A FOST PUBLICATĂ LISTA TARIFELOR AFERENTE ACTIVITĂȚILOR DE AUDIT DE SECURITATE CIBERNETICĂ. Accesați aici lista

Știrile săptămânii din cybersecurity (02.06.2022)

2022/06/02
Popularitate 1000

Foto: CANSO

Vulnerabilitate zero-day a Microsoft Office

Cercetătorii în domeniul securității cibernetice au observat o vulnerabilitate de tip zero-day a Microsoft Office, numită „Follina”, care ar fi putut fi exploatată activ.

Pe 27 Mai 2022, un cercetător a indicat pe Twitter că a găsit pe VirusTotal un document Word, încărcat din Belarus, proiectat pentru a executa cod PowerShell arbitrar atunci când este deschis, chiar dacă macrocomenzile sunt dezactivate - documentele Word rău intenționate sunt de obicei utilizate pentru executarea codului prin macrocomenzi. DNSC a publicat la vremea respectivă o alertă despre această problemă, care poate fi accesat și descarcată aici: https://dnsc.ro/vezi/document/dnsc-alert-v20220530-zero-day-vulnerability-msf-word-pdf

Vulnerabilități în aplicațiile Android preinstalate

Microsoft a dezvăluit public o serie de vulnerabilități într-un cadru utilizat de aplicațiile Android care ar fi putut expune utilizatorii la atacuri cibernetice, însă nu a dezvăluit lista completă a aplicațiilor care utilizează cadrul vulnerabil în cauză.

Vulnerabilitățile au fost identificate ca CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, CVE-2021-42601, au primit scoruri CVSS între 7,0 – 8,9 din 10 și nu a fost identificată o exploatare activă a acestor defecte.

Microsoft a informat Google cu privire la aceste vulnerabilități de securitate. În replică, Google a actualizat Google Play Protect care execută o verificare de siguranță a aplicațiilor înainte de a le descărca din Google Play.

1 IUNIE: DNSC, Ambasada Elveției și Swiss WebAcademy au lansat seria de benzi desenate cu tematică cyber - Websters -  materiale despre siguranța online dedicate copiilor și părinților

Ambasada Elveției, împreună cu Directoratul Naţional de Securitate Cibernetică şi Centrul de training Swiss WebAcademy din Sibiu au lansat de Ziua Copilului varianta în limba română a două benzi desenate despre securitatea în mediul online, dedicate copiilor şi familiilor: "Poveşti cotidiene digitale" şi "Întâmplări de pe net".

Întâmplările prezentate sunt inspirate din situaţii reale şi oferă profesorilor, părinţilor şi bunicilor atât o bază de discuţie cu tinerii despre viaţa digitală de zi cu zi, cât şi sfaturi practice.

Broşurile beneficiază de expertiza în materie de securitate cibernetică a instituţiilor specializate din Elveţia şi au fost publicate în limba română cu sprijinul Oficiului Federal elveţian de Comunicaţii, al Ambasadei Elveţiei la Bucureşti, al Directoratului Naţional de Securitate Cibernetică (DNSC), al Ministerului Educaţiei, al Centrul de training Swiss WebAcademy din Sibiu, al Camerei de Comerţ Elveţia-România şi al Swiss Sponsors' Fund.

Materialele pot fi accesate şi descărcate gratuit pe site-ul: https://www.websters.swiss/ro

Conturile WhatsApp pot fi deturnate prin redirecționarea apelurilor

Cercetătorii avertizează că un atacator care știe numărul de telefon al victimei poate fura definitiv contul acesteia de WhatsApp.

Metoda se bazează pe serviciul automat al operatorilor de telefonie mobilă pentru redirecționarea apelurilor și pe opțiunea WhatsApp de a trimite un cod de verificare a parolei unice prin apel vocal.

Prin tehnici de social engineering, persoana rău intenționată poate pacăli victima să efectueze un apel – practic, să redirecționeze apelurile către telefonul atacatorului – moment în care atacatorul poate începe procesul de înregistrare a contului Whatsapp pe dispozitivul său, alegând opțiunea de a primi codul de verificare a parolei unice prin apel vocal.

Ulterior, atacatorul poate activa autentificarea 2FA, ceea ce va împiedica recâștigarea accesului asupra contului de către proprietarul de drept.

Interpol a arestat trei suspecți nigerieni acuzați de atacuri cu malware

La 30 iunie 2022, Interpol a anunțat arestarea a trei bărbați nigerieni suspectați că ar fi folosit troianul Agent Tesla pentru a deturna tranzacții financiare, furând credențiale de conectare online de la organizații cu sediul în Asia de Sud-Est, Orientul Mijlociu și Africa de Nord.

Malware-ul Agent Tesla este livrat în principal prin e-mailuri de phishing și are capabilități precum keylogging, capturi de ecran, furtul credențialelor de conectare sau exfiltrarea unor informații sensibile.

Cei trei au fost arestați în cadrul unei operațiuni internaționale ”Killer Bee”, coordonată de Birourile Centrale Naționale ale Interpol și de autoritățile de aplicare a legii din 11 țări din Asia de Sud-Est.

Raport al impactului spamului și al escrocheriilor telefonice în SUA

Truecaller și The Harris Pool au realizat o cercetare ale cărei concluzii dezvăluie tendințele privind impactul spamului și al escrocheriilor telefonice care au pătruns tot mai mult în SUA. Studiul estimează că în ultimele 12 luni s-au pierdut, doar pe teritoriul SUA, aproximativ 39,5 miliarde USD, cea mai mare sumă de când Truecaller a început, în urmă cu 8 ani, să cerceteze apelurile rău intenționate și spam-ul pe teritoriul Statelor Unite.

Potrivit raportului, aproximativ 68,4 milioane de americani au declarat că au pierdut bani din escrocherii telefonice și unul din trei americani a declarat că a căzut victimă acestor înșelătorii.  

Raport indică inclusiv gradul de vulnerabilitate în funcție de sex, vârstă și origine etnică, precum și ce fac oamenii după ce au fost înșelați în acest mod.

GitHub – 100.000 credențiale NPM furate

În mai 2022, serviciul de găzduire a arhivelor bazate pe cloud - GitHub a dezvăluit că a descoperit dovezi ale unui adversar anonim care valorifică token-uri de utilizator OAuth furate pentru a descărca neautorizat date private de la mai multe organizații.

La 27 mai 2022, GitHub a împărtășit detalii suplimentare cu privire la furtul token-urilor OAuth, menționând faptul că atacatorul a putut accesa date NPM interne și informații despre clienți.

Entitatea rău intenționată a abuzat de token-urile furate pentru a exfiltra depozitele private NPM care conțin chei de access AWS și pentru a obține acces neautorizat la infrastructura registrului.

GitHub urmează demersurile de resetare a parolelor celor 100.000 utilizatori afectați.

EnemyBot exploatează vulnerabilități Android și Web Server

În martie 2022, cercetătorii de la Securonix și cei de la FortiGuard Labs au observat și au analizat un nou botnet folosit în atacuri de tip DDoS -  intitulat EnemyBot - pe care l-au legat de Keksec, o grupare specializată în atacuri cryptominig și DDoS, atacurile timpurii vizând routere de la Seowon Intech, D- Link și iRZ.

Codul sursă al EnemyBot se regăsește și în alte rețele botnet precum Gafgyt, Mirai, Qbot, Zbot și LolFMe  și, datorită actualizărilor rapide, EnemyBot și-a extins capacitățile pentru a viza servere web, dispozitive Android și sisteme de management al conținutului (CMS).

Cercetătorii apreciază că acest malware are potențialul de a deveni o amenințare majoră pentru serverele web și pentru dispozitivele ioT.

Raport referitor la fraudele pe dispozitivele mobile

Un raport al Threat Fabric pentru anul 2022 indică o intensificare a numărului de troieni bancari și a activităților rău intenționate în care aceștia sunt utilizați împotriva dispozitivelor mobile. Astfel, Spania și Turcia ocupă primele două locuri în topul țărilor vizate pentru campanii malware, fiind urmate de Polonia, Australia, SUA, Germania, Marea Britanie, Italia, Franța și Portugalia.

Hydra, Flubot, Cerberus, Octo și ERMAC sunt cei mai activi troieni bancari observați în creșterea de peste 40% a familiilor de malware care au abuzat sistemul de operare Android în primele 5 luni ale anului 2022 și permanent le sunt aduse îmbunătățiri și actualizări.

Cercetătorii recomandă utilizatorilor să descarce aplicațiile doar din Google Play Store, să se evite acordarea de permisiuni neobișnuite aplicațiilor care nu au motiv să le solicite și să fie atenți la orice tentative de phishing care vizează instalarea de aplicații frauduloase.

Avertisment FBI – campanii frauduloase de strangere de fonduri pentru Ucraina

La 31 mai 2022, FBI a emis un avertisment către publicul larg în contextul fraudelor financiare deghizate în strângeri de fonduri pentru Ucraina.

În acest context, escrocii se folosesc de criza generată de războiul ruso-ucrainean și pretind că sunt entități ucrainene care au nevoie de ajutor umanitar sau entități care dezvoltă campanii de strângere de fonduri.

Avertismentul FBI vine și cu o serie de recomandări despre cum putem evita să devenim victimele acestor escroci pe internet. În plus, FBI recomandă persoanelor care cred că au devenit victimele unei scheme frauduloase legată de criza ucraineană, să depună un raport la ”Centrul de plângeri pentru infracțiuni pe internet” al FBI, la adresa www.ic3.gov. În România astfel de cazuri au apărut chiar la debutul confilctului militar, echipa Directoratului emițând o serie de alerte în acest sens începând cu a doua parte a lunii februarie: https://www.facebook.com/DNSC.RO/posts/315512217275961.

Programul de recompense LinkedIn devine public

LinkedIn a decis ca programul său de recompense pentru erori să devină public și, astfel, să se extindă aria pasionaților care doresc să cerceteze și să raporteze potențialele vulnerabilități de securitate ale platformei.

Sumele oferite drept recompensă variază între 500 și 15.000 USD și au fost acordate, până acum, când programul era privat și funcționa numai pe bază de invitație, recompense în valoare de mai mult de 250.000 USD.