea sunt infectate cu malware-ul Oski.
Având control asupra setărilor DNS, atacatorii pot schimba adresele IP DNS și pot redirecționa utilizatorii neinformați, către paginile web controlate de atacator [.] . Unele dintre domeniile vizate, către care sunt redirecționați utilizatorii, includ: „aws.amazon [.] Com”, „goo [.] Gl”, „bit [.] Ly”, „washington [.] Edu”, „imageshack [.] us "," ufl [.] edu "," disney [.] com "," cox [.] net "," xhamster [.] com "," pubads.g.doubleclick [.] net ", „Tidd [.] Ly”, „redditblog [.] Com”, „fiddler2 [.] Com” și „winimage [.] Com.”
Atacatorii redirecționează victimele care încearcă să ajungă la unul dintre aceste domenii către o listă specifică de pagini web cu teme legate de coronavirus. Aceste site-uri afișează un mesaj care simulează a fi de la Organizația Mondială a Sănătății (OMS), sugerând utilizatorilor să instaleze o aplicație care oferă informații suplimentare despre coronavirus (printr-un buton de „descărcare”). Butonul de descărcare are tagul „href ”(hyperlink) setat la https: // google [.] Com / chrome, astfel încât pare curat atunci când victima trece peste buton. Dar de fapt, prin efectuarea acestui clic, se schimbă automat adresa URL, iar victima va fi derecționată căre un URL rău intenționat.
3. Atenție la campaniile malițioase care promit afișarea persoanelor infectate cu COVID-19 din proximitate
Troianul bancar Ginp utilizează informații despre persoanele infectate cu coronavirus ca momeală pentru a compromite dispozitivele utilizatorilor de Android și pentru a-i convinge să își introducă datele bancare.
Pe măsură ce tot mai mulți oamenii lucrează de acasă, sunt observate tot mai multe campanii care utilizează subiectul coronavirus pentru a infecta cât mai multe sisteme informatice. Atacatorii au adăugat o astfel de funcție și în troianul bancar Ginp, care odată ce primește o instrucțiune de la serverele C&C deschide o pagină web intitulată Coronavirus Finder.
Această pagină promite să prezinte numărul de persoane infectate cu coronavirus în proximitatea victimei și solicită plata a 0.75 Euro pentru afișarea locațiilor persoanelor infectate. Notificarea este afișată doar dacă troianul există deja pe sistemul Android victimă, aceasta fiind o metodă suplimentară de colectare a datelor bancare.
Alexander Eremin, expert în securitate cibernetică la Kaspersky, a declarat: “Atacatorii cibernetici au încercat, de luni de zile, să profite de criza Coronavirus, lansând atacuri de phishing și creând malware pe această temă. Este prima oară, însă, când vedem un troian bancar care încearcă să profite de pe urma unei pandemii. Este alarmant, mai ales că Ginp este un troian atât de eficient. Încurajăm utilizatorii de Android să fie deosebit de vigilenți în acest moment – pop-up- urile, paginile web necunoscute și mesajele spontane despre coronavirus ar trebui să fie privite întotdeauna cu un ochi critic”.
4. Zeci de aplicații Android pentru copii pe Google Play Store sunt incluse în schema de fraudă publicitară
Peste 50 de aplicații Android de pe Google Play Store, dintre care o mare parte utilizată de copii cu peste 1 milion de descărcări, au fost surprinse folosind un nou truc pentru a face clic în secret pe anunțuri, fără să știe utilizatorii de smartphone-uri.
Google, la rândul său, a încercat activ să împiedice aplicațiile Android necinstite să se infiltreze în Google Play Store. Acesta a pus bazele "Google Play Protect" ca mijloc de a ecraniza aplicații potențial dăunătoare și a falsificat, de asemenea, o „App Defense Alliance” în parteneriat cu companiile de securitate cibernetică ESET, Lookout și Zimperium, pentru a reduce riscul de malware bazat pe aplicații. Pentru a evita astfel de amenințări, este binevenit de a descărca aplicații de pe Play Store și respectiv evitarea încărcării acestora din alte surse. Nu în ultimul rând, se recomandă recenziile, detaliile dezvoltatorului și lista de permisiuni solicitate înainte de a instala orice aplicație.
Sursa: https://thehackernews.com/2020/03/android-apps-ad-fraud.html
5. 400 experți în securitate cibernetică din 40 de țări s-au mobilizat pentru a contracara atacurile informatice
Un grup internațional de aproximativ 400 experți în securitate cibernetică, care poartă numele de “COVID-19 CTI League”, a fost creat miercuri pentru a lupta împotriva atacurilor informatice ce exploatează teama provocată de pandemia de coronavirus. Grupul, format exclusiv din voluntari, include experți care lucrează la companii majore de tehnologie, precum Microsoft sau Amazon, relatează agenția de știri Reuters.
Scopul principal al grupului este acela de a proteja organizațiile medicale, care în ultimele săptămâni au fost ținta preferată a hackerilor.
“Misiunea noastră este de a neutraliza toate amenințările cibernetice care doresc să exploateze actuala pandemie. Identificăm, analizăm și neutralizam toate amenințările, dar în acest moment sensibil, acordăm prioritate resurselor medicale plasate în prima linie și infrastructurii esențiale”, explică Ohad Zaidenberg unul dintre inițiatorii proiectului și cercetător în cadrul firmei ClearSky Cyber Security, citat de site-ul Silicon.fr.
Un alt inițiator, Mark Rogers – vicepreședinte la firma de securitate cibernetică OKta Inc – spune că nu a văzut niciodată atât de multe campanii de phishing desfășurate într-o multitudine de limbi.
“Practic observ mesaje de phishing în toate limbile cunoscute”, a afirmat Rogers, care a precizat că prioritatea va fi lupta împotriva atacurilor cibernetice ce vizează sistemul medical.
Mesajele de tip phishing încearcă să convingă utilizatorii să introducă parole sau alte informații sensibile pe site-uri web controlate de atacatori, care apoi folosesc datele pentru a prelua controlul asupra conturilor bancare, de e-mail sau a altor conturi.
Mai multe grupuri de hackeri au comunicat recent că vor înceta acțiunile împotriva organizațiilor medicale până la stabilizarea situației cu coronavirusul, însă atacurile au continuat, printre ținte fiind și o firmă medicală din Marea Britanie, care ar urma să participe la testarea vaccinurilor contra coronavirusului.
