Výzkumníkům ze společnosti Netcraft se podařilo odhalit phishingovou kampaň, která byla hostována přímo na stránkách Facebooku. Jak je to možné? Stránka totiž byla součástí aplikace a vypadala jako verifikační formulář, který se na Facebooku běžně vyskytuje.

Jednalo se ale o falešný formulář, který byl na stránku vložen pomocí iframu z externí stránky, kterou hostuje HostGator. Díky tomu, že externí stránka používala protokol HTTPS, uživateli se nezobrazilo vůbec žádné varování před externím obsahem.

Phishingová stránka na doméně sociální sítě Facebook

Pokud uživatelé přijdou na tuto stránku a vyplní formulář, zadané údaje se odešlou přímo útočníkovi. Dalším nástrojem útočníků je také to, že po prvním zadání přihlašovacích údajů se vždy zobrazí upozornění, že zadání bylo chybné. Tím chtějí oklamat uživatele, kteří nejdříve zadají chybné údaje, aby si ověřili, zda skutečně dochází k jejich kontrole.

Po druhém zadání údajů do formuláře se uživatelům zobrazí zpráva informující o 24hodinovém limitu pro schválení přihlášení. To dává útočníkům čas ovládnout účet a zneužít ho. Obranou je dvoukrokové ověřování a také notifikace při přihlášení z neznámého zařízení.

Díky Facebooku mohli útočníci na jiných webech používat vaši identitu

Už jste určitě mnohokrát navštívili stránky, které vám nabízeli možnost ušetřit si vypisování údajů při registraci tím, že se přihlásíte pomocí účtu ze sociální sítě Facebook. A právě toho využil výzkumník Ionut Cernica k tomu, aby se na webech, kde se cílový uživatel již registroval, za něj mohl vydávat.

Pro provedení útoku musí nejprve útočník zjistit emailovou adresu oběti, která byla použita k registraci na cílové stránce. Další podmínkou je, aby cílová stránka umožňovala přihlášení přes Facebook a v neposlední řadě aby oběť neměla daný email registrovaný na Facebooku. Pokud jsou tyto podmínky splněny, což je jistě v mnoha případech reálné, útočník se může dostat k účtu oběti na cílové stránce.

Změna emailového účtu na sociální síti Facebook

Jak výzkumník popsal na svém webu, útočník vytvoří účet na Facebooku s emailovou adresou oběti a následně změní emailovou adresu na jinou, ke které má přístup. Pro proces ověření mohl útočník použít vlastní adresu a poté opět nastavit email oběti jako primární.

Poté už může útočník jednoduše využít Facebookový účet s primárním emailem nastaveným na adresu oběti k přihlášení na cílové stránce, kde oběť svou emailovou adresu používá. Aktuálně už si problém ale nevyzkoušíte, jelikož byl opraven 14. dubna, 14 dní poté, co ho výzkumník nahlásil.

Zranitelnost Office 365 otvírala vrátka do mnoha firem

Velmi závažná zranitelnost v produktu Microsoft Office 365 umožňovala útočníkům dostat se k informacím firem, které toto řešení využívají, a to včetně emailů a uložených dokumentů. O závažnosti problému svědčí i to, že společnost Microsoft vydala opravu 7 hodin poté, co na chybu upozornili výzkumníci Yiannis Kakavas and Klemen Bratec. Mezi oběti tohoto útoku se mohli zařadit menší firmy, ale také velké korporáty, jako například British Airways, Vodafone, Verizon či samotný Microsoft.

Z detailního popisu problému na stránkách výzkumníků vyplývá, že chyba byla v implementaci SAML 2.0 v balíku Office 365. Jejím důsledkem byla možnost přihlášení se vůči jiné doméně, než se kterou je uživatel skutečně spjatý. SAML je zkratka pro Security Assertion Markup Language a jedná se o standard používaný společnostmi k výměně autentizačních a autorizačních dat, zejména se používá k umožnění tzv. single sign on na webových stránkách.

Obsah databází k úspěšnému provedení útoku

K provedení útoku a získání přístupu k datům z vybrané společnosti stačilo, aby si útočník pořídil předplatné Office 365, klidně ve verzi trial a zprovoznil SAML autentizaci. Následně do databáze svých uživatelů přidal jméno a email uživatele z cílové společnosti. Poté už jen stačilo navštívit portál Office 365, identifikovat se jako uživatel ze společnosti útočníka a tím získat ověření k databázi útočníka. Při následném přihlášení s emailovou adresou oběti byl útočník vpuštěn k cizím datům.

Vzhledem k závažnosti chyby se dá očekávat také velká odměna v rámci bug bounty programu. Tu ale výzkumníci nezveřejnili, uvedli jen, že se blížila k maximální hranici, která je 15 000 dolarů.

Sociálním inženýrstvím ke stovkám tisíc dolarů

V poslední době se nadmíru dobře dařilo skupině kybernetických vyděračů říkající si Armada Collective, kteří rozesílali emaily s výhružkami do firem po celé zemi. V těch firmám hrozili masivním DDoS útokem na jejich weby v případě, že nezaplatí požadované výkupné.

Zajímavý na tom je fakt, že skupina nikdy žádný rozsáhlý útok nespustila. Typicky na začátku výhružek zahltila cílovou stránku velmi krátkodobým DDoSem, aby demonstrovala, že opravdu má možnost útočit. Poté odeslala email s žádostí o výkupné a výhružkou, že útok bude dlouhodobý, pokud společnost nezaplatí.

Výhružný email s žádostí o výkupné v Bitcoinech

Vzhledem k tomu, že stejnojmenná skupina měla na svědomí útok na ProtonMail v říjnu 2015, je pravděpodobné, že využívá reputaci skupiny právě z období těchto útoků. Zda jsou její členové stejní, nebo jen někdo zneužil tento „brand“ je otázkou. Co je ale podle blogu společnosti CloudFlare jisté, je výnos z těchto výhružek. Podle analýzy pohybů na adrese bitcoinové peněženky obdrželi útočníci již více než 100 000 USD a to zatím jen odesílali emaily.

Na počítačích v jaderné elektrárně v Německu byl nalezen malware a ne jeden

Zpráva o virovém napadení počítačů v Německé jaderné elektrárně se objevila ve středu na webu Reuters. Shodou okolností právě v období, kdy si všichni připomínají 30 let starý výbuch elektrárny v Černobylu. Naštěstí typy malwaru, které byly nalezeny, neukazují na cílený útok, ale není ho možné ani vyloučit. Conficker a W32 Ramnit se na počítače v elektrárně dostali spíše náhodou.

Podle operátora elektrárny malware neohrožoval činnost zařízení vzhledem k tomu, že počítače nejsou připojeny k internetu. Jak se do nich malware vůbec mohl dostat? To asi napoví fakt, že Ramnit byl také nalezen na 18 flashdiscích mezi zaměstnanci.

Snímek nejvýkonnější německé jaderné elektrárny v Gundremmingenu

Oba druhy malwaru patří mezi starší a dobře známé. Conficker už je poměrně ojedinělý vzhledem k tomu, že jeho botnet už je dávno neaktivní. Proti Ramnetu už byly také v minulém roce vedeny protiopatření ze strany policejních složek, ale i přesto se stále drží mezi nejvyskytovanějšími druhy malwaru.

To, že se v tomto případě pravděpodobně nejednalo o cílený útok, nás sice může uklidnit, je ale otázkou, jak je vůbec možné, že se již známé viry dostanou do počítačů v takto zabezpečené společnosti. Překonání jejího zabezpečení by virům stavěným na míru asi nečinilo velký problém…

Nástroje od TUTO4PC instalují backdoory, zasaženo 12 miliónů počítačů

Nástroje od Francouzské společnosti Tuto4PC se v počítačích projevují jako adware či spyware tím, že instalují nechtěné programy a shromažďují informace o uživatelích, které odesílají na své servery.

Problémy odhalili výzkumníci ze společnosti CISCO Talos, kteří analyzovali aplikaci OneSoftPerDay, jelikož jejich systém detekoval nárůst počtu obecných trojských koňů. Analýza odkryla přibližně 7000 unikátních vzorků, jejichž jména velmi často obsahovala řetězec „Wizz“, např. Wizzupdater.exe nebo Wizzremote.exe. Tento řetězec se vyskytoval také v některých doménách, se kterými tyto vzorky komunikovaly.

Jak funguje stahování nevyžádaných škodlivých aplikací?

Výzkumníci přišli na to, že software nejenom instaluje další scareware, ale také shromažďuje informace o uživateli a detekuje použití sandboxu, antivirů, bezpečnostních a forenzních nástrojů a možností vzdáleného přístupu.

Fakt, že v roce 2014 společnost Tuto4PC prohlásila, že se její síť skládá z téměř 12 miliónů počítačů, odpovídá tomu, že systémy společnosti CISCO odhalily backdoor na 12 milionech zařízení. Konkrétně byl škodlivý software nalezen na počítačích v USA, Austrálii, Japonsku, Španělsku, Spojeném Království, Francii a na Novém Zélandu. Detailní chování škodlivých programů popisují výzkumníci na svém blogu.

Další zprávy ze světa IT bezpečnosti v bodech:

• HP opravuje kritické zranitelnosti v nástroji Data Protector
• DARPA chce vytvořit komunikátor pro armádu
• Adware pojmenovaný Faster Internet odesílá screenshot z počítačů obětí
• Google představil ochranu proti použití komunikace v cleartextu pro aplikace na Androidu
• Ransomware Dogspectus využívá exploity HackingTeamu
• Nový decryptor si poradí s ransomwarem CryptXXX
• Firefox 46 opravuje 10 zranitelností, z toho 1 kritickou
• OpenSSL připravuje opravy závažných zranitelností na 3. května
• Poslední verze NTP démona obsahuje opravu několika zranitelností
• Nová služba loví škodlivé domény
• Google v novém Chromu přináší opravu 9 zranitelností
• Používáte GitHub, tak pozor na sdílení přístupových údajů ve zdrojáku
• Malware přetrvává v systému Windows díky božskému módu