Po několika týdnech relativního klidu na poli ransomwaru o sobě dal vědět CTB-Locker. Tento ransomware (program, který zašifruje vaše data a požaduje výkupné za jejich odšifrování) se šíří emailem, který láká k upgradu operačního systému na nedávno vydaný Windows 10. V příloze emailu je zazipovaný instalátor, který ale po spuštění místo upgradu nainstaluje CTB-Locker a zašifruje data uživatele.

Email nabízející upgrade na Windows 10 zdarma!

Cisco  zveřejnilo video s ukázkou celého průběhu útoku, od stažení přílohy emailu až po zobrazení žádosti o výkupné. Uživatel má zaplatit pomocí Bitcoinů a to do 96 hodin.

CTB je zkratka slov Curve-Tor-Bitcoin, která o ransomwaru leccos napovídá. Ten totiž k zašifrování dat používá kryptografii založenou na eliptických křivkách, ke komunikaci s C&C serverem anonymní síť Tor a platby přijímá pouze v Bitcoinech. K důvěryhodnosti emailu přispívá zobrazená adresa odesilatele update@microsoft.com, standardní disclaimer Microsoftu a také text, informující o tom, že zpráva prošla kontrolou MailScanneru.

Chybné znaky v těle emailu by mohly vzbudit uživatelovu pozornost

Pokud obdržíte email s podobnou nabídkou, doporučujeme ji nevyužít. Oficiální upgrady budou prováděny klasickým stažením, podobně jako systémové aktualizace, a nebudou tedy distribuovány emailem. Obecnou obranou proti ransomwaru, jak na blogu uvádí společnost Cisco, je pak zejména pravidelné zálohování dat.

CSIRT varuje před podvodnými emaily

Kromě emailu „od“ Microsoftu se v minulém týdnu vyskytla dvě varování, zmiňující podvodné emaily, zaměřené čistě na české uživatele. Prvním bylo upozornění na novou vlnu falešných faktur, které se šířily emailem ve dvou různých variantách.

Další upozornění reagovalo na emaily, které byly údajně odeslané Krajským úřadem Jihomoravského kraje a každopádně obsahovaly malware. Ten je uložen v příloze v souboru s různými jmény a příponou *.doc. Přílohy těchto emailů rozhodně neotvírejte!

Thunderstrike 2 nahání strach uživatelům OS X

Na konferenci BlackHat byla předvedena nová verze malwaru Thunderstrike, který umožňuje provést nedetekovatelnou instalaci škodlivého firmwaru. Ten přežije restarty a dokonce i reinstalace systému. Oproti svému předchůdci, kterého výzkumníci odhalili na jaře tohoto roku, nevyžaduje nová verze k provedení útoku fyzický přístup útočníka k zařízení. Je tedy možné provést útok vzdáleně a poté využít replikace malwaru skrze periferie.

Ukázka infikování počítače a dalšího šíření malwaru Thunderstrike

Stejně jako u předchozí verze tohoto malwaru, je možné k jeho šíření využít adaptér Thunderbolt. Thunderstrike dokáže infikovat pamět adaptéru a následně se šířit mezi uživateli, kteří ho používají. Případně můžete mít i štěstí a infikovaný adaptér si koupit na webu.

Obranou je například Boot Guard, který detekuje změny firmwaru před nabootováním. Nebo úprava od Intelu, která uzamyká systém v době, kdy se probouzí z režimu spánku. Tedy právě ve chvíli, kterou Thunderstrike využívá k úpravě firmwaru.

Další zranitelnost Androidu způsobí nekonečnou smyčku restartů

Po dvou závažných zranitelnostech Androidu, popsaných v minulém díle se objevuje další! Společnost TrendMicro odhalila problém, který opět leží v komponentě mediaserver a může způsobit restart telefonu a úplné vyčerpání baterie. Pokud se útočníkovi povede škodlivou aplikaci spouštět automaticky po startu telefonu, dojde k nekonečnému cyklu restartů.

Na zranitelnost jsou náchylné verze Androidu 4.0.1 až 5.1.1, což je přibližně 90 % majitelů telefonů s Androidem. Zatím ale nebylo zaznamenáno veřejné využívání této zranitelnosti k útokům.

Statistiky využití jednotlivých verzí systém Android

Problém lze vyvolat pomocí speciálně modifikovaného MKV souboru dvěma způsoby. První možností je vytvořit aplikaci, která předá modifikovaný soubor mediaserveru. Ten při jeho zpracování skončí v nekonečné, uživatelem nekontrolovatelné smyčce. Celý systém se výrazně zpomalí a bude tomu tak, dokud telefon nerestartujete, nebo nedojde k vybití baterie. Druhou možností je vystavení škodlivého MKV souboru na webu. Jakmile uživatel stiskne tlačítko pro přehrání souboru, dojde ke shodným problémům jako v prvním případě.

To vše je způsobeno chybou integer overflow, ke které dojde právě při parsování MKV souboru.

Krátký a  jednoduchý zdrojový kód ukázkové škodlivé aplikace, klíčový je ale obsah souboru loop.mkv

Výzkumníci z TrendMicro zhotovili dva PoC projekty - jeden ve formě škodlivé aplikace a druhý jako škodlivou webovou stránku. Detaily uvádějí na blogu.

Pokud se stanete obětí útoku využívajícího tuto chybu, pomůže vám, stejně jako v případě předchozích chyb na Androidu, nabootování v nouzovém režimu a odstranění škodlivé aplikace. Její identifikace ale může být v některých případech složitá, například pokud útočníci nespustí útok ihned, ale třeba až několik týdnů po její instalaci.

Funtenna - technika pro krádeže dat pomocí zvukových vln

Skupina bezpečnostních výzkumníků na konferenci Black Hat prezentovala novou techniku krádeže dat z cílového počítače, který může být v tzv. air-gapped síti, tedy nepřipojen k internetu, ani žádnému jinému počítači, ke kterému má útočník přístup.

Podle autora je možné použít útok nejen proti počítači, ale i proti dalším zařízením, jako jsou telefony nebo tiskárny a další zařízení.

Video představující útok Funtenna

Obecný princip útoku je podobný útoku využívajícímu magnetické vlny, který jsme popisovali v minulém díle. Opět je potřeba, aby na cílovém počítači byl přítomný malware, což se sice může zdát jako problém, nicméně s jistou dávnou fantazie si dokážeme představit, že by mohl být počítač infikován například již při výrobě.

Tento malware následně slouží k ovládání elektronických obvodů v zařízení a stará se o vysílání signálů, generovaných vibracemi na specifických frekvencích. Tyto signály jsou poté zachytávány nedaleko umístěným AM přijímačem.

Google a Samsung chystá nový systém bezpečnostních updatů

Dle informací na blogu začal od středy 5. srpna Google pravidelně vydávat bezpečnostní aktualizace pro zařízení Nexus ve formě OTA (over the air) updatů. V prvním updatu se tedy uživatelé dočkají například opravy chyby StageFright, o které jsme psali v minulém díle. Publikované opravy budou vždy také zveřejňovány skrze Android Open Source Project.

Ve stejný den oznámil bezpečnostní aktualizace také Samsung. Ve svém prohlášení zmínil opravu chyby StageFright, jejíž distribuci na zařízení Galaxy řešil s operátory a partnery, ale také záměry implementovat nový systém aktualizací. Ten by se měl starat o pravidelnou měsíční distribuci oprav v rámci OTA updatů a zvyšovat tak bezpečnost svých zařízení.

Přímé instalace rozšíření do Chromu se zneužívají, Google je zakáže

Přímé instalace, které Google představil v roce 2011, mají uživatelům zjednodušit instalaci rozšíření do Chromu pomocí přímé instalace ze stránek vývojáře. Někteří vývojáři ale tuto možnost zneužívali a k instalaci svých aplikací uživatele nalákali skrze klamnou reklamu a webové stránky.

Uživatel si myslí, že je potřeba aktualizovat FlashPlayer, ale ve skutečnosti ho link dovede k instalaci škodlivého rozšíření.

S cílem chránit uživatele bude tedy Google od 3. září zakazovat přímou instalaci u rozšíření, která využívají různé klamné taktiky k přinucení uživatele je nainstalovat. Uživatel, který bude mít o instalaci opravdu zájem, bude přesměrován do Chrome Web Store, kde se před instalací aplikace dozví více informací.

Podle vyjádření společnosti Google tato změna ovlivní pouze 0,2 % ze všech rozšíření. Jde o důležitý krok k udržení zdravého ekosystému jak pro uživatele, tak i většinu vývojářů, kteří se nikoho nesnaží oklamat.

Další zprávy ze světa IT bezpečnosti v bodech:

• Nový standard ovlivňující ledování uživatelů – "Do Not Track"
• Xen opravuje další zranitelnosti ve své virtualizační platformě
• RIG exploit kit 3.0 infikoval již 1,3 milionu zařízení po celém světě
• Útočníci využívají zero-day zranitelnosti v OS X
• WordPress 4.2.4. opravuje 6 zranitelností a 4 bugy
• Rady pro běžné uživatele: Jak rozpoznat phishing?
• Organizace ICANN kompromitována, unikla data o uživatelích
• Zařízení RollJam odemkne většinu aut