malware

Do sklepu Google Play w blisko 50 aplikacjach trafiło złośliwe oprogramowanie NoVoice. Złośliwy kod próbował przejmować uprawnienia do rootowania systemu i wykorzystywał luki będące w Androidzie przed dekadą.

Oszustwa z fałszywymi wersjami aplikacji zdarzają się często, ale rzadko dotyczą produktów dla technologicznych entuzjastów. Zagrożenie BeatBanker szkodzi tym, którzy nieuważnie instalują Starlink na Androidzie.

Analitycy Google wykryli narzędzia nazwane "Coruna", które potrafi przejąć kontrolę nad iPhonem po samej wizycie na stronie internetowej. Badacze wskazują, że ten zestaw exploitów zmieniał właścicieli i w przeszłości mógł służyć do kradzieży kryptowalut oraz działań szpiegowskich.

Nowa rodzina trojanów na Androida wykorzystuje modele uczenia maszynowego do automatycznego klikania reklam w ukrytej przeglądarce.

Mobilny malware Cellik pozwala napastnikom tworzyć trojanizowane wersje popularnych aplikacji z Google Play. W efekcie pod płaszczykiem programu wyglądającego jak każdy inny, może kryć się zagrożenie dla naszego bezpieczeństwa.

Użytkownicy Androida narażeni są na nowy rodzaj złośliwego oprogramowania rozprzestrzenianego w ramach fałszywych aplikacji. Malware przybiera formę fałszywej aplikacji, by docelowo umożliwić atakującym wykonywanie operacji na koncie bankowym.

Eksperci z Koi Security wykryli setki groźnych rozszerzeń do Chrome'a i Edge'a, które wykradają dane użytkowników i przekazują je na chińskie serwery. W praktyce rozszerzenia te zostały pobrane miliony razy i co za tym idzie - podobna liczba użytkowników mogła paść ofiarami ich działania.

Trwa kampania phishingowa, w której oszuści próbują wykorzystać fałszywą wersję aplikacji SGB Banku. Nieświadomi klienci mogą otrzymać link kierujący do pobrania fałszywej wersji, w której zaszyto złośliwe oprogramowanie na Androida.

CERT Orange ostrzega przed fałszywymi fakturami, które klienci mogą zobaczyć w swoich skrzynkach e-mail. Na pierwszy rzut oka mogą wydawać się podobne do oryginalnych faktur Orange, ale brakuje na nich nazwy firmy klienta lub imienia i nazwiska. Takie "faktury" mogą zainfekować komputer.

CERT Orange Polska ostrzega o trwającej kampanii fałszywych SMS-ów, w której ktoś podszywa się pod firmę Kamsoft i kieruje do spreparowanej strony internetowej. W ten sposób nieświadoma ofiara może pobrać zainfekowane oprogramowanie na komputer, które później wykrada dane.

Badacze z firmy Mandiant należącej od września 2022 r. do Google opisali dość interesującą i jednocześnie trywialną formułę ataku. Osoba lub grupa, nazwana jako UNC4990, korzystała z przygotowanych przez siebie nośników USB oraz infrastruktury powszechnie znanych serwisów internetowych w celu przeprowadzenia właściwej infekcji docelowych hostów. Współcześnie powodem zdecydowanej większości ataków są motywacje finansowe i tak było również w tym przypadku.

Jest to przedostatnia edycja badania w roku 2023 z serii "Advanced In The Wild Malware Test". Po raz kolejny ujawniamy różnice pomiędzy testowanymi rozwiązaniami bezpieczeństwa dla SOHO (Small Office and Home Office) oraz dla biznesu. Test przeprowadzony był pod kontrolą Windows 10 Pro. Wykorzystaliśmy zróżnicowane zagrożenia, a do najbardziej interesujących zaliczamy:

Zespół ds. reagowania na cyberzagrożenia firmy Palo Alto Networks odkrył nowy wariant złośliwego oprogramowania PlugX, które może automatycznie infekować wszelkie podłączone wymienne urządzenia USB. Eksperci ostrzegają, że zainfekowany nośnik pamięci może rozprzestrzeniać malware na urządzeniach pracujących pod kontrolą systemu operacyjnego Microsoft Windows, do których zostanie podłączony.

W wyszukiwarce Google stale można zobaczyć fałszywe reklamy, przez które nieświadoma osoba trafi na spreparowaną witrynę, zamiast na stronę producenta, na przykład oprogramowania. W praktyce autentyczny wynik może się pojawić dopiero na czwartej pozycji na liście Google'a.

CERT Orange opisuje szczegóły działania szkodliwego oprogramowania SMS Factory, którego przypadki niedawno wykryto także w Polsce. W skrócie chodzi o malware, który w tle i bez świadomości użytkownika wysyła wiadomości SMS Premium oraz dzwoni na płatne numery telefonów.

Mimo rozbudowanych zabezpieczeń, główne mechanizmy infekcji Windowsów pozostają niezmienne od wielu lat. Niektóre możemy wyłączyć, inne wymagają ręcznych modyfikacji. Od niedawna możliwe jest wyłączenie kolejnej: HTA.

W sieci zidentyfikowane zostało nowe zagrożenie, którym jest nietypowa prezentacja z PowerPointa. Składa się tylko z dwóch slajdów, a komputer użytkownika zostaje zainfekowany po najechaniu kursorem na link. Zagrożeniem jest malware Graphite powiązany z grupą "Fancy Bear", która według USA jest wspierana przez rosyjski wywiad.

Ktoś podszywa się pod rządowy serwis Biznes.gov.pl i rozsyła do Polaków fałszywe e-maile z zainfekowanym załącznikiem. Samo przeczytanie wiadomości nie stanowi zagrożenia, ale zainteresowanie się plikiem już tak - w komputerze zostanie zainstalowane złośliwe oprogramowanie.

Nieoficjalna, desktopowa wersja Google Translate okazała się nośnikiem malware’u. Turecka firma Nitrokod wykorzystywała zaatakowane komputery do wydobywania kryptowalut. Zdaniem ekspertów zagrożenie dla użytkowników jest jednak znacznie większe, a przestępcy w sprytny sposób maskowali swoje działania.

Smartfon z żyroskopem może posłużyć jako narzędzie do podsłuchu zainfekowanego komputera - nawet, jeśli ten jest odłączony od internetu. Nowa metoda nazywana "Gairoscope" eliminuje konieczność wykorzystania mikrofonu do nasłuchiwania ultradźwięków generowanych przez malware.

Windows jest dziś o wiele bezpieczniejszym systemem niż kilkanaście lat temu i stan ten poprawia się z roku na rok. W kilku miejscach wciąż jednak jego ustawienia domyślne są niezrozumiale groźne. Poza wyłączeniem makr i blokadą skryptów na Zaporze, możemy zrobić kilka innych rzeczy.

Kontynuujemy temat konfigurowania Windowsa celem nabrania odporności na najczęstsze sposoby rozpoczynania ataku przez trojany. Tym razem czeka nas blokowanie niezarządalnych składników systemu z wykorzystaniem wbudowanej w Windowsa Zapory. Mowa tu o MSHTA oraz silniku skryptów PowerShell.

Choć trudno w to uwierzyć, postęp techniczny w dziedzinie trojanów następuje głównie w mechanizmach działania, ale nie infekcji. Pomijając prędko łatane przez Microsoft dziury, złośliwe oprogramowanie wykorzystuje sztuczki skuteczne od dwóch dekad. Zablokujmy je.

Pojawiają się kolejne przykłady złośliwego oprogramowania podpisanego kluczem cyfrowym Microsoftu. Przez "rygorystyczny" proces certyfikacji sterowników znów przechodzą elementy składowe rootkitów. To nie powinno być możliwe, a miało miejsce kilka razy.

W ciągu ostatnich kilku miesięcy wzrosło wykorzystanie plików LNK w kampaniach malware. Format ten jest wykorzystywany przez wirusy od lat i choć dziś jest już blokowany przez większość internetowych narzędzi, w 2022 roku powrócił jako zagrożenie. Dlaczego?