Olympiáda v Londýne zvýšila výskyt podvodných webov a produktov, svetlo sveta uzrel PoC malware infikujúceho bios a firmware ďalších periférií, podľa odborníkov hrozia botnety zložené zo smerovačov, ale objavil sa aj nový trojan pre MAC OSX. Prehľad aktualít uplynulého týždňa vo svete IT bezpečnosti.

Olympiáda láka aj kybernetických podvodníkov

Letné Olympijské hry v Londýne lákajú aj kybernetických podvodníkov. Podľa spoločnosti TrendMicro najnovšie sa snažia užívateľov nalákať na online stream videa priamo z Londýna. Okrem videa sa objavujú aj podvody s lístkami, či bonusovými informáciami. Útočníkom však v skutočnosti ide o získanie čísla kreditnej karty, prípadne uhradenie platby cez PayPal, alebo zbieranie e-mailových adries. Treba byť preto obozretný.
Zdroj: computerworld.com

Proof-of-concept malware Rakshasa infikujúceho bios

Bezpečnostný expert Jonathan Brossard vytvoril proof-of-concept (POC) hardvérového backdoora s názvom Rakshasa. Jeho úlohou je nahradiť bios počítača. Môže tak ovládnuť operačný systém a dokonalo po sebe zahladiť stopy. POC bol predstavený na konferenciách Defcon i BlackHat. Okrem infekcie biosu jeho nahradením, dokáže malware infikovať aj PCI firmware ďalších periférnych zariadení napr. sieťových kariet, CD-ROM mechaník a pod. Rakshasa bol postavený na open-source softvéri, nahrádza bios výrobcu kombináciou alternatív Coreboot a SeaBIOS. Pri sieťových kartách ide o firmware iPXE. Malware je tak univerzálne použiteľný. Prejavy malware nemusia byť pozorovateľné žiadnym spôsobom. Identifikácia tohto malware je veľmi zložitá. Jediná pomoc pri takejto infekcii je vypnúť počítač a manuálne reflashovať firmware v biose a na perifériách, čo však vyžaduje špeciálnu výbavu a patričné vedomosti. Ak by sa tak stalo pri zapnutom PC, backdoor sa obnoví. Ide tak o veľmi závažnú hrozbu.
Zdroj: computerworld.com

Hrozia botnety poskladané zo smerovačov?

Bezpečnostný odborník Michael Coppola poukázal na to, ako môžu byť pomerne jednoduchým spôsobom infikované routery v domácnostiach, či malých kanceláriách. Počas konferencie Defcon prezentoval spôsob ako možno využiť backdoora vo firmware od výrobcu zariadenia. Proces backdooringu routerov zautomatizoval pomocou nástroja Router Post-Exploitation Framework (rpef), ktorý je funkčný len pre konkrétne modely, no do budúcna sa predpokladá rozšírenie zoznamu podporovaných zariadení. V súčasnosti ide o modely: Netgear WGR614, WNDR3700 a WNR1000; Linksys WRT120N; TRENDnet TEW-651BR a TEW-652BRP; D-Link DIR-601 a Belkin F5D7230-4. Tento nástroj môže byť pri podporovaných zariadeniach využitý ako root bind shell, network sniffer, alebo botnet klient riadený prostredníctvom IRC (Internet Relay Chat). Existuje niekoľko spôsobov ako nájsť a infikovať vzdialene podporované modely routerov. Zariadenia je možné skenovať (rozsahy tisícok IP adries), pokiaľ je dostupná ich administrácia na diaľku, u mnohých fungujú štandardné výrobcom nakonfigurované prístupové údaje. Často sa dá použiť prípadne aj hrubá sila. Druhou možnosťou je využiť postup, ktorý sme spomínali nedávno. Jedná sa o zneužitie zložitých JavaScript kódov a HTML5 pre webové rozhrania routerov. Veľa rozhraní nie je odolných voči útokom CSRF. Odborníci zo spoločnosti TrendMicro v roku 2011 objavili v Latinskej Amerike malware zameriavajúci sa na routery spoločnosti D-Link. Išlo o útok hrubou silou a malware sa odstránil reštartom zariadenia. Coppolov útok je však voči reštartu routera imúnny.
Zdroj: computerworld.com

Zamestnanec DropBoxu zapríčinil šírenie spamu

Pred dvoma týždňami nadobudlo mnoho používateľov služby DropBox podozrenie z narušenia bezpečnosti ich zdieľaných dát. Dôvodom bolo šírenie nevyžiadanej elektronickej pošty z e-mailových adries, ktoré používali pre túto službu. Spoločnosť oznámila, že za bezpečnostný incident môže konkrétny zamestnanec. Ten použil svoje osobné heslo k istému projektovému dokumentu s obsahom e-mailových adries niekoľkých používateľov služby na inom, žiaľ, už napadnutom webe. DropBox postihnutých užívateľov kontaktoval a vydal prehlásenie, v ktorom avizuje ďalšie vyšetrovanie, ale aj prijatie nových bezpečnostných opatrení pre zamedzenie podobnej situácie do budúcnosti.
Zdroj: krebsonsecurity.com

Nový AppleMac Trojan OSX/Crisis

Bezpečnostný blog Intego informoval o objavení nového trojana určeného pre systémy MAC OSX. Nesie názov Crisis a je funkčný na verziách OSX 10.6 a 10.7 - Snow Leopard a Lion. Ide o dropper, ktorý po spustení vytvorí v systéme backdoor. V závislosti na oprávneniach účtu, kde bol Trojan spustený inštaluje ďalšie komponenty.
Ak dropper beží na systéme s oprávnením správcu, bude využije rootkit techniky na „ukrytie sa“ v systéme. V oboch prípadoch – správca aj užívateľ vytvorí celý rad súborov a priečinkov na dokončenie svojich úloh. Konkrétne 17 súborov, keď je spustený s oprávnením Správca, 14 súborov, keď je spustený bez týchto oprávnení. Backdoor kontaktuje IP adresu 176.58.100.37 každých 5 minút a čaká na inštrukcie. Trojan je vytvorený tak, aby sa komplikoval pokusy o reverzné inžinierstvo, čo sťažuje jeho analýzu. Tento druh malware je bežný pre platformu Windows, avšak na MAC OSX ide o zriedkavejší jav. Intego uvádza, že vzorku našli na webe VirusTotal, takže hrozba sa zatiaľ zrejme nevyskytuje v reálnom prostredí.
Zdroj: intego.com