jan 31, 2024 | Blog
Hackerek megbízható platformok átirányítási hibáit kihasználva hajtanak végre phishing támadásokat
A támadók megbízható platformokat használnak fel átirányítási célokra, ami azt jelenti, hogy legitim weboldalak segítségével irányítják a felhasználókat kártékony URL-címekre.
Az egyre fejlődő kiberfenyegetések világában a phishing kísérletek gyakorisága növekszik, az e-mail pedig az egyik legfőbb célpont. A szakértők jelentős növekedést tapasztaltak azokban a phishing kísérletekben, amelyek kihasználják a nyílt átirányítási sebezhetőségeket.
A fő cél az észlelési mechanizmusok elkerülése és a felhasználók bizalmának kiaknázása, kihasználva a megbízható platformok hírnevét és az ellen-phishing elemzési technikákat, mint például az összetett átirányítási láncok.
Mi az a nyílt URL-átirányítási sebezhetőség?
Egy webalkalmazás olyan felhasználó által irányított adatot kap, amely egy külső oldalra mutató linket tartalmaz, amit aztán átirányításra használnak fel. Ez megkönnyíti a phishing kísérleteket.
A Trustwave SpiderLabs csapata szerint ez a webalkalmazás-sebezhetőség akkor keletkezik, amikor a felhasználók ellenőrizetlen adatok használatával irányíthatók át nem megbízható weboldalakra, ami támadók által üzemeltetett weboldalakra, például phishing oldalakra vezethet.
„A támadók egyre gyakrabban vizsgálják és tesztelik a nyílt átirányításra sebezhető linkeket a megbízható platformokon. Az URL-paramétereket manipulálják, hogy a felhasználókat rosszindulatú oldalakra irányítsák, és ezen linkeket phishing e-mailekbe ágyazzák be. Ez lehetővé teszi számukra a phishing támadások indítását és a felhasználói hitelesítő adatok ellopását”, osztotta meg a SpiderLabs csapat a Cyber Security News-szal.
Email phishing kísérletek
Egy esetben a támadók az IntelliClick tulajdonában lévő alap URL-t használják fel: „hxxps[://]www[.]intelliclicktracking[.]net/”. Az IntelliClick egy megbízható e-mail és weboldal marketing szolgáltató, amelynek domainjét a fenyegető szereplők nyílt átirányításokkal indított phishing támadásokhoz használják fel, noha ez egy legális szolgáltatás.
Van egy URL-paraméter, ami egy rosszindulatú IPFS oldalra mutat, egy e-mail cím részletével. Az InterPlanetary File System, vagy IPFS, egy elosztott, peer-to-peer fájlmegosztó rendszer, amit egyre gyakrabban használnak phishing támadásokhoz.
Az átirányítási lánc bemutatja, hogyan vezet az IPFS URL-re, amely egy hamis bejelentkezési űrlapot tartalmaz, amely a Webmailt utánozza.
A nyílt átirányítási stratégiákat használó phishing kampányok egyre gyakoribbak, az olyan képalapú támadások növekedése miatt, amelyek a Microsoftot és az e-aláírás szolgáltatásokat, mint az Adobe Sign és a DocuSign utánozzák.
A fenyegető szereplők kihasználják a Google szolgáltatásokkal kapcsolatos széles körű bizalmat, a Google domainek rosszindulatú felhasználásával és azok beépítésével a phishing erőfeszítésekbe, hogy elkerüljék az észlelést.
Ez hangsúlyozza a folyamatos éberség szükségességét a kiberfenyegetésekkel szemben, mivel azok továbbra is fejlődnek és új kihívásokat jelentenek.
Forrás: www.cybersecuritynews.com
jan 30, 2024 | Blog
A brazil rendvédelmi hatóságok sikeresen letartóztattak több, a Grandoreiro malware mögött álló brazil operatívot.
A Brazil Szövetségi Rendőrség közölte, hogy öt ideiglenes letartóztatási parancsot és tizenhárom házkutatási és lefoglalási parancsot hajtottak végre São Paulo, Santa Catarina, Pará, Goiás és Mato Grosso államokban.
A szlovák kiberbiztonsági cég, az ESET, amely további segítséget nyújtott az akcióban, azt állítja, hogy felfedezett egy tervezési hibát a Grandoreiro hálózati protokolljában, ami segített azonosítani a támadások mintázatait.
A Grandoreiro egyike azon latin-amerikai banki trójai vírusoknak, mint a Javali, Melcoz, Casabeniero, Mekotio és Vadokrist, amelyek elsősorban Spanyolországot, Mexikót, Brazíliát és Argentínát célozzák meg. 2017 óta aktívnak ismert. 2023 októberében a Proofpoint részleteket közölt egy olyan phishing kampányról, amely frissített változatát terjesztette a malware-nek Mexikóban és Spanyolországban.
Ez a banki trójai vírus képes adatokat lopni billentyűzetfigyelők és képernyőmentések segítségével, valamint bankszámla bejelentkezési információkat ellopni, amikor egy fertőzött áldozat a fenyegetők által meghatározott banki webhelyekre látogat. Hamis felugró ablakokat is megjeleníthet, és blokkolhatja az áldozat képernyőjét.
A támadási láncok tipikusan phishing csalikat használnak, amelyek ál-dokumentumokat vagy rosszindulatú URL-eket tartalmaznak, amelyek megnyitásakor vagy kattintásakor a malware telepítéséhez vezetnek, ami ezután kapcsolatot létesít egy parancs- és vezérlő (C&C) szerverrel, hogy távolról manuálisan irányítsa a gépet.
„A Grandoreiro rendszeresen figyeli az előtérben lévő ablakot, hogy megtaláljon egyet, amely egy webböngésző folyamathoz tartozik,” mondta az ESET. „Amikor egy ilyen ablakot talál, és annak neve egyezik bármelyik, a bankkal kapcsolatos szavakból álló, előre meghatározott listán szereplő szóval, akkor és csak akkor kezdi meg a kommunikációt a C&C szerverrel, legalább másodpercenként küldve kéréseket, amíg azok be nem fejeződnek.”
A malware mögött álló fenyegetők egy domain generáló algoritmust (DGA) is alkalmaznak 2020 októbere óta a C&C forgalom cél-domainjének dinamikus azonosítására, ami megnehezíti a hálózat blokkolását, nyomon követését vagy átvételét.
A C&C IP-címek túlnyomó többségét elsősorban az Amazon Web Services (AWS) és a Microsoft Azure szolgáltatja, az IP-címek élettartama 1 naptól 425 napig terjed. Átlagosan naponta 13 aktív és három új C&C IP-cím található.
Az ESET azt is elmondta, hogy a Grandoreiro hibás RealThinClient (RTC) hálózati protokoll implementációja a C&C-n lehetővé tette az információgyűjtést a C&C szerverhez csatlakozó áldozatok számáról, ami átlagosan naponta 551 egyedi áldozatot jelent, főként Brazíliából, Mexikóból és Spanyolországból.
További vizsgálatok szerint naponta átlagosan 114 új egyedi áldozat csatlakozik a C&C szerverekhez.
„A Brazil Szövetségi Rendőrség vezette felszámoló művelet azokra az egyénekre irányult, akiket a Grandoreiro művelet hierarchiájának magas rangú tagjainak tartanak,” tette hozzá az ESET.
Forrás: www.thehackernews.com
jan 29, 2024 | Blog
Az innováció létfontosságú a technológia minden területén, de a mesterséges intelligencia (AI) esetében ez még inkább igaz. Az AI világ gyorsan fejlődik, és számos ország – különösen Kína és Európa – verseng az USA-val az ezen a területen való vezetésért. A verseny győztesei hatalmas előnyöket látnak majd a gyártás, oktatás, orvostudomány és sok más területen, míg a lemaradottak függő helyzetbe kerülnek a vezető nemzetektől, amelyektől a technológiai fejlődésükhöz szükséges eszközöket kell kérniük.
Azonban a Fehér Ház által kiadott új szabályok gátolhatják az innovációt, beleértve a kis- és középvállalkozások által hozott újításokat is. Október 30-án a Fehér Ház egy „Végrehajtói Rendelkezést a Mesterséges Intelligencia Biztonságos, Biztonságos és Megbízható Fejlesztéséről és Használatáról” adott ki, amely számos AI-vel kapcsolatos kérdésre kíván politikát kialakítani. Sokan érvelhetnek amellett, hogy valóban szükség van szabályokra az AI biztonságos és biztonságos használatának biztosítására, de az EO, amely a kormányzati ügynökségeket hívja fel az AI politikájával kapcsolatos ajánlások megtételére, valószínűsíti, hogy az AI cégek közül csak a piacvezetők – mint a Microsoft, az IBM, az Amazon, az Alphabet (Google) és néhány másik – fognak beleszólni ezekbe az ajánlásokba. Az AI egy olyan hatalmas technológia, amely rendkívül fontos a jövő szempontjából, így természetes, hogy a kormányok be akarnak szállni – és az USA éppen ezt tette. De az elnök által javasolt út valószínűleg gátolni fogja, sőt, akár meg is állíthatja az AI innovációját.
Fontos célok rossz megközelítéssel
A 110 oldalas, terjedelmes dokumentum, az EO többek között azt kívánja biztosítani, hogy az AI „biztonságos és biztonságos” legyen, „felelős innovációt, versenyt és együttműködést ösztönözzön”, „támogassa az amerikai munkavállalókat”, „védje az amerikaiak magánéletét és polgári szabadságjogait”, és legyen elkötelezve „az egyenlőség és a polgárjogok előmozdítására”. Az EO bizottságokat állít ki és helyzetjelentéseket ad ki a következő hónapokban, amelyek elősegítik az AI politikájának kialakítását – és ami lényeges, korlátozásokat szab arra, hogy mit fejleszthetnek vagy mit kellene fejleszteniük az AI kutatóknak és vállalatoknak.
Ezek kétségtelenül kívánatos célok, és válaszként születtek az AI közösségen belül és kívül megfogalmazott érvényes aggodalmakra. Senki sem akar olyan AI modelleket, amelyek hamis videókat és képeket generálhatnak, amelyeket a valóditól megkülönböztethetetlenek, mert hogyan hihetnél bármit is? A tömeges munkanélküliség, amelyet az új technológiák okozhatnak, nemkívánatos lenne a társadalom számára, és valószínűleg társadalmi zavargásokhoz vezetne – ami rossz lenne a gazdagok és a szegények számára egyaránt. És az a tény, hogy a javaslatokat tucatnyi bürokratának kell jóváhagynia, semmiképpen sem segít.
Ha a Fehér Ház úgy érzi, szükséges ezeket a szabályokat kivetni az AI iparra, akkor felelőssége biztosítani, hogy minden hangot – nemcsak az iparági vezetőkét – meghallgassanak. Ennek elmulasztása olyan politikákhoz vezethet, amelyek figyelmen kívül hagyják, vagy kifejezetten betiltják azokat a fontos területeket, ahol a kutatásoknak zajlania kellene – területeket, amelyeket versenytársaink nem fognak habozni felfedezni és kiaknázni. Ha előttük akarunk maradni, nem engedhetjük meg az innováció gátlását – és biztosítanunk kell, hogy a startupok hangjai, az innováció motorjai, szerepet kapjanak a politikai ajánlásokban.
Forrás: www.insidebigdata.com
jan 5, 2024 | Blog
Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm nevű orosz állami támogatású fenyegető szereplő legalább 2023 májusa óta jelen volt a Kyivstar telekommunikációs operátor rendszereiben.
Az eseményt először a Reuters jelentette.
Az incidens, amit „erőteljes hackertámadásnak” neveztek, először múlt hónapban került nyilvánosságra, milliók számára okozva a mobil- és internet szolgáltatásokhoz való hozzáférés elvesztését. Az incidens után röviddel egy oroszhoz köthető hackercsoport, a Solntsepyok vállalta magára a támadást.
A Solntsepyok egy olyan orosz fenyegető csoport, amelynek kapcsolatai vannak az Orosz Föderáció Főparancsnokságának (GRU) Hadügyi Stábjának Főparancsnokságával is, amely a Sandwormot is működteti.
Az előrehaladott tartós fenyegetés (APT) szereplő hírnevét olyan zavaró kibertámadások szervezésében szerezte, amelyeket Dánia vádolt meg azzal, hogy tavaly 22 energiaipari vállalatot célozta meg.
Illia Vitiuk, Ukrajna Biztonsági Szolgálata (SBU) kiberbiztonsági osztályának vezetője elmondta, hogy a Kyivstar elleni támadás majdnem mindent eltörölt ezer virtuális szerverről és számítógépről.
Az incidens, amit „egy telekommunikációs operátor magjának teljes megsemmisülése” jelentett, azt mutatta, hogy a támadók valószínűleg legalább november óta teljes hozzáféréssel rendelkeztek a vállalat infrastruktúrájához, miután megkapta az első lábnyomot a cég infrastruktúrájához.
„A támadás hónapokig gondosan előkészítve volt” – mondta Vitiuk egy olyan nyilatkozatban, amit az SBU weboldalán osztottak meg.
A Kyivstar, amely azóta helyreállította működését, azt mondta, nincs bizonyíték arra, hogy az előfizetők személyes adatai kompromittálva lettek volna. Jelenleg nem ismert, hogyan jutott be a fenyegető szereplő a hálózatába. Érdemes megjegyezni, hogy a vállalat korábban elutasította a találgatásokat, miszerint a támadók elpusztították volna számítógépeiket és szervereiket, mint „hamis” információkat.
Ezen bejelentés előtt az SBU még ezen a héten azt állította, hogy két online megfigyelő kamerát állított le, amelyeket állítólag orosz hírszerzési ügynökségek hekkeltek meg azzal a céllal, hogy megfigyeljék a védelmi erőket és a kritikus infrastruktúrát Kyiv fővárosában.
Az ügynökség szerint a kompromittálás lehetővé tette az ellenfélnek, hogy távolról irányítsa a kamerákat, beállítsa a látószögüket, és csatlakoztassa őket a YouTube-hoz, hogy „minden vizuális információt rögzítsenek a kamera hatótávolságában”.
Forrás: https://thehackernews.com
jan 4, 2024 | Blog
A cyberbűnözők elfoglalják az X közösségi média szolgáltatás ellenőrzött „Gold” fiókjait, melyek korábban a Twitter nevet viselték, és eladják azokat a Dark Weben akár 2 000 dollárért is.
Ezt a CloudSEK kutatása támasztja alá, amely felfedezett egyfajta „Aranylázat” ezeknek a fiókoknak az előbukkanását az underground piacokon.
Az X-en a Gold jelvény azt jelenti, hogy a szolgáltatás függetlenül igazolta, hogy a fiók ténylegesen egy magas profilú szervezethez vagy hírességhez tartozik. Ezt egy éve vezették be fizetős opcióként, miután az X a kék pipát – korábban az igazságosság jelölése – egy olyan jelvényre cserélte, amelyet bárki felvehetett a profiljára, érvényesítés nélkül.
A cyberbűnözők most brute-force támadásokat hajtanak végre jelszavakon, és malware segítségével lopják el az azonosítókat a meglévő Gold fiókokhoz való hozzáférés érdekében – állapították meg a CloudSEK kutatói. Gyakran át is veszik azokat a nem-Gold fiókokat, amelyek hónapok óta nem voltak használatban, és felminősítik azokat ellenőrzött státuszba. Összességében százakat kínálnak fel ezekből a fiókokból underground fórumokon.
Azok, akik hajlandók fizetni, ezeket a fiókokat arra használhatják, hogy phishing linkeket helyezzenek el, elindítsanak dezinformációs kampányokat és pénzügyi csalásokat, vagy márkaimázsra gyakoroljanak negatív hatást káros tartalmak közzététele révén.
„A Dark Web piacokat elárasztották azok a hirdetések, melyek Twitter Gold fiókokat kínálnak,” – áll a cég ezen a héten közzétett kutatásában. „Az árak 35 dollártól kezdődnek egy alap fiókért, és akár 2 000 dollárig is terjednek azokért, amelyeknek nagy a követőtáboruk.”
A kutatók a veszélyt az szervezetekre nézve egy szeptemberi példával szemléltették: Kiber-támadók képesek voltak átvenni egy X fiókot, amely Vitalik Buterin, az Ethereum társalapítójáé volt. Ezután tweeteltek egy állítólag ingyenes nonfungibilis tokenek (NFT-k) kínálatával, egy beágyazott rosszindulatú linkkel, amely átirányította a felhasználókat egy hamis weboldalra, hogy kiürítse a kriptovalutákat a pénztárcájukból.
„A hackerek a hamis bejegyzés eltávolítása előtt körülbelül 20 percig aktívak voltak, és hihetetlen 691 000 dollárt szippantottak el digitális eszközeikből” – áll az elemzésben.
Hogyan védekezhetünk az X fiókok átvétele ellen?
A bűnözők számára az ilyen nagy fiókokba való beszivárgás értéke legalább 2020 óta ismert, amikor a hackerek képesek voltak feltörni az akkori Twitter belső hálózatait, hozzáférést szerezve ellenőrzött fiókokhoz, és tweeteket küldtek ki több magas profilú személy nevében.
Az szervezetek védelmében ajánlott rendszeresen figyelni a Twitteren megjelenő márkanév említéseket, és erős jelszópolitikákat alkalmazni a fiókok átvételének megelőzése érdekében – ajánlotta a CloudSEK. Az eredményes márkanévfigyelés magában foglalja a hamis profilok, engedély nélküli terméklisták, félrevezető hirdetések és rosszindulatú tartalmak azonosítását.
dec 20, 2023 | Blog
A HAECHI-IV nevű hat hónapos nemzetközi rendőrségi művelet eredményeként közel 3 500 személyt tartóztattak le, és 300 millió dollár értékű vagyont foglaltak le 34 országban.
A 2023. júliustól decemberig tartó gyakorlat különböző pénzügyi bűncselekmények ellen irányult, mint például a hangos csalás, románcos átverések, online szextorzió, befektetési csalások, a törvénytelen online szerencsejátékhoz kapcsolódó pénzmosás, vállalati e-mail átverés és az e-kereskedelemi csalások.
Ezen kívül a hatóságok lefagyasztották az érintett banki és virtuális eszközszolgáltató (VASP) számlákat annak érdekében, hogy megakadályozzák a bűnügyi eredményekhez való hozzáférést. Összesen 82 112 gyanús banki számlát blokkoltak, 199 millió dollárt készpénzben és 101 millió dollárt virtuális eszközökben elkoboztak.
„A Fülöp-szigeteki és a koreai hatóságok közötti együttműködés eredményeként egy magas rangú online szerencsejáték-bűnözőt tartóztattak le Manilában, miután a Koreai Nemzeti Rendőrügynökség két éves hajszája után sikerrel járt” – közölte az Interpol, egy nemzetközi rendőrségi szervezet.
A befektetési csalások, vállalati e-mail átverések és e-kereskedelmi csalások az esetek 75%-át tették ki, az ügynökség hozzátéve, hogy Dél-Koreában észlelt egy új csalást, amely nem fungibilis tokenek (NFT-k) eladásával járt, óriási hozamokat ígérve, csak az üzemeltetőknek, hogy váratlanul megszűntessék a projektet.
Egy másik új trend az volt, hogy mesterséges intelligencia (MI) és deepfake technológiát alkalmaztak a csalások hitelességének növelésére, lehetővé téve a bűnözőknek, hogy az áldozatok által ismert személyeket színleljenek meg, és álarcos csalások, online szexuális zsarolás és befektetési csalások által átverjenek, zaklassanak és zsaroljanak áldozatokat.
A HAECHI-IV több mint egy évvel a HAECHI-III után jött, amely 130 millió dollár értékű virtuális eszköz elkobzásához vezetett egy globális fellépés részeként a kibereszközökkel támogatott pénzügyi bűncselekmények és pénzmosás ellen.
„Az 300 millió dollár elkobzása egy hihetetlen összeg, és egyértelműen mutatja a mai transznacionális szervezett bűn robbanásszerű növekedése mögötti ösztönzőt” – mondta az Interpol Stephen Kavanagh. „Ez az illegális vagyon hatalmas felhalmozása komoly fenyegetést jelent a globális biztonságra, és gyengíti a világszerte lévő nemzetek gazdasági stabilitását.”
Forrás: www.thehackernews.com
