RODO okiem hackera! Praktyczne szkolenie od sekuraka z ochrony danych osobowych. Zapisz się tutaj.

Tag: malware

Kolejna fałszywa reklama w Google, tym razem MSI Afterburner

15 listopada 2022, 00:00 | Aktualności | 1 komentarz
Kolejna fałszywa reklama w Google, tym razem MSI Afterburner

Ostatnio pisaliśmy o fałszywym GIMPie oraz DBeaverze. Tym razem na naszej grupie na Facebooku kolega Michał podzielił się spostrzeżeniem w sprawie kolejnego ataku typu fałszywa reklama polegającego na wykupieniu przez przestępców reklamy w wyszukiwarce i wypozycjonowaniu na pierwszym miejscu fałszywej strony. W tym przypadku sfałszowaniu miało ulec narzędzie MSI Afterburner,…

Czytaj dalej »

DBeaver – ktoś wypozycjonował na #1 miejscu w wyszukiwarkach podrobioną stronę narzędzia dla adminów baz danych. A strona serwowała malware…

04 listopada 2022, 17:23 | W biegu | komentarze 2
DBeaver – ktoś wypozycjonował na #1 miejscu w wyszukiwarkach podrobioną stronę narzędzia dla adminów baz danych. A strona serwowała malware…

Tym razem prezentujemy Wam infekcję, której wątek podesłał nam Albert. Okazuje się, że przez pewien czas, narzędzie DBeaver służące jako klient wielu znanych standardów baz danych jak MySQL, PostgreSQL, MS SQL, Oracle, DB2 czy nawet Access mógł być pobierany z fałszywej strony, która pozycjonowała się wysoko (pierwsze wyniki) w wyszukiwarkach….

Czytaj dalej »

Złośliwe oprogramowanie zainfekowało komputery farmy wiatrowej. Ale nie zdecydowali się usunąć malware, bo… wreszcie zapewnił im dobre zarządzanie łatkami!

03 listopada 2022, 10:01 | W biegu | komentarzy 6
Złośliwe oprogramowanie zainfekowało komputery farmy wiatrowej.  Ale nie zdecydowali się usunąć malware, bo… wreszcie zapewnił im dobre zarządzanie łatkami!

Ciekawa historia opisywana jest tutaj: Klient zgłosił, że kilkanaście jego turbin wiatrowych zostało zainfekowanych złośliwym oprogramowaniem. Do każdej z turbin podłączony był własny komputer z systemem Windows. Ten komputer monitorował prędkość wiatru, produkcję, kontrole stanu działania urządzeń oraz mógł sterować częściami turbiny. The client was reporting that a dozen of…

Czytaj dalej »

Umieścili w Google fałszywą reklamę popularnego narzędzia graficznego – GIMP. Link prowadził do strony ze złośliwym oprogramowaniem…

02 listopada 2022, 10:28 | Aktualności | komentarzy 8
Umieścili w Google fałszywą reklamę popularnego narzędzia graficznego – GIMP. Link prowadził do strony ze złośliwym oprogramowaniem…

W serwisie reddit pojawił się wątek na którym wskazano reklamę narzędzia GIMP jako fałszywą. Badacz bezpieczeństwa 0x0luke potwierdził to zdarzenie i swoją analizą podzielił się na Twitterze.  Atak “ad hijacking” polega na wykupieniu reklamy w wyszukiwarce np. w Google Ads dotyczącej wyszukiwania konkretnego słowa (w tym przypadku “gimp”), gdzie na…

Czytaj dalej »

Złośliwe makro MS Office może uzyskać absolutne pełne uprawnienia w Windows (wykonanie kodu na poziomie jądra OS, wykorzystanie buga w sterowniku).

27 października 2022, 10:20 | W biegu | komentarze 3
Złośliwe makro MS Office może uzyskać absolutne pełne uprawnienia w Windows (wykonanie kodu na poziomie jądra OS, wykorzystanie buga w sterowniku).

Ktoś postanowił wykonać taki projekt w ramach ekhem, swojego hobby: W opisie szczegółów autor umieścił m.in. linka do źródeł kodu takiego makra. W trakcie exploitacji używany jest podatny sterownik (zam64.sys) używany przez oprogramowanie anty-malware (!) o nazwie Malwarefox. Całość składa się z dwóch faz: Standardowe wykonanie kodu w Windows po…

Czytaj dalej »

Graphite – malware pobierany najechaniem kursora myszy na element prezentacji Powerpoint

03 października 2022, 15:16 | W biegu | 1 komentarz
Graphite – malware pobierany najechaniem kursora myszy na element prezentacji Powerpoint

Badacze z Cluster25 zebrali i przeanalizowali załączniki wykorzystywane do instalacji złośliwego oprogramowania o nazwie Graphite, które jest powiązane z grupą APT28 “Fancy Bear”. Według Departamentu Sprawiedliwości USA, grupa jest wspierana i bezpośrednio związana z wywiadem rosyjskim. Graphite jest rodziną malware, która wykorzystuje bibliotekę cloudową Microsoft Graph API oraz dysk OneDrive…

Czytaj dalej »

Fałszywa rekrutacja na LinkedIn. Ofiary: pracownik z branży lotniczej oraz dziennikarz. W trakcie ataku wykorzystali podatność w sterownikach Della, co umożliwiło im pełną eskalację uprawnień i niewidzialność

01 października 2022, 13:46 | W biegu | 1 komentarz
Fałszywa rekrutacja na LinkedIn. Ofiary: pracownik z branży lotniczej oraz dziennikarz. W trakcie ataku wykorzystali podatność w sterownikach Della, co umożliwiło im pełną eskalację uprawnień i niewidzialność

Zobaczcie jak w praktyce potrafią działać grupy APT. Zaczęło się od rzekomej rekrutacji do Amazona oraz pliku MS Office ze szczegółami. Niektórzy czytelnicy już pewnie kręcą nosem – znowu złośliwe makro, co w tym „zaawansowanego”. No więc dokument nie zawierał makra, zawierał za to zewnętrzny template (ładowany z serwerów atakujących)…

Czytaj dalej »

Backdoor w Prynt Stealer – oszuści kradną dane od innych oszustów

07 września 2022, 12:26 | W biegu | 1 komentarz
Backdoor w Prynt Stealer – oszuści kradną dane od innych oszustów

Badaczom z Zscaler ThreatLabz udało się wykryć backdoora w świeżym malware Prynt Stealer (również opisywanego jako warianty pod nazwą WorldWind oraz DarkEye), którego zasada działania opiera się o kradzież eskfiltrowanych danych na prywatny kanał Telegram.  Sam Prynt Stealer został odkryty w kwietniu tego roku i pozwala operatorom na zbieranie danych…

Czytaj dalej »

Reguły obronne YARA do klasyfikacji i identyfikacji złośliwego oprogramowania

05 września 2022, 11:11 | Teksty | komentarzy 7
Reguły obronne YARA do klasyfikacji i identyfikacji złośliwego oprogramowania

Złośliwe oprogramowanie (ang. malware) rozprzestrzenia się jak zaraza. Statystyki DataProt z roku 2022 informują, że codziennie wykrywane jest ponad pół miliona fragmentów złośliwego kodu, a łączna liczba istniejącego malware’u przekracza miliard. Nie da się też ukryć, że coraz częściej motywem ataku jest chęć zysku: Co minutę około cztery firmy doświadczają…

Czytaj dalej »

Podmienione telefony niby „znanych marek” ze zbackdoorowaną wersją Androida

25 sierpnia 2022, 21:53 | W biegu | 1 komentarz
Podmienione telefony niby „znanych marek” ze zbackdoorowaną wersją Androida

Portal Dr. Web informuje o wykryciu backdoorów w partycjach systemowych budżetowych modeli smartfonów z Androidem. Złośliwe oprogramowanie cechuje się możliwością wykonania dowolnego kodu w zbackdoorowanym komunikatorze WhatsApp oraz jego biznesowej wersji. Wśród scenariuszy ataków może być przechwytywanie czatów, kradzież informacji i realizacja kampanii spamowych. Na urządzeniach gdzie problem wykryto, rzekomo…

Czytaj dalej »

BumbleBee loader – nowa droga do przejęcia domeny Active Directory

23 sierpnia 2022, 10:19 | Aktualności | komentarzy 7
BumbleBee loader – nowa droga do przejęcia domeny Active Directory

O podatności CVE-2021-40444 na usługi Microsoft i programach ją wykorzystujących mogliśmy przeczytać na sekuraku w marcu. Wydaje się, że grupy cyberprzestępcze, które wcześniej wykorzystywały takie loadery jak BazaLoader i IcedID w ramach swoich kampanii dotyczących złośliwego oprogramowania, zaadoptowały nowy loader o nazwie BumbleBee. Wygląda na to, że moduł ładujący jest…

Czytaj dalej »

Microsoft demaskuje austriacką grupę hackerską KNOTWEED. Oferują malware min. z 0dayami na Windows/Adobe reader.

01 sierpnia 2022, 12:58 | W biegu | 0 komentarzy
Microsoft demaskuje austriacką grupę hackerską KNOTWEED. Oferują malware min. z 0dayami na Windows/Adobe reader.

Microsoft wspomina, że firma ma niby oferować zwykłe (no dobra, nieco niezwykłe – bo zaawansowane) pentesty: they provide services “to multinational corporations in the technology, retail, energy and financial sectors” and that they have “a set of highly sophisticated techniques in gathering and analyzing information.” They publicly offer several services including…

Czytaj dalej »

Kolejny przeżywający reinstalacje systemu malware. Na celowniku Rosja/Chiny/Wietnam/Iran. [UEFI firmware rootkit]

27 lipca 2022, 09:54 | W biegu | komentarze 3
Kolejny przeżywający reinstalacje systemu malware.  Na celowniku Rosja/Chiny/Wietnam/Iran. [UEFI firmware rootkit]

Temat „niewidzialnych” backdorów nie jest nowy, a większa popularność tego typu oprogramowania niestety jest już chyba blisko. Tym razem dowiadujemy się (https://securelist[.]com/cosmicstrand-uefi-firmware-rootkit/106973/) o prawdopodobnie chińskiej ekipie, która wykorzystuje jedną podatność w sterownikach do płyt głównych Gigabyte / ASUS: The rootkit is located in the firmware images of Gigabyte or ASUS…

Czytaj dalej »

GoMet – prawdopodobnie rosyjski backdoor na Ukrainie. Na celowniku firma deweloperska dostarczająca oprogramowanie dla instytucji rządowych.

23 lipca 2022, 09:49 | W biegu | 0 komentarzy
GoMet – prawdopodobnie rosyjski backdoor na Ukrainie. Na celowniku firma deweloperska dostarczająca oprogramowanie dla instytucji rządowych.

Problem relacjonuje Cisco Talos: Współpracując z organizacjami ukraińskimi, Cisco Talos odkrył dość rzadki fragment złośliwego oprogramowania atakującego Ukrainę — tym razem skierowany na dużą firmę programistyczną, której oprogramowanie jest wykorzystywane w różnych organizacjach państwowych na Ukrainie. Working jointly with Ukrainian organizations, Cisco Talos has discovered a fairly uncommon piece of…

Czytaj dalej »

Rosjanie po cichu reklamują appkę służącą do ataków DoS na rosyjskie serwisy (!). Po instalacji następuje infekcja telefonu.

20 lipca 2022, 09:48 | W biegu | komentarze 4
Rosjanie po cichu reklamują appkę służącą do ataków DoS na rosyjskie serwisy (!). Po instalacji następuje infekcja telefonu.

Spójrzcie na ten przegląd kilku cyberataków mających miejsce w krajach Europy Wchodniej, a związanych z inwazją na Ukrainę. Google wskazuje przykładowo próby dystrybucji appki, hostowanej na stronie, która przedstawia się jako należąca do grupy Cyber Azow: Appka rzeczywiście komunikuje się (dla niepoznaki) z rosyjskimi serwisami (lista tutaj), ale wykonuje do…

Czytaj dalej »