Зламані версії Microsoft Office і Adobe Photoshop викрадають дані і гаманці з криптовалютою Monero, попередили фахівці компанії Bitdefender. За їх словами, кіберзлочинці вже три роки поширюють потужне шкідливе ПЗ через зламані версії популярних програм.
Після використання зламаних версій на систему жертви також встановлюється ncat.exe (легітимний інструмент для передачі мережею необроблених даних) і проксі TOR. Крім іншого, встановлюється пакетний файл chknap.bat, що містить послідовність команд.
Разом ці інструменти створюють потужний бекдор, який через TOR обмінюється даними зі своїм C&C-сервером: двійковий файл ncat використовує порт прослуховування проксі-сервера TOR ( ‘–proxy 127.0.0.1:9075’) і використовує параметр ‘- exec’, який дозволяє клієнту відправляти всі вхідні дані в додаток, а потім отримувати відповіді через сокет (функціонал зворотного web-оболонки). Найімовірніше, бекдор використовується в інтерактивному режимі людиною-оператором, а не відправляє автоматичні запити жертвам.
Функціонал бекдору:
- Викрадення файлів. Ncat може отримувати локальні файли для відправки C&C-сервера через TOR;
- Виконання клієнта BitTorrent, який кіберзлочинці використовують для викрадення даних;
- Відключення брандмауера і підготовка до викрадення даних;
- Викрадення даних профілю Firefox (історія браузинга, облікові дані і cookie-файли сеансу). Перед викраденням даних зловмисники архівують папку з профілем за допомогою 7zip, щоб створити єдиний файл, в якому міститься все;
- Викрадення гаманців Monero через легітимний клієнт інтерфейсу командного рядка ‘monero-wallet-cli.exe’.
- Цей список є неповним, оскільки бекдор надає зловмисникам повний контроль над системою, і вони можуть адаптувати дії під свої поточні потреби.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ
Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?
Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.
Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.
Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.
До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.
Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.