محققان امنیتی چندین کمپین حمله را کشف کرده‌اند که توسط یک گروه چینی انجام شده‌اند و کارگزارهای پایگاه‌ داده را به‌منظور کاویدن ارز رمزنگاری‌شده، استخراج اطلاعات حساس و ساخت شبکه‌ی بات، جهت حملات انکار سرویس (DDoS)، هدف حمله قرار می‌دهند. محققان شرکت امنیتی GuardiCore Labs هزاران حمله را که در ماه‌های اخیر انجام شده‌اند، مورد تجزیه‌وتحلیل قرار داده و حداقل سه نوع حمله به نام‌های Hex، Hanako و Taylor که کارگزارهای مختلف MS SQL و MySQL هر دو سیستم‌عامل ویندوز و لینوکس را هدف حمله قرار می‌دهند، شناسایی کرده‌اند. هدف این سه نوع حمله با هم تفاوت دارد. Hex کاونده‌ی ارز رمزنگاری‌شده و تروجان‌های دسترسی از راه دور (RATs) را بر روی ماشین‌های آلوده نصب می‌کند، Taylor یک درب‌پشتی و یک ثبت‌کننده‌ی صفحه‌کلید (keylogger) را نصب می‌کند و Hanako از دستگاه‌های آلوده برای ساخت یک شبکه بات DDoS استفاده می‌کند. تاکنون محققان صدها حمله‌ی Hex و Hanako و ده‌ها هزار حمله‌ی Taylor را در هرماه ثبت کرده‌اند و دریافته‌اند اکثر ماشین‌های آسیب‌دیده در چین و بعضی از آن‌ها در تایلند، ایالات‌متحده و ژاپن قرار دارند. جهت دسترسی غیرمجاز به کارگزارهای پایگاه‌ داده‌ی هدف، مهاجمان از حملات جستجوی فراگیر استفاده می‌کنند و سپس مجموعه‌ای از دستورات SQL از پیش تعریف‌شده را جهت دستیابی به دسترسی دایمی و دور زدن ورودی‌ها اجرا می‌کنند. در هر سه نوع حمله‌ی گفته‌شده (Hex، Hanako و Taylor) برای دسترسی دائمی به پایگاه‌داده‌ی قربانی، حساب‌های کاربری درب‌پشتی در پایگاه داده ایجاد و درگاه مربوط به دسترسی از راه دور باز می‌شود. این کار به مهاجمان اجازه می¬دهد تا مرحله‌ی بعدی حمله‌ی خود (یک کاونده‌ی ارز رمز‌نگاری‌شده، تروجان دسترسی از راه دور (RAT) یا یک بات DDoS) را به‌صورت از راه دور بارگیری و نصب نمایند. درنهایت، مهاجمان برای از بین بردن رد پای خود، هرگونه فایل رجیستری و ورودی پوشه‌ی غیرضروری ویندوز را با استفاده از فایل‌های batch از پیش تعریف‌شده و اسکریپت‌های Visual Basic حذف می‌کنند. همچنین مدیران باید نام‌های کاربری زیر را در پایگاه داده یا سیستم خود به‌منظور شناسایی اینکه آیا هدف حمله‌ی هکرهای چینی قرار گرفته‌اند یا نه، بررسی کنند. • Hanako • kisadminnew1 • 401hk$ • Guest • Huazhongdiguo110 به‌منظور جلوگیری از بهخطرافتادن سیستم‌‌ها، محققان به مدیران توصیه می‌کنند که همیشه از راهنمایی‌های مقاوم‌سازی پایگاه‌های داده که توسط MySQL و مایکروسافت ارایه شده‌اند استفاده کنند. آن‌ها توصیه می‌کنند که مدیران مرتباً لیست ماشین‌هایی که به پایگاه داده‌ی آن‌ها دسترسی دارند را بررسی کنند و این لیست را به حداقل برسانند. همچنین به ماشین‌هایی که به‌طور مستقیم از اینترنت قابل‌دسترسی هستند توجه ویژه‌ای داشته باشند و از هرگونه تلاش برای اتصال از IP یا دامنه‌ای که به این لیست تعلق ندارد، جلوگیری کنند.

یکی از محققان امنیتی Google، به نام اورمندی، که در گذشته اشکالات عمده‌‌ی موجود در ویندوز و ویژگی‌های آن را کشف کرده و گزارش داده بود، به تازگی اعلام کرده است که ویندوز۱۰ در معرض آسیب‌پذیری امنیتی جدیدی قرار دارد که بر روی کاربران مایکروسافت تاثیر می‌گذارد.
این آسیب‌پذیری در مدیریت گذرواژه‌ی Keeper وجود دارد که در برخی از نسخه‌های ویندوز۱۰ از پیش نصب شده است.
مدیریت گذرواژه‌ در تولید و بازیابی رمزهای‌عبور پیچیده کمک می‌کند، آن‌ها را در پایگاه داده‌ی رمزگذاری‌شده ذخیره یا براساس تقاضا محاسبه می‌کند. همچنین Keeper رمز‌های عبور قوی را ایجاد و این رمزها را در همه‌ی سیستم‌عامل‌ها و دستگاه‌ها سازماندهی می‌کند.
در حالی که این مسئله، نقص امنیتی در ویندوز و یا سایر محصولات مایکروسافت به حساب نمی‌آید؛ اما جزئیات اطلاعات کاربران ویندوز را در معرض افشاء قرار می‌دهد، زیرا مهاجمان می‌توانند رمز عبور کاربران را در صورتی که به Keeper متکی باشند، سرقت کنند.
اورمندی همچنین یک آسیب‌پذیری مربوط به نحوه تزریق UIهای اختصاصی به صفحات در نسخه‌ی غیرمجاز افزونه‌ی Keeper را در سال ۲۰۱۶ کشف کرده بود که تقریبا با این آسیب‌پذیری امنیتی یکسان است. در آن آسیب‌پذیری نیز وب‌سایت‌های مخرب قادر به سرقت رمزهای عبور کاربران از راه دور بودند.
همچنین یک نسخه آزمایشی توسط این محقق امنیتی منتشر شده است که ثابت می‌کند، آسیب‌پذیری وجود دارد که باعث سرقت رمزهای عبور توییتر نیز می‌شود.
مایکروسافت اعلام کرده است که این مشکل در بروزرسانی جدید برطرف خواهد شد. همچنین شرکت توسعه دهنده‌ی مدیریت رمز عبور Keeper این نقص را تایید و به‌روزرسانی نسخه‌ی ۱۱.۴.۴ را برای رسیدگی به آن منتشر کرده است. افزونه‌ی مرورگر برای Edge، Chrome و Firefox به طور خودکار به‌روز می‌شود. به علاوه گفتنی است هنوز هیچ حمله‌ای که از این آسیب‌پذیری استفاده کند، منتشر نشده است.
کاربران ویندوز ۱۰ در صورت عدم نیاز می‌توانند در Keeper password manager، قابلیت ذخیره‌سازی رمز عبور را غیرفعال کنند در اینصورت دیگر نسبت به سرقت رمز عبور آسیب‌پذیر نیستند.
با این وجود مایکروسافت هنوز در رابطه با اینکه چگونه Keeper password manager‌ بر روی کامپیوتر کاربران و بدون اطلاع آنان نصب شده است، توضیحی نداده است.

کمپین بدافزاری پیچیده‌ای به نام Zealot از سوءاستفاده‌های NSA برای هدف قرار دادن کارگزارهای ویندوزی و لینوکسی برای استخراج Monero استفاده کرده‌اند.
این کمپین توسط محققان امنیتی F5 Networks شناسایی و نام‌گذاری شده است. دلیل این نام‌گذاری مشاهده و حذف فایلی به نام zealot.zip در کارگزارهای هدف بود.
به گفته‌ی دو تن از محققان امنیتی F5 Networks، مهاجمان سامانه‌های موجود در اینترنت را برای کارگزار خاصی جستجو می‌کنند و از دو آسیب¬پذیری که یکی Apache Struts (CVE-2017-5638) و دیگری DotNetNuke ASP.NET CMS (CVE-2017-9822) است، استفاده می‌کنند تا در دستگاه‌های وصله‌نشده جایی برای خود باز کنند.
آسیب‌پذیری Apache Struts همان نقصی است که هکرها در اوایل سال جاری برای تخریب Equifax (غول مالی ایالات‌متحده) استفاده می‌کردند. گروه دیگری در ماه آوریل با سوءاستفاده از همین نقص، کارگزارهای Struts را هدف قرار دادند و در آن‌ها باج‌افزار نصب کردند و از این طریق 100000 دلار به‌دست آوردند.
کمپین Zealot از نقص Struts در هر دو سیستم عامل لینوکس و ویندوز به‌طور همزمان سوءاستفاده می‌کند. هنگامی‌که مهاجمان یک ماشین ویندوزی را آلوده می‌کنند، دو اکسپلویت EternalBlue و EternalSynergy را نیز به کار می‌گیرند. این دو اکسپلویت NSA در اوایل سال جاری توسط Shadow Brokers فاش شد. مهاجمان از این اکسپلویت‌ها برای حرکت در شبکه و آلوده کردن سامانه‌های بیش‌تر استفاده می‌کنند و در نهایت Powershell را برای بارگیری و نصب بدافزار نهایی به‌کار می‌گیرند. در این گروه، بدافزار نهایی کاونده‌ی Monero است.
در لینوکس مهاجمان از اسکریپت‌های Python استفاده و همان کاونده‌ی Monero را نصب می‌کنند.
بنا به اطلاعات جمع‌آوری‌شده توسط محققان F5 Networks، مهاجمان حداقل 8500 دلار از حملات خود به‌دست آورده‌اند؛ اما آن‌چه مشخص است این است که این کمپین از Monero استفاده‌ی بیشتری خواهد کرد و در نهایت مبلغ به‌دست‌آمده بسیار بیش‌تر خواهد بود.
کارشناسان F5 همچنان خاطرنشان کردند که مهاجمان می‌توانند مرحله‌ی پایانی خرابکاری را به هر چیزی که می‌خواهند، تغییر دهند.
به نظر می‌رسد مهاجمان از طرفداران بازی StarCraft هستند، زیرا بسیاری از اصطلاحات و نام فایل‌های استفاده‌شده در این کمپین، از این بازی گرفته شده‌اند مانند: Zeolat، Observer، Overlord و Raven.
استفاده از زنجیره‌ای از آسیبپذیری‌های چندمرحله‌ای، بدافزار پیشرفته و حرکت در شبکه‌ها به‌منظور ایجاد حداکثر آسیب، بیان‌گر توسعه‌یافته بودن کمپین Zeolat است.

بر اساس گفته‌های Paysafe که یک ارائه‌کننده‌ی خدمات پرداخت جهانی است، 52 درصد از مشتریان انگلیس فکر می‌کنند که تقلب یک قسمت اجتناب‌ناپذیر از فروش آنلاین است. برخی از چالش‌های مهم مطالعه شده در زمینه شناسایی، مدیریت و محافظت در برابر تقلب در روش‌های مختلف پرداخت در شکل زیر به تصویر کشیده شده است.

امنیت یا راحتی؟
نتایج این تحقیق نشان داده است که بر خلاف تصور عمومی، مشتریان در هنگام خرید آنلاین به امنیت کامل اهمیت بیشتری داده و آن را به راحتی خرید ترجیح می‌دهند. بر اساس شواهد، ۶۰ درصد از مصرف‌‌کنندگان حاضر به قبول هر اقدام امنیتی برای ریشه‌ کنی تقلب هستند؛ همچنین ۶۵ درصد از آن‌ها نسبت به معرفی روند‌های پرداخت آنلاین امن‌تر مانند احراز اصالت دو عاملی مشتاق هستند.

ریسک بالقوه و تولید درآمد
در طرف مقابل، تنها ۳۲ درصد از صاحبان کسب ‌و کارهای انگلیس معتقدند که مشتری‌هایشان از امنیت بیشتر طرفداری می‌کنند ولی ۵۹ درصد فکر می‌کنند که پروسه‌ی تأیید صحت طولانی‌تر، خطر از دست رفتن مشتری‌ها را در برخواهد داشت. اما در حقیقت از ۱۰ مشتری فقط یکی سبد خرید آنلاین را به خاطر طول کشیدن پرداخت امن، رها می‌کند. درحالی که درخصوص ۴۳ درصد از مشتریان، مهم‌ترین دلیل رهاکردن سبد کالا، هزینه‌‌های پنهان معامله و هزینه‌ی تحویل است.
یکی دیگر از مسائل کلیدی که در این گزارش برجسته شده آن است که بازرگانان تجاری درصدد ایجاد تعادل میان ریسک و تولید درآمد هستند و ۶۹ درصد از کسب‌و‌کارهای بررسی شده می‌خواهند حجم تراکنش و ثبت‌نام مشتری را با ساده‌تر کردن مکانیزم‌های امنیتی افزایش دهند. اما همچنان ۷۸ درصد می‌خواهند اقدام‌های امنیتی موثرتری برای کاهش تراکنش‌های جعلی استفاده نمایند.

کلاه‌برداری در معاملات
با توجه به مشاهدات، در سه‌چهارم کسب‌وکارها (حدود ۷۷ درصد) تقلب در معاملات وجود دارد ولی همچنان در این خصوص دیدگاه‌های متضاد وجود دارد.
از طرفی ۴۲ درصد از مشتریان می‌گویند که در بیش از ۵ درصد معاملات آن‌ها کلاهبرداری انجام می‌گردد. در این زمینه ۸ مورد از ۱۰ کسب‌و‌کار انتظار دارند تا هزینه‌ی تقلب را در طول ۱۲ تا ۲۴ ماه آینده به اندازه حداقل ۱۰ درصد افزایش دهند.

در این گزارش Paysafe اظهار داشته که: "تعجب‌آور است که تمرکز مشتری بر روی ویژگی‌های امنیتی بیشتر از راحت‌تر بودن پروسه‌ی خرید است". به هر حال واضح است که حفاظت در برابر تقلب مهم بوده و باید تجار بر روی ایجاد موازنه مناسب مابین "حفاظت در برابر تقلب" و "تجربه‌ی ساده‌تر خرید" تمرکز کنند.

کانال‌های پرداختی جدید
یک راه دیگر که کسب‌و‌کارها برای مقابله با تقلب در نظر دارند، کاهش وابستگی آن‌ها به روش‌های پرداخت سنتی است. تقریباً 40 درصد از کسب‌و‌کارهای انگلیس مایل به کاهش پرداخت توسط کارت‌های اعتباری و چک می‌باشند.
حساسیت این روش‌های پرداخت به تقلب، فاکتور مهمی است؛ زیرا کارت‌های اعتباری با ۵۴ درصد و سپس کارت‌های اعتباری با ۴۵ درصد و چک با ۳۶ درصد به‌عنوان آسیب‌پذیرترین‌ها رتبه‌بندی شده‌اند. در این حوزه، دیدگاه مشتریان و صاحبان کسب‌و‌کار به یکدیگر نزدیک است (تقریباً یک چهارم مشتریان در سال گذشته تقلب در کارت‌های اعتباری را تجربه کرده‌اند).
تمایل به کنار گذاشتن کانال‌های پرداختی سنتی با علاقه‌ی کسب‌و‌کارها به روش‌های پرداخت جدید همخوانی دارد. یک چهارم از کسب‌وکارها احتمالاً سیستم صوتی‌ای مانند الکسا را در حداقل دو سال آینده معرفی می‌کنند؛ در حالی که یک پنجم از کسب‌وکار‌ها طرفدار فرم‌های پرداخت بیومتریک هستند؛ ۱۴ درصد نیز به دنبال معرفی رمز ارز هستند. این در حالی است که ۲۶ درصد به دنبال معرفی کیف پول موبایل هستند. رفتار مصرف‌کنندگان نیز به انجام این تغییرات کمک می‌کند (از هر ۴ نفر یکی از کیف‌پول موبایل استفاده می‌کند، از هر شش نفر یکی از سیستم‌های صوتی و بیومتریک استفاده می‌کند و ۱۲ درصد از رمز ارز برای پرداخت استفاده می‌کنند).
Paysafe در خاتمه بر این باور است که: تقلب یک معضل واقعی برای تجار است و تعجب‌آور نیست که آن‌ها به‌دنبال فناوری‌های تشخیص و پیشگیری بهتر باشند. این تحقیق نشان می‌دهد که مصرف‌کنندگان تقاضای پرداخت‌های بیومتریک و رمز ارز‌ها را دارند. البته چالش بزرگ این صنعت آن است که این روش‌ها را به‌طور ایمن و راحت پیاده‌سازی کنند.

محققان نوع جدیدی تبلیغ‌افزار از دسته‌ی OSX.Pirrit کشف کردند که کنترل کامل رایانه‌ی Mac کاربر را به هکرها و مجرمان سایبری می‌‌دهد.
تبلیغ‌‌‌افزار OSX.Pirrit سیستم‌عامل Mac X را هدف قرار می‌دهد. در گذشته نیز این بدافزار هزاران رایانه‌ی Mac را در سراسر جهان آلوده کرده است. تبلیغ‌افزارها معمولاً مهاجمان را قادر می‌سازند تا رایانه‌ی کاربر را از کار بیندازند؛ اما این بدافزار نه تنها رایانه‌های Mac را با تبلیغ‌افزار بمباران، بلکه جاسوسی کاربران را نیز می‌کند. همچنین با رسیدن به دسترسی سطح بالاتر، هکرها را قادر می‌سازد تا از این بدافزار به‌منظور دستیابی به اطلاعات ورود به حساب بانکی کاربر استفاده کنند.
سازندگان OSX.Pirrit از اشتباهات قبلی خود درس گرفته‌اند و برخلاف نسخه‌های قدیمی آن، که از افزونه‌ی مخرب مرورگرها استفاده و حتی کارگزار پروکسی را به‌منظور ربودن اطلاعات مرورگر بر روی ماشین قربانی نصب می‌کردند، در این نوع جدید از OSX.Pirrit، از زبان اسکریپ‌نویسی اپل (AppleScript) استفاده می‌کنند. این بدافزار بدین منظور از AppleScript استفاده می‌کند که کد جاوااسکریپت را مستقیماً به مرورگر تزریق نماید.
از آنجاییکه OSX.Pirrit با رسیدن به مجوزهای ریشه اجرا می‌شود، اجرای خودکاری (autorun) تولید و در هر بار نصب نام جدیدی را برای خود ایجاد می‌کند. علاوه‌براین، هیچ دستورالعمل حذفی وجود ندارد و برخی از اجزای آن به گونه‌ای تغییر ظاهر می‌دهند که قانونی و از طرف اپل به نظر می‌آیند.
OSX.Pirrit توسط شرکتی به نام TargetingEdge ایجاد شده است. این شرکت تا به حال چندین نامه به شرکت تحقیقاتی Cybereason، که به بدافزار بودن محصول آن‌ها پی برده، فرستاده و از آن‌ها خواسته است که مانع از انتشار خبر بدافزاربودن محصولشان شوند.
حدود 28 موتور آنتی‌ویروس دیگر در Virus Total نیز این نرم‌افزار را در رده‌ی بدافزارها دسته‌بندی کرده‌اند. TargetingEdge ادعا می‌کند که محصولی قانونی را برای کاربران Mac توسعه داده است و نرم‌افزارش بدافزار نبوده و دارای هیچ ویژگی بدافزاری نیست.
کلوین موری، محقق امنیتی در Webroot گفته است کاربران باید هرگونه تغییری در تنظیمات جستجو یا مرورگر دستگاهشان را به مدیر گزارش دهند. همچنین آن‌ها باید بدانند که این تغییر می‌تواند تنها بخشی از یک مشکل بزرگ‌تر باشد. علاوه‌براین، لازم است مدیران اقدامات امنیتی معمولی ازجمله به‌روزرسانی نرم‌افزار، آنتی‌ویروس و آموزش کاربر را انجام دهند و کاربر و مدیر باید بدانند که لازم است تمرکز بیشتری بر روی OSX صورت گیرد، زیرا روز‌به‌‌روز آسیب‌پذیری‌های امنیتی بیشتری از آن آشکار می‌شود.

حدود 5500 سایت اینترنتی که از سیستم مدیریت محتوا Wordpress استفاده می کنند، توسط یک Script مخرب آلوده شده اند که در اولین بررسی های صورت گرفته مشخص شده است که این اسکریپت از دامنه cloudflare.solutions بارگزاری می شود و اولین اقدام آن، ذخیره کلیدهای تایپ شده در صفحات مهمی همچون صفحه login در Wordpress CMS می باشد. این اسکریپت مخرب داده ها را برای سرور دامنه فوق ارسال می کند و البته کاملا مشخص می باشد که این دامنه هیچ ارتباطی با CDN معروف CloudFlare ندارد.
به علت اینکه این اسکریپت هم در frontend و هم در backend سایت قربانی بارگزاری می شود، توانایی دزدیدن username و password کاربران مدیر، هنگام login کردن در admin panel را دارا می باشد.

این اسکریپت هنگامی خطرناک می شود که اجازه ی اجرا در frontend سایت قربانی را داشته باشد. چونکه در بسیاری از سایت های Wordpress، تنها جایی که می توان اطلاعات کاربر را دزدید بخش comment می باشد و همچنین تنظیمات به گونه ای است که کاربران می توانند comment هایی در پایان مطالب درج کرده و آنها را ببینند، توسط این گونه اسکریپت های مخرب، نفوذگران می توانند اطلاعات حساس کاربران عادی را نیز مورد سرقت قرار دهند.
در بسیاری از این گونه سایتها، به علت اینکه نفوذگر موفق شده است اسکریپت مخرب خود را در فایلهای اصلی CMS وردپرس همچون functions.php در بخش پوسته ها مخفی کند، امکان صحیح اجرا شدن اسکریپت مخرب بر روی اکثر مرورگرهای قربانیان توسط اجرای دقیق آن در CMS وردپرس ممکن می باشد.

کمپانی Sucuri اعلام کرد که این اسکریپت تازگی نداشته و در گذشت هم 3 اسکریپت مخرب دیگر که از دامنه cloudflare.solutions بارگزاری شده است را شناسایی کرده است. اولین اسکریپت مخرب در ماه April توسط هکرهایی استفاده می شد که موفق به نفوذ در سرور سایت های تبلیغاتی شده بودند و اسکریپت را به صورت مخفیانه در پشت بنرهای تبلیغاتی قرار می دادند. در ماه November، مشخص شد که یک گروه دیگر با استفاده از یک تاکتیک جدید، فایلهای جاوا اسکریپتی جعلی شبیه به ساختار Google Analytics را آماده سازی کرده بودند که در اصل مربوط به یک ساختار miner در مرورگر، به نام Coinhive بوده است که جهت استفاده از منابع سخت افزاری سیستم قربانیان، برای ساخت bitcoin مورد استفاده قرار می گرفته است که این اسکریپت مخرب بر روی بیش از 1833 سایت مشاهده شده بود.
در ادامه، کُد اصلی 2 اسکریپت مخرب را مشاهده می فرمایید که برای عملکرد keylogger آماده شده اند:
 

محققان امنیت سایبری کمپانی Sucuri اعلام کردند با جستجوی اسکریپت های فوق در فایل function.php در WordPress theme و حذف آن، از سرقت اطلاعات مهم authentication خود به سایت جلوگیری کنند.

گوگل به توسعه دهندگان اندروید ایمیلی فرستاده است و آنها را از طرح خود به منظور حذف نرم افزارهایی از #Play_Store که از خدماتِ دسترسی (Accessibility) سوء استفاده می کنند با خبر کرده است.
سرویسِ دسترسی اندروید، یک API است که برای کاربران دارای معلولیت طراحی شده است. به این صورت که به توسعه دهندگان برنامه ها امکانات لازم را برای استفاده ی معلولین از برنامه ها می دهد. روش کار API مذکور به این صورت است که به نرم افزار اجازه می دهد به اقداماتی که نیاز به تعامل فیزیکی کاربر دارد، دسترسی داشته باشند. به عنوان مثال، سرویسِ دسترسی میتواند ضربات(Tap) و کشیدن انگشت(swip) بر روی عناصر رابط کاربر را تقلید نماید.
این یک ویژگی بسیار قدرتمند و مخاطره‌ آمیز است، چرا که توسعه دهندگان بدافزار نیز متوجه آن شده و در بدافزارهای خود از این API سوءاستفاده کرده اند. سال هاست که این بدافزارها با فریب کاربران، مجوز دسترسی به سرویس مذکور را به دست می آورند. هنگامی که بدافزار این دسترسی را به دست آورد، بازی به پایان می رسد، زیرا این دسترسی به نرم افزارهای مخرب اجازه میدهد تا خود را به عنوان مدیر نصب برنامه ها قرار دهند و نرم افزارهای مخرب دیگری را دانلود و نصب کرده و یا عملیات مخاطره آمیز مختلفی را در پس زمینه تلفن اجرا نمایند.
خدماتِ دسترسی در حال حاضر اغلب در تروجان های بانکی، باج افزارهای تلفن همراه، ربات های کلیک تقلبی، نرم افزارهای تبلیغاتی مزاحم و هر نوع دیگری از بدافزار یافت می شوند. حمله هایی مانند Cloak & Dagger و Toast Overlay از این API سوءاستفاده می کنند.
گوگل هر برنامه ای را که از خدمات دسترسی سوء استفاده نماید تحریم می کند
در ایمیلی که هفته گذشته منتشر و در Reddit به اشتراک گذاشته شد، گوگل برای توسعه دهندگان بیان نمود که قصد دارد تمام برنامه هایی را که در Play Store از سرویسِ دسترسی استفاده می کنند حذف نماید، مگر آن دسته از سرویس هایِ دسترسی که به راستی برای قوی تر نمودن یک ویژگی برای کاربران معلول استفاده می شوند.
انتظار میرود که توسعه دهندگان توضیح مفیدی پیرامون نحوه و دلیل استفاده از این سرویس برای کاربران ارائه دهند. آنها همچنین باید در صفحه Play Store برنامه، عبارت زیر را اعلام کنند:
"این برنامه از سرویس هایِ دسترسی استفاده می نماید"
توسعه دهندگان 30 روز برای اجرا و به روزرسانی برنامه های خود فرصت دارند. از توسعه دهندگانی که نمی توانند برنامه-های خود را به روزرسانی کنند، خواسته شده است که برنامه را از Play Store حذف کنند.
بدافزارها به سمت فروشگاه های شخص ثالث حرکت خواهند کرد
گوگل امیدوار است که این طرح جدید، باعث کاهش تروجان های بانکی درون فروشگاه رسمی Play Store شود. جنبه دیگر این موضوع آنست که طی 30 روز آینده، گوگل صدها یا هزاران برنامه ی غیر مخرب را که از سرویسِ دسترسی استفاده می کنند، حذف خواهد کرد. این مساله شامل برنامه هایی نظیر دکتر باتری، برخی از برنامه های مدیریت رمز عبور و ... نیز می شوند.
به علاوه، این طرح فقط توزیع بدافزار را از طریق فروشگاه رسمی Play Store تحت تاثیر قرار خواهد داد و به برنامه های نصب شده از طریق فروشگاه های ثالث مرتبط نمی شود.
بنابراین ازین پس اکثر گروه های بدافزار اندرویدی، تمرکز خود را بر روی توزیع بدافزار از طریق فروشگاه های شخص ثالث و یا درخواست مجوز سرویسِ دسترسی به شیوه هایی که اکنون توسط گوگل شناسایی نشده اند، قرار می دهند.

گوشی‌های هوشمند اندرویدی که Lolipop، Marshmallowو Nougat را اجرا می‌کنند، نسبت به حمله‌ای که از سرویس MediaProjection سوءاستفاده می‌کند، آسیب‌پذیر هستند. MediaProjection یک سرویس اندروید است که قادر به دریافت محتویات صفحه‌ی ‌نمایش و ضبط صدای سیستم است.
برنامه‌های کاربردی برای استفاده از این سرویس، نیاز به دسترسی به مجوز سطح ریشه دارند و باید با کلیدهای دستگاه امضا شوند. با انتشار Android Lolipop (5.0)، گوگل این سرویس را بدون نیاز به مجوزی که برنامه‌ها‌ی کاربردی پیش از نصب از کاربر درخواست می‌کنند، در اندورید قرار داد. آگاهی از همین موضوع باعث شد تا بدافزارنویسان از طریق یک «تماس عمدی»، دسترسی به این سرویس سیستمی را درخواست کنند. به این ترتیب با استفاده از ترفندهایی برای عدم اطلاع کاربر از استفاده از این سرویس, مهاجم می‌تواند محتویات صفحه نمایش و صدای سیستم را ضبط کند.

برای مطالعه کامل کلیک نمایید.

بیش از یک دهه قبل، مایکروسافت روشی به نام ASLR ارائه داد. در این روش نواحی کلیدی حافظه به‌صورت تصادفی تغییر داده و در هر بار اجرای برنامه، داده‌های آن در مکان‌های مختلفی ذخیره می‌شوند. به دلیل وجود این ویژگی، مهاجم نمی‌تواند آدرس‌های موردنیاز خود را برای سوءاستفاده پیش‌بینی نماید.
در ویندوز 10، به نظر می‌رسد در رابطه با این روش مشکلی وجود دارد و داده‌ها در مکان یکسانی ذخیره می‌شوند. برای درک اهمیت این مشکل مثالی ذکر می‌شود. در این مثال تصور شده است که فردی صندوق پستی ناامنی دارد که دائماً از آن سرقت می‌شود. یکی از راه‌های مقابله با این مشکل این است که چندین صندوق‌ پستی پراکنده برای این فرد درنظر گرفته شود و کارمند پست هر روز، نامه‌های فرد را در زیرمجموعه‌ای از صندوق‌های پستی موجود (به‌طور مثال 30 صندوق پستی کل) قرار ‌دهد. با این کار برای یافتن نامه باید تمامی صندوق‌ها جستجو شوند که این کار برای دزد نامه‌ها زمان‌بر خواهد بود.
درواقع، در ویندوز 7 و ASLRموجود در ابزار EMET (Enhanced Mitigation Experience Toolkit)، آدرس بارگذاری شده برای eqnedt32.exe در هر راه‌اندازی مجدد، متفاوت است؛ اما در ویندوز 10، چه با EMETیا با WDEG(Windows Defender Exploit Guard)، آدرس پایه‌ی eqnedt32.exeهر بار 0×10000است. درنتیجه ویندوز 10 نمی‌تواند ASLRرا همچون ویندوز 7 اجرا کند!
حال تصور می‌شود که به‌جای قرار دادن پنج نامه در پنج مکان مختلف، کارمند پستی آن‌ها را همیشه در مکان‌های یکسانی قرار دهد. درواقع این موضوع مشکل موجود در ویندوز 8 و ویندوز 10 است که بدون هیچ‌گونه تصادفی، حفاظتی نیز وجود نخواهد داشت.

برای دریافت این مستند کلیک نمایید.

Adobe Flash Player یک افزونه است که به کاربران این امکان را می‌دهد تا از محتوای چندرسانه‌ای در وب از طریق مرورگر بهره برند. ازآنجایی‌که روزبه‌روز به تعداد کاربرانی که از این افزونه استفاده می‌کنند افزوده می‌شود، نیاز به کنترل آن نیز بیشتر می‌شود. بااین‌حال، برخی از افراد، قربانی آسیب‌پذیری‌هایی موجود در این افزونه می‌شوند.
در به‌روزرسانی اخیر Adobe Flash Player، این شرکت از کاربران خود خواسته است تا سامانه‌های خود را به آخرین نسخه‌ی این برنامه، وصله کنند. دلیل این امر، آسیب‌پذیری‌هایی است که توسط حملات مخرب مورد سوءاستفاده قرارگرفته‌اند.
هشدار Adobe مربوط به آسیب‌پذیری موجود در بسته‌ی نرم‌افزاری چندرسانه‌ای فلش‌پلیر است. به همین دلیل، این شرکت از کاربران خود خواسته است تا با وصله کردن سامانه‌های خود، از این حملات جلوگیری کنند.
محققان امنیتی آزمایشگاه کسپرسکی، استفاده از این آسیب‌پذیری برای اجرای کدهای کنترل از راه دور را در Adobe Flash پیدا کردند که توسط گروهی به نام BlackOasis ارایه شده است. تاکنون گروه BlackOasis قربانیانی را در کشورهای مختلف ازجمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا مورد هدف قرار داده است.این بدافزار که با نام‌های FinFisher یا FinSpy شناخته شده است، یک محصول تجاری است که با اهداف نظارتی و جاسوسی، به ادارات اجرای قانون و ایالات ملی فروخته شده است.
این آسیب‌پذیری بحرانی که با عنوان CVE-2017-11292 ردیابی می‌شود، می‌تواند به اجرای کد منجر شود و Flash Player 21.0.0.226 را در سیستم‌عامل‌های ویندوز، مکینتاش، لینوکس و سیستم‌عامل Chrome تحت تاثیر قرار دهد.
به‌روزرسانی درنظر گرفته‌شده برای رفع این مشکل، مرورگرهای وب معروف مانند اینترنت اکسپلورر، مایکروسافت Edgeو گوگل کروم را تحت تأثیر قرار می‌دهد؛ بنابراین، مشکلات موجود در فلش‌پلیر می‌تواند به‌آسانی در هنگام نصب در هر نسخه‌ی پشتیبانی شده از ویندوز، برطرف شود. این نسخه‌ها شامل ویندوز سرور نسخه‌ی 1709، ویندوز 10 نسخه‌ی 1709، ویندوز سرور 2016، ویندوز 10 نسخه‌ی 1703، ویندوز 10 نسخه‌ی 1511، ویندوز 10 نسخه‌ی 1607، ویندوز 8.1، ویندوز RT 8.1و ویندوز RTM 10 است.
به‌روزرسانی‌های امنیتی و غیرامنیتی برای نسخه‌های خاصی از ویندوز در دسترس هستند؛ بنابراین، ضروری است تا برای دریافت به‌روزرسانی‌های آتی این شرکت، به‌روز‌رسانی 2919355 در ویندوز RT 8.1، ویندوز سرور R2 2012 و رایانه‌های مبتنی بر ویندوز 8.1 نصب شود.
کاربران می‌توانند این به‌روزرسانی را از طریق به‌روزرسانی ویندوز نصب کنند. برای این کار آن‌ها تنها نیاز به روشن کردن به‌روزرسانی خودکار برای دانلود و نصب خودکار آن دارند. آن‌ها همچنین می‌توانند از کاتالوگ به‌روزرسانی مایکروسافت برای دریافت بسته‌های مستقل این به‌روزرسانی استفاده کنند.