[nowość] Poznaj bezpieczeństwo Windows. Cześć pierwsza: usługi systemowe. Nowe, bezpłatne szkolenie od sekuraka!

Tag: malware

Ciekawy przykład malware infekującego pendrivey. Windows zupełnie nie widzi „ukrytego” katalogu ze szkodnikiem oraz skradzionymi danymi!

27 stycznia 2023, 22:17 | W biegu | 1 komentarz
Ciekawy przykład malware infekującego pendrivey. Windows zupełnie nie widzi „ukrytego” katalogu ze szkodnikiem oraz skradzionymi danymi!

Palo Alto opublikowało właśnie analizę wariantów pewnego malware. Otwierasz pendrive i widzisz coś takiego jak na zrzucie ekranowym poniżej. Kliknąłbyś w ten „folder” czy „dysk”? Błąd – bo zainfekowałbyś swój komputer. Co więcej, malware automatycznie infekuje kolejne dyski przenośne, które podłączasz do komputera… Jak widać powyżej, jedyny normalnie widoczny zasób…

Czytaj dalej »

Złośliwe reklamy w Google zwiększają poziom agresji. Na celowniku: Notepad++, Winrar, CCleaner, Virtualbox, VLC…

18 stycznia 2023, 15:06 | W biegu | komentarzy 17
Złośliwe reklamy w Google zwiększają poziom agresji. Na celowniku: Notepad++, Winrar, CCleaner, Virtualbox, VLC…

Jeśli ktoś czyta na bieżąco Sekuraka, to już ostatnio kilka razy widział alerty o fałszywych reklamach w Google. Również niektóre historie realnie kończyły się np. przejęciem konta googlowego ofiary. Jaka zmiana nastąpiła ostatnio? Fałszywych reklam jest jeszcze więcej, a ponadto potrafią pojawiać w grupach na pierwszej stronie wyników z Google….

Czytaj dalej »

Koleżka kupił androidowy TV box (T95 AllWinner T616). A tam domyślnie działa sobie malwarek. Analiza.

13 stycznia 2023, 10:35 | Aktualności | komentarzy 27
Koleżka kupił androidowy TV box (T95 AllWinner T616). A tam domyślnie działa sobie malwarek. Analiza.

Bohaterem są tanie urządzenia dostępne np. na Amazonie: Badacz zakupił je najpewniej na standardowe potrzeby (tj. oglądanie TV ;) ale postanowił nieco przeanalizować zdobyty okaz: This device’s ROM turned out to be very very sketchy — Android 10 is signed with test keys, and named „Walleye” after the Google Pixel…

Czytaj dalej »

Nasz czytelnik wygooglał pakiet instalacyjny Gimpa. Trafił na fejkową reklamę, zainfekował komputer i stracił dostęp do konta Google

02 stycznia 2023, 11:20 | Aktualności | komentarzy 51
Nasz czytelnik wygooglał pakiet instalacyjny Gimpa. Trafił na fejkową reklamę, zainfekował komputer i stracił dostęp do konta Google

W zasadzie wszystko zawarte jest w tytule, ale może jednak nazbyt skrótowo ;-) W każdym razie Rafał w tym wątku zgłosił nam swoją historię: Zaczęło się od poszukiwania w google strony GIMPa. Wyglądało to mniej więcej tak: Spoko, tylko strona na którą kierowała reklama wyglądała tak: Najpewniej w instalce był…

Czytaj dalej »

Zobaczcie całkiem normalne zapytanie ofertowe z Wyższego Urzędu Górniczego. W środku niespodzianka: malware! [analiza]

29 grudnia 2022, 10:33 | Aktualności | komentarze 4
Zobaczcie całkiem normalne zapytanie ofertowe z Wyższego Urzędu Górniczego. W środku niespodzianka: malware! [analiza]

Dwa tygodnie temu (13 grudnia 2022 r.) otrzymaliśmy od Czytelnika kopię pewnego e-maila. Ktoś podający się za przedstawiciela Wyższego Urzędu Górniczego zaprasza do złożenia oferty. W załączeniu jest również szczegółowy opis przedmiotu oraz sposób złożenia oferty – spakowane zapytanie-ofertowe.rar. Urząd dosyła szczegóły spakowane rar-em? Podejrzane… Sam e-mail wygląda całkiem normalnie,…

Czytaj dalej »

CryWiper – udaje ransomware, ale jest malwarem niszczącym dane. Kierowanym na rosyjskie agencje rządowe.

06 grudnia 2022, 09:28 | W biegu | 1 komentarz

O temacie donosi Kasperski [https://securelist[.]ru/novyj-troyanec-crywiper/106114/]. CryWiper, poza trwałym instalowaniem się w systemie (widoczny jest np. plik browserupdate.exe): … niszczy również pliki zapisując je losowymi danymi. Całość posiada również swój C&C – który może wydać polecenie do startu szyfrowania…pardon – niszczenia danych. Kasperski wykrył malware w pewnej rosyjskiej organizacji, a media…

Czytaj dalej »

Umieścili fałszywe reklamy Notepad++ i OBS Studio w wyszukiwarce Google. Dodatkowo natrafiliśmy na kopalnię złośliwych stron [ANALIZA]

29 listopada 2022, 23:25 | Aktualności | komentarzy 10
Umieścili fałszywe reklamy Notepad++ i OBS Studio w wyszukiwarce Google. Dodatkowo natrafiliśmy na kopalnię złośliwych stron [ANALIZA]

Ostatnio otrzymujemy od Was dosyć sporo spraw związanych z fałszywymi reklamami w wyszukiwarce Google. Był już Gimp, DBeaver, MSI Afterburner, a teraz Notepad++ oraz OBS Studio. Narzędzie Notepad++ jest “notatnikiem na sterydach”, czyli lubianym edytorem tekstu wzbogaconym o zaawansowane funkcje dotyczące wyboru kodowania i składni bardzo wielu języków programowania.  Rys….

Czytaj dalej »

Kolejna fałszywa reklama w Google, tym razem MSI Afterburner

15 listopada 2022, 00:00 | Aktualności | komentarze 2
Kolejna fałszywa reklama w Google, tym razem MSI Afterburner

Ostatnio pisaliśmy o fałszywym GIMPie oraz DBeaverze. Tym razem na naszej grupie na Facebooku kolega Michał podzielił się spostrzeżeniem w sprawie kolejnego ataku typu fałszywa reklama polegającego na wykupieniu przez przestępców reklamy w wyszukiwarce i wypozycjonowaniu na pierwszym miejscu fałszywej strony. W tym przypadku sfałszowaniu miało ulec narzędzie MSI Afterburner,…

Czytaj dalej »

DBeaver – ktoś wypozycjonował na #1 miejscu w wyszukiwarkach podrobioną stronę narzędzia dla adminów baz danych. A strona serwowała malware…

04 listopada 2022, 17:23 | W biegu | komentarze 2
DBeaver – ktoś wypozycjonował na #1 miejscu w wyszukiwarkach podrobioną stronę narzędzia dla adminów baz danych. A strona serwowała malware…

Tym razem prezentujemy Wam infekcję, której wątek podesłał nam Albert. Okazuje się, że przez pewien czas, narzędzie DBeaver służące jako klient wielu znanych standardów baz danych jak MySQL, PostgreSQL, MS SQL, Oracle, DB2 czy nawet Access mógł być pobierany z fałszywej strony, która pozycjonowała się wysoko (pierwsze wyniki) w wyszukiwarkach….

Czytaj dalej »

Złośliwe oprogramowanie zainfekowało komputery farmy wiatrowej. Ale nie zdecydowali się usunąć malware, bo… wreszcie zapewnił im dobre zarządzanie łatkami!

03 listopada 2022, 10:01 | W biegu | komentarzy 6
Złośliwe oprogramowanie zainfekowało komputery farmy wiatrowej.  Ale nie zdecydowali się usunąć malware, bo… wreszcie zapewnił im dobre zarządzanie łatkami!

Ciekawa historia opisywana jest tutaj: Klient zgłosił, że kilkanaście jego turbin wiatrowych zostało zainfekowanych złośliwym oprogramowaniem. Do każdej z turbin podłączony był własny komputer z systemem Windows. Ten komputer monitorował prędkość wiatru, produkcję, kontrole stanu działania urządzeń oraz mógł sterować częściami turbiny. The client was reporting that a dozen of…

Czytaj dalej »

Umieścili w Google fałszywą reklamę popularnego narzędzia graficznego – GIMP. Link prowadził do strony ze złośliwym oprogramowaniem…

02 listopada 2022, 10:28 | Aktualności | komentarzy 8
Umieścili w Google fałszywą reklamę popularnego narzędzia graficznego – GIMP. Link prowadził do strony ze złośliwym oprogramowaniem…

W serwisie reddit pojawił się wątek na którym wskazano reklamę narzędzia GIMP jako fałszywą. Badacz bezpieczeństwa 0x0luke potwierdził to zdarzenie i swoją analizą podzielił się na Twitterze.  Atak “ad hijacking” polega na wykupieniu reklamy w wyszukiwarce np. w Google Ads dotyczącej wyszukiwania konkretnego słowa (w tym przypadku “gimp”), gdzie na…

Czytaj dalej »

Złośliwe makro MS Office może uzyskać absolutne pełne uprawnienia w Windows (wykonanie kodu na poziomie jądra OS, wykorzystanie buga w sterowniku).

27 października 2022, 10:20 | W biegu | komentarze 3
Złośliwe makro MS Office może uzyskać absolutne pełne uprawnienia w Windows (wykonanie kodu na poziomie jądra OS, wykorzystanie buga w sterowniku).

Ktoś postanowił wykonać taki projekt w ramach ekhem, swojego hobby: W opisie szczegółów autor umieścił m.in. linka do źródeł kodu takiego makra. W trakcie exploitacji używany jest podatny sterownik (zam64.sys) używany przez oprogramowanie anty-malware (!) o nazwie Malwarefox. Całość składa się z dwóch faz: Standardowe wykonanie kodu w Windows po…

Czytaj dalej »

Graphite – malware pobierany najechaniem kursora myszy na element prezentacji Powerpoint

03 października 2022, 15:16 | W biegu | 1 komentarz
Graphite – malware pobierany najechaniem kursora myszy na element prezentacji Powerpoint

Badacze z Cluster25 zebrali i przeanalizowali załączniki wykorzystywane do instalacji złośliwego oprogramowania o nazwie Graphite, które jest powiązane z grupą APT28 “Fancy Bear”. Według Departamentu Sprawiedliwości USA, grupa jest wspierana i bezpośrednio związana z wywiadem rosyjskim. Graphite jest rodziną malware, która wykorzystuje bibliotekę cloudową Microsoft Graph API oraz dysk OneDrive…

Czytaj dalej »

Fałszywa rekrutacja na LinkedIn. Ofiary: pracownik z branży lotniczej oraz dziennikarz. W trakcie ataku wykorzystali podatność w sterownikach Della, co umożliwiło im pełną eskalację uprawnień i niewidzialność

01 października 2022, 13:46 | W biegu | 1 komentarz
Fałszywa rekrutacja na LinkedIn. Ofiary: pracownik z branży lotniczej oraz dziennikarz. W trakcie ataku wykorzystali podatność w sterownikach Della, co umożliwiło im pełną eskalację uprawnień i niewidzialność

Zobaczcie jak w praktyce potrafią działać grupy APT. Zaczęło się od rzekomej rekrutacji do Amazona oraz pliku MS Office ze szczegółami. Niektórzy czytelnicy już pewnie kręcą nosem – znowu złośliwe makro, co w tym „zaawansowanego”. No więc dokument nie zawierał makra, zawierał za to zewnętrzny template (ładowany z serwerów atakujących)…

Czytaj dalej »

Backdoor w Prynt Stealer – oszuści kradną dane od innych oszustów

07 września 2022, 12:26 | W biegu | 1 komentarz
Backdoor w Prynt Stealer – oszuści kradną dane od innych oszustów

Badaczom z Zscaler ThreatLabz udało się wykryć backdoora w świeżym malware Prynt Stealer (również opisywanego jako warianty pod nazwą WorldWind oraz DarkEye), którego zasada działania opiera się o kradzież eskfiltrowanych danych na prywatny kanał Telegram.  Sam Prynt Stealer został odkryty w kwietniu tego roku i pozwala operatorom na zbieranie danych…

Czytaj dalej »