Biuletyn Harakiri

Biuletyn Harakiri – #5 2023

Atak na korporacyjne iPhony: Kaspersky raportuje o skutecznej infiltracji telefonów i zagrożeniu „niewidzialnym” exploitem

Według najnowszych doniesień opublikowanych przez Kaspersky, wiele korporacyjnych iPhonów padło ofiarą skomplikowanego ataku hakerskiego. Pracownicy firmy dostrzegli podejrzaną aktywność w sieci Wi-Fi przeznaczonej dla urządzeń mobilnych, która wywodziła się z kilku telefonów działających na systemie iOS.

Analiza przeprowadzona przez specjalistów wykazała, że atak polegał na wysłaniu wiadomości przez iMessage na docelowy telefon. Co ciekawe, sam załącznik do wiadomości wywoływał wstępną infekcję, nie wymagając żadnej interakcji ze strony użytkownika.

Zespół Kaspersky informuje, że kampania hakerska wciąż trwa, a ostatnio zainfekowane telefony korzystają z systemu iOS w wersji 15.7. Specjaliści sugerują, że wprowadzenie trybu Lockdown Mode w iOS 16 mogłoby ograniczyć skuteczność ataku, jednak aby skorzystać z tej funkcji, użytkownicy muszą ją samodzielnie włączyć.

Pracownicy mieli dostęp do prywatnych nagrań klientów, a zhackowane kamery były wykorzystywane przez cyberprzestępców

Ring, firma zajmująca się produkcją kamer przemysłowych i monitoringowych, znalazła się w centrum uwagi Federalnej Komisji Handlu (FTC) z powodu poważnych oskarżeń. Jak wynika z raportu FTC, pracownicy Ring mieli nieuprawniony dostęp do nagrań klientów, a zhackowane kamery były wykorzystywane przez cyberprzestępców nawet do fizycznego grożenia użytkownikom.

W dzisiejszych czasach wiele osób korzysta z kamer przemysłowych, które przechowują nagrania w chmurze. Umożliwia to wygodne przeglądanie nagrań z poziomu smartfona. Wydaje się to być świetnym rozwiązaniem, ale czy jesteśmy pewni, że pracownicy tych firm nie mają dostępu do naszych prywatnych nagrań?

Drugim poważnym problemem, na który zwraca uwagę FTC, jest możliwość zhackowania kamer, co umożliwia nie tylko dostęp do nagranych materiałów, ale również dwustronną komunikację. Oznacza to, że intruzi mogli zastraszać i szantażować osoby obecne w pomieszczeniach monitorowanych przez kamery Ring. Hackowanie tych urządzeń było stosunkowo proste.

Zgodnie z zarzutami FTC, hakerzy wykorzystali luki w zabezpieczeniach kont Ring, aby uzyskać dostęp do przechowywanych nagrań, na żywo transmitowanej treści wideo i profili użytkowników. Oszuści nie tylko oglądali nagrania klientów, ale również nadużywali dwukierunkowej funkcji kamer Ring, aby nękać, grozić i obrażać klientów, w tym starsze osoby i dzieci.

Na razie Amazon nie skomentował oskarżeń stawianych pod adresem Ring.

Szpiegujące aplikacje i rozszerzenia w sklepach Google i Chrome

Coraz częściej docierają do nas doniesienia o modułach szpiegujących w popularnych aplikacjach mobilnych oraz rozszerzeniach do przeglądarek internetowych. Ostatnie raporty firm Doctor Web, Avast i Władimira Palanta, znanego jako twórca AdBlocka Plus, rzucają nowe światło na ten problem.

Rozpoczynając od aplikacji mobilnych, firma Doctor Web odkryła moduł szpiegujący o nazwie SpinOK wchodzący w skład różnych aplikacji dostępnych w sklepie Google Play. Moduł ten posiada zdolność do zbierania informacji zapisanych na urządzeniu i przesyłania ich na zdalne serwery. Oprócz tego może modyfikować zawartość schowka i otwierać określone adresy URL w celu wyświetlania banerów reklamowych. Chociaż początkowo SDK, które zawiera ten moduł, miało służyć do dodatkowych funkcji w aplikacjach, takich jak gry i nagrody, okazało się, że jest on wykorzystywany w wielu popularnych aplikacjach.

Tymczasem firma Avast skupiła się na złośliwych rozszerzeniach dostępnych w sklepie Chrome Web Store. Na podstawie informacji udostępnionych przez Władimira Palanta, badacza zabezpieczeń, Avast odkrył rozszerzenie PDF Toolbox, które zawierało zaszyfrowany kod, wysyłający żądanie do domeny serasearchtop[.]com. To żądanie było wysyłane dopiero 24 godziny po zainstalowaniu rozszerzenia, co utrudniało jego wykrycie. Działanie tego kodu umożliwiało wstrzykiwanie kodu JavaScript na odwiedzanych stronach internetowych. Po tym odkryciu Avast podjął własne badania i zidentyfikował 32 złośliwe rozszerzenia, które były zainstalowane na łącznie 75 milionach urządzeń. 

Oszuści podszywają się pod operatorów Play i Plus

Oszuści podszywający się pod operatorów telefonii komórkowej Play i Plus zalewają skrzynki e-mailowe polskich użytkowników. W wiadomościach informuje się o wydaniu karty eSIM dla naszego numeru i ostrzega, że jeśli nie złożyliśmy zamówienia na przeniesienie numeru na eSIM, powinniśmy kliknąć w podany link w celu anulowania zamówienia.

Nadawcy e-maili podają się za Play PL oraz PLUS Esim PL. Temat wiadomości brzmi: „re: Potwierdzenie zamówienia eSim”.

Link przenosi nas na stronę podrobioną przez oszustów, na której próbują wyłudzić nasze dane logowania. W ten sposób zdobywają pełną kontrolę nad naszym kontem u operatora oraz numerem telefonu. Zdobycie dostępu do naszego konta daje im możliwość:

  • Pozyskania naszych danych osobowych.
  • Aktywowania i dezaktywowania różnych usług.
  • Kradzieży pieniędzy z naszego konta.
  • Kontrolowania komunikacji związanej z naszym numerem telefonu, co może prowadzić do dalszych ataków.

To ważne, aby być ostrożnym i nie klikać w podejrzane linki otrzymywane w takich wiadomościach. Operatorzy telekomunikacyjni zwykle nie proszą nas o potwierdzenie zamówienia eSIM w taki sposób. 

Wirus infekujący dodatki do Minecrafta

W ostatnim czasie społeczność Minecrafta została dotknięta niepokojącym zjawiskiem. Odkryto wirusa o nazwie Fractureiser w różnych projektach Minecrafta udostępnianych na popularnych platformach takich jak CurseForge i strona deweloperów CraftBukkit. 

To złośliwe oprogramowanie zdołało przeniknąć do wielu modów, z których niektóre zostały dołączone do bardzo popularnych pakietów. Warto zaznaczyć, że Fractureiser atakuje wyłącznie systemy Windows i Linux.

Jak sprawdzić, czy twój komputer został zainfekowany? CurseForge udostępnił pomocny poradnik i narzędzie, które pomagają użytkownikom zidentyfikować i rozwiązać ten problem. Dodatkowe informacje można również znaleźć na ich platformie.

Atak hakerski sparaliżował systemy IT w Olsztynie 

W wyniku ataku hakerskiego, który miał miejsce w nocy z 24 na 25 czerwca 2023 roku, doszło do poważnych konsekwencji dla systemów sterowania ruchem, biletomatów i dostępu do systemu informacji pasażerskiej.

Zarząd Dróg, Zieleni i Transportu zaapelował do mieszkańców o wyrozumiałość w związku z tym incydentem. W jednostce nie było możliwe prowadzenie bieżącej obsługi interesantów. Lista spraw, które można załatwić w ZDZiT, była znacznie ograniczona, a czas obsługi znacząco się wydłużył.

Fałszywe wiadomości podszywające się pod Allegro

Osoby korzystające z Allegro obecnie otrzymują niebezpieczne wiadomości e-mail, które są wysyłane przez oszustów. W treści tych wiadomości przestępcy podszywają się pod popularną platformę zakupową, podając się za jej przedstawicieli. W celu oszustwa wykorzystują pretekst „aktualizacji regulaminu” i zachęcają odbiorców do kliknięcia w zamieszczony link, który prowadzi do fałszywej strony logowania.

Należy zwrócić szczególną uwagę na to ostrzeżenie, ponieważ treść wiadomości może zawierać pełne imię i nazwisko potencjalnej ofiary, a także jej poprawny numer telefonu. Taki zabieg znacząco zwiększa wiarygodność ataku, sprawiając, że osoby otrzymujące te wiadomości mogą łatwiej dać się nabrać.

W ostatnim czasie cyberprzestępcy coraz częściej wykorzystują metody inżynierii społecznej, aby zdobyć poufne informacje i dane osobowe. W tym przypadku podszywanie się pod Allegro ma na celu uzyskanie dostępu do kont użytkowników i skutkuje ryzykiem kradzieży tożsamości, a także możliwością dokonania nieautoryzowanych transakcji w imieniu ofiar.

Nowa fala ataków wykorzystujących pomoc rządową

Ostatnio obserwujemy narastającą falę ataków, które mają na celu wykorzystanie potrzebujących osób poprzez podszywanie się pod rządowe instytucje. Przestępcy wysyłają fałszywe wiadomości tekstowe, w których oferują pomoc finansową, zwłaszcza dla rodziców. Wszystko zaczyna się od fałszywych SMS-ów, które stanowią zaledwie wstęp do pełnego ataku.

Linki zawarte w tych wiadomościach przekierowują do nieautentycznych stron internetowych, które udają oficjalne rządowe portale. Na tych stronach obiecywane są różne korzyści, takie jak „dodatek mieszkaniowy” czy „500+ na nowy okres karencji”. 

Następnie schemat ataku przechodzi do kolejnej fazy. Ofiary są proszone o „wybór swojego banku”, aby odebrać obiecane świadczenie. Oszuści wykorzystują ten moment, aby wyłudzić od ofiar dane dostępowe do kont bankowych, a czasem nawet dane osobowe. Te informacje pozwalają przestępcom przejąć kontrolę nad kontami ofiar i dokonać kradzieży zgromadzonych tam środków.

***

Jeśli chciałbyś otrzymywać Biuletyn Harakiri na maila, pozostaw poniżej swój adres. Otrzymasz też dostęp do darmowego szkolenia z bezpieczeństwa haseł.

Poprzednie wydania biuletynu znajdziesz tutaj.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.