شماره: IRCNE2014072268
تاريخ: 93/05/05  

يك بدافزار گروگان گير كه فايل ها را رمزگذاري كرده و بر روي كارت حافظه SD دستگاه هاي اندرويد ذخيره مي كند به گونه اي به روز رساني شده است كه كاربران انگليسي زبان را مورد هدف قرار مي دهد.
اين برنامه بدافزاري Simplocker ناميده مي شود و اولين بار در ماه ژوئن توسط شركت امنيتي ESET شناسايي شد. در آن زمان اين برنامه اولين برنامه مخرب دستگاه هاي اندرويد بود كه از روش رمزگذاي فايل ها براي اخاذي از قربانيان خود استفاده مي كرد.
روز پنج شنبه شركت امنيتي ESET در پستي اعلام كرد كه در حال حاضر بدافزار گروگان گير Simplocker در فروم هاي زيرزميني به فروش مي‌رسد و در بين كاربران توزيع مي شود.
گونه جديد اين بدافزار كه اخيرا شناسايي شده است پيامي به زبان انگليسي براي قربانيان در قالب هشداري از طرف اداره فدرال امريكا مبني بر يافتن يك محتوي غيراخلاقي بر روي دستگاه آن ها، نمايش داده مي شود.
محققان شركت امنيتي ESET اعلام كرد كه اين بدافزار علاوه بر اين كه قربانيان بالقوه خود را با اضافه نمودن پشتيباني از زبان انگليسي گسترش داده است، پيشرفت هاي ديگري نيز داشته است.
فهرست قبلي انواع فايل هاي رمزگذاري شده توسط بدافزار شامل فايل هاي تصويري و متني بود. در نسخه جديد اين بدافزار، فايل هاي آرشيوي مانند .zip و .7z و .rar نيز رمزگذاري مي شوند. بسياري از ابزارهاي پشتيبان گير اندرويد، فايل هاي پشتيبان گيري شده را در قالب فايل آرشيو ذخيره مي كنند در نتيجه فايل هاي بايگاني دستگاهي كه با بدافزار Simplocker آلوده شده است نيز رمزگذاري مي شود.
بنابراين نه تنها كاربران دسترسي به عكس ها و اسناد خود را از دست مي دهند بلكه ديگر قادر نخواهند بود كه اين اطلاعات را از روي فايل هاي بايگاني شده بر روي حافظه SD دستگاه بازيابي نمايند.
نصب كننده اين بدافزار يك برنامه كاربردي فلش ويدئو پلير است كه هنگام نصب درخواست اعطاي مجورهاي ادمين را مي دهد. اين امر باعث مي شود تا حذف اين بدافزار به مراتب سخت تر شود.
شركت امنيتي ESET ابزار رايگان Simplocker Decryptor خود را به منظور پشتيباني از فايل هاي رمزگذاري شده توسط گونه جديد اين بدافزار به روز رساني كرده است.

شماره : RCNE2014072263
تاريخ : 93/5/4

تاكنون، حملات سايبري "عمليات Emmental" تعداد زيادي حساب كاربري را در اتريش، سوييس، سوئد و ژاپن مورد حمله قرار داده است. كارشناسان نسبت به متد پيچيده اين حمله براي بدست آوردن مشخصات حساب هاي بانكي كاربران هشدار دادند.
روز سه شنبه22 جولاي (31 تير)، شركت امنيتي Trend Micro گزارشي را با نام "عملياتEmmental" منتشر كرد، كه در آن، بدافزار انرويدي از احراز هويت دو عاملي گذشته و كد مخربي را اجرا مي كند كه تنظيمات DNS كامپيوتر آلوده را تغيير مي دهد. سپس، آن نقاط توسط مهاجم اداره خواهد شد. خرابكاران اقدام خود را با ارسال بدافزار از طريق حملات فيشينگ- لينك هاي آلوده يا فايل هاي ضميمه شده از طرف فروشندگان محصولات مختلف- شروع مي كنند.
اين بدافزار يك بدافزار معمولي بانكي نيست، تنظيمات روي سيستم ها را تغيير داده و سپس خودش را پاك مي كند. درست است تغييرات كوچك بوده ولي پيامدهاي بزرگي براي كاربران خواهد داشت. اين بدافزار SSL root certificate جعلي را روي سيستم ها نصب مي كند كه موجب مي شود سرورهاي HTTPS آلوده بصورت پيش فرض، قابل اعتماد تشخيص داده شوند و كاربران هيچ گونه هشدار امنيتي را مشاهده نكنند.
اين بدافزار، سپس تغييراتي روي DNS سيستم انجام مي دهد كه موجب مي شود كاربران به سمت وب سايت هاي جعلي بانكي هدايت گردند كه دقيقاً مشابه سايت هاي اصلي است. در آن صفحات، كاربران به صفحات ديگري هدايت مي شوند كه اطلاعات كاربري را وارد كنند و نرم افزاري را نصب نمايند، كه در حقيقت بدافزار اندرويدي است.
اين برنامه كاربردي اندرويدي به عنوان يك توليدكننده رمز session بانكي نيز عمل مي كند. در حقيقت پيامك هايي از بانك را رهگيري كرده و به سمت سرور كنترل و فرمان (C&C) خود يا شماره موبايل ديگري ارسال مي كند. كه به اين معني است كه مجرمان سايبري نه تنها نام كاريري و كلمه عبور بانكي آنلاين قرباني را برمي دارند، بلكه علاوه بر آن رمزهاي session هاي بانكي آنلاين را نيز مي دزدند. به اين ترتيب كنترل كاملي روي حساب هاي كاربري قرباني خواهند داشت. آدرس سرورهاي DNS جعلي به شرح ذيل مي باشند:
   • 5.39.219.212
   • 193.169.244.73
   • 193.169.244.191
   • 93.171.202.99
   • 37.221.162.56
   • 78.108.179.81

شماره: IRCNE2014072264
تاريخ: 93/5/4

بانك مركزي اروپا روز پنجشنبه تصديق كرد كه يك نشت امنيتي منجر به سرقت اطلاعات شخصي شده است.
بانك مركزي اروپا اعلام كرد كه يك پايگاه داده متصل به وب‌سايت عمومي اين بانك مورد سوء استفاده قرار گرفته است كه در نتيجه، اطلاعات شخصي افرادي كه از طريق وب‌سايت اين ارگان اقدام به ثبت نام براي رويدادهاي اين بانك كرده بودند، به سرقت رفته است.
يك مجرم سايبري توانسته است به پايگاه داده‌اي كه جزئيات اطلاعات افراد ثبت نام كننده براي كنفرانس‌ها، ديدارها و ساير رويدادها را نگهداري مي‌كند، نفوذ نمايد. به گزارش بانك مركزي اروپا، هيچ‌يك از سيستم‌هاي داخلي يا داده‌هاي حساس مورد سوء استفاده قرار نگرفته‌اند. اما آدرس‌هاي ايميل، آدرس‌هاي فيزيكي و شماره‌هاي تلفن به سرقت رفته‌اند.
اين بانك اعلام كرد كه اغلب داده‌ها رمزگذاري شده بودند، ولي اطلاعات تماس ثبت نام كنندگان به‌صورت رمز شده نبوده است. در اين اتفاق تقريباً 20 هزار آدرس ايميل و تعداد كمتري شماره تلفن و آدرس فيزيكي لو رفته است. همچنين داده‌هاي بخش دانلودهاي اين وب‌سايت به صورت رمز شده به سرقت رفته است.
اين سرقت زماني مشخص شد كه يك فرد ناشناس در ايميلي براي بانك مركزي اروپا، در قبال داده‌ها درخواست پول كرد.
اين سازمان اكنون در حال تماس با افرادي است كه آدرس‌هاي ايميل يا ساير اطلاعات آنها احتمالاً مورد سوء استفاده قرار گرفته است. به عنوان يك اقدام احتياطي تمامي كلمات عبور سيستم تغيير يافته‌اند و پرسنل امنيتي اين بانك، آسيب‌پذيري مربوطه را پوشش داده‌اند.
پليس آلمان در جريان اين سرقت قرار گرفته و تحقيقات آغاز گشته است.

شماره: IRCNE2014072265
تاريخ: 93/5/4

اخيراً يك آسيب‌پذيري حياتي در يك پلاگين مشهور وردپرس كشف شده است كه به طور فعال توسط هكرها هدف قرار گرفته و تا كنون براي سوء استفاده از حدود 50 هزار سايت مورد استفاده قرار گرفته است.
اين نقص امنيتي در MailPoet Newsletters كه پيش‌تر تحت عنوان wysija-newsletters شناخته مي‌شد قرار دارد و در نسخه 2.6.7 اين پلاگين كه در روز اول جولاي عرضه شد، ترميم شده است. درصورتي‌كه اين نقص اصلاح نگردد، به مهاجمان اجازه مي‌دهد فايل‌هاي PHP دلخواه را بر روي وب‌سرور آپلود كرده و كنترل سايت را در اختيار بگيرند.
MailPoet Newsletters تا كنون تقريباً دو ميليون بار از مخزن پلاگين‌هاي وردپرس دانلود شده است.
چندين روز پيش محققاني از شركت امنيتي Sucuri، يك حمله خودكار را كشف كردند كه يك فايل PHP نفوذگر را به بسياري از سايت‌هاي وردپرس تزريق مي‌كرد. تحليل عميق‌تر نشان داد كه اين حمله، آسيب‌پذيري آپلود فايل MailPoet را كه در ابتداي ماه اصلاح شده بود مورد سوء استفاده قرار مي‌دهد.
به گفته محققان Sucuri، اين راه نفوذ بسيار خرابكار بوده و يك كاربر ادمين به نام 1001001 ايجاد مي‌كند. اين فايل همچنين يك كد backdoor را به تمامي فايل‌هاي تم و core تزريق مي‌كند. بزرگترين مسأله اين تزريق اين است كه اغلب فايل‌هاي مفيد و معتبر را بازنويسي مي‌كند و آنها را از بين مي‌برد كه بازيابي مجدد آنها بدون در اختيار داشتن نسخه پشتيبان، بسيار مشكل است.
اسكنر رايگان Sucuri، هر روزه چند هزار سايت را كه توسط اين حمله مورد سوء استفاده قرار گرفته‌اند شناسايي مي‌كند. Sucuri تخمين مي‌زند كه حدود 50 هزار سايت تا كنون آلوده شده باشند.
برخي سايت‌ها كه MailPoet را نصب نكرده‌اند يا حتي از وردپرس استفاده نمي‌كنند نيز مورد سوء استفاده قرار گرفته‌اند. چرا كه اين آلودگي از سايت‌هاي ديگر به آنها سرايت مي‌كند. اگر يك حساب ميزباني وب از يك سايت وردپرس آسيب‌پذير در برابر اين حمله ميزباني كند، فايل PHP نفوذگر كه از طريق اين وب‌سايت آپلود شده است مي‌تواند تمامي سايت‌هاي ميزباني شده در آن حساب ميزباني را آلوده نمايد.
در اغلب شركت‌هاي ميزباني وب، يك حساب نمي‌تواند به فايل‌هاي حساب ديگر دسترسي پيدا كند. بنابراين سرايت آلودگي به سايت‌هاي ميزباني شده در همان حساب محدود مي‌گردد. اما درصورتي‌كه سرور به درستي پيكربندي نشده باشد، آلودگي مي‌تواند به تمامي سايت‌ها و حساب‌هاي آن سرور سرايت نمايد.
اسكريپت تزريق مورد استفاده در حمله اوليه داراي نقصي بود كه فايل‌هاي معتبر سايت را تخريب مي‌كرد و منجر به خطاي واضح مي‌شد. اما اكنون ديگر اينطور نيست و مهاجمان كد را تصحيح كرده و نسخه‌هاي اخير اين بدافزار سايت را از كار نمي‌اندازند.
كاربران براي محافظت وب‌سايت‌هاي وردپرس خود در برابر اين آسيب‌پذيري بايد پلاگين MailPoet را به نسخه آخر آن يعني 2.6.9 به‌روز رساني نمايند. نسخه 2.6.8 كه روز 4 جولاي عرضه شده است يك مسأله امنيتي ديگر را نيز پوشش مي‌دهد.

شماره: IRCNE2014072266
تاريخ: 93/5/4

شركت امنيتي Hoax-Slayer در مورد يك ايميل سرقت هويت جديد كه كاربران LinkedIn را هدف قرار داده است هشدار داد. اين تهديد سعي مي‌كند دريافت كننده را با پيغامي مبني بر غيرفعال شدن حساب LinkedIn وي به علت عدم فعاليت، به كليك بر روي لينكي ترغيب كند.
اين ايميل سرقت هويت تصريح مي‌كند كه براي اينكه سرويس‌هاي آنلاين مربوط به LinkedIn شما دچار اختلال نگردند، بايد به حساب خود وارد شويد تا بدين وسيله اين آدرس ايميل را تأييد نماييد.
دريافت كنندگاني كه بر روي لينك داخل ايميل كليك مي‌كنند، به يك صفحه لاگين جعلي مشابه صفحه لاگين LinkedIn منتقل مي‌شوند كه براي اين طراحي شده است كه آدرس‌هاي ايميل و كلمات عبور كاربران را جمع‌آوري نمايد.
استفاده از عنوان «به روز رساني اطلاعات كاربري"، فريب مورد علاقه بسياري از مجرمان سايبري است. در مورد هر پيغام اينچنيني محتاط باشيد. درصورت دريافت چنين پيغامي، بر روي هيچ لينكي كليك نكنيد و فايل‌هاي پيوست آن ايميل را باز نكنيد.
كاربران LinkedIn بايد در مورد ايميل‌هايي كه ادعاي ارسال شدن از طرف اين شركت را دارند محتاط باشند. LinkedIn يك منبع غني از اطلاعات شخصي است كه مي‌تواند بعداً براي حملات مهندسي اجتماعي مورد سوء استفاده قرار گيرد.

شماره: IRCNE2014072259
تاريخ: 93/04/30

يك شركت امنيتي اظهار داشت كه يك مشكل بحراني طراحي در اكتيو دايركتوري مايكروسافت وجود دارد كه باعث مي شود مهاجم بتواند رمز عبور شبكه كاربر را تغيير دهد اما شركت مايكروسافت اين ادعا را رد كرد و اعلام كرد اين مساله قبلا شناسايي شده است و راه حل هاي برطرف كردن آن نيز موجود است.
محققان اين شركت بر روي پروتكلNTLM متمركز شده اند. پروتكل NTLM يك پروتكل تاييد هويت است كه تمامي نسخه هاي ويندوز پيش از ويندوز XP SP3 به طور پيش فرض از آن استفاده مي كنند و نسخه هاي جديد ويندوز نيز در تركيب با Kerberos با اين پروتكل سازگار است.
اين پروتكل نسبت به حملات دور زدن الگوريتم درهم ساز آسيب پذير است. در اين حملات مهاجم اعتبارنامه هاي ورودي را بدست مي آورد و با استفاده از محاسبات رياضي اين اعتبارنامه ها (الگوريتم درهم ساز) مي تواند به سرويس ها و رايانه هاي ديگر دسترسي يابد.
حملات دور زدن الگوريتم درهم ساز يك ضعف قديمي در سيستم هاي SSO مي باشد. سيستم عامل هاي ديگري كه از SSO استفاده مي نمايند نيز تحت تاثير اين حملات قرار دارند.
غيرفعال كردن SSO اين مشكل را برطرف مي كند اما مستلزم آن است كه كاربر شبكه براي دسترسي به هر سيستمي بايد هر بار رمز عبور خود را وارد نمايد.
اگرچه برخي شركت ها استفاده از پروتكل NTLM را محدود كرده اند اما مهاجم مي تواند كلاينت را مجبور نمايد تا با استفاده از يك پروتكل ضعيف مانند RC4-HMAC كه از درهم ساز NTLM استفاده مي كند، در اكتيو دايركتوري تاييد هويت شود. سپس درهم ساز NTLM توسط Kerberos پذيرفته مي شود و يك تيكت تاييد هويت تازه را منتشر مي كند.
شركت مايكروسافت پروتكل Kerberos را به منظور فرار از مشكلات امنيتي NTLM پياده سازي كرد اما اين پروتكل با RC4-HMAC كار مي كند كه اجازه سازگاري با سيستم هاي قديمي را مي دهد. شركت مايكروسافت اعلام كر د كه مشكلات مربوط به NTLM در گزارش فني سال 2012 تاييد شده است.
در ماه مي، شركت مايكروسافت اصلاحيه اي براي اين مشكل منتشر كرد. هم چنين اين شركت به سازمان ها توصيه كرد تا از كارت هاي هوشمند استفاده نمايند يا پشتيباني از Kerberos RC4-HMAC را بر روي تمامي كنترل كننده هاي دامنه غيرفعال نمايند. اما به نظر مي رسد كه اين راه حل يك راه حل عملياتي نيست.

شماره: IRCNE2014072260
تاريخ: 93/4/30

به گزارش كسپراسكاي، حملات سرقت هويت از داخل فيس‌بوك از نقطه اوج خود در سال 2013 پايين آمده‌اند، اما همچنان يك حمله از هر ده حمله از اين نوع را تشكيل مي‌دهند.
تحليل اخير اين شركت كه نمودارهاي مربوط به سه‌ماهه اول سال 2014 را بررسي كرده است نشان مي‌دهد كه حملات سرقت هويت از داخل فيس‌بوك كمتر از 11 درصد از كل حملات سرقت هويت را تشكيل مي‌دهد و اين سايت را پس از ياهو كه منبع اصلي اين حملات است قرار مي‌دهد. فيس‌بوك در سراسر سال 2013 به طور ميانگين منبع 22 درصد از حملات سرقت هويت بود كه اين ميزان در سال جاري به نصف رسيده است.
حجم حملات براي كاربراني كه از كسپراسكاي استفاده مي‌كنند حدود 20 هزار در روز است و به مدت يك هفته در اوايل سال 2014 اين ميزان به 120 هزار حمله در روز رسيده بود. اين ميزان در برابر تعداد 1.2 ميلياردي حساب‌هاي فيس‌يوك ناچيز به نظر مي‌آيد، اما اين عدد فقط مربوط به كاربراني است كه از محصولات كسپراسكاي استفاده مي‌كنند و عدد اصلي قطعاً بالاتر خواهد بود.
اغلب موارد سرقت هويت كه توسط كسپراسكاي مسدود شده‌اند در ايالات متحده اتفاق افتاده‌اند (حدود 7500 مورد در روز)، پس از آن با فاصله زياد آلمان و كانادا قرار دارند. البته بايد تعداد كاربران كسپراسكاي در هريك از اين كشورها و نيز ميزان محبوبيت فيس‌بوك در آنها نيز در نظر گرفته شود.
همچنين در كشورهاي مختلف تمايل كلي كاربران به باز كردن يك لينك مشكوك كم و زياد مي‌شود. به گزارش كسپراسكاي، در هندوستان حدوداً از هر 5 كاربر يك نفر لينك‌هاي سرقت هويت فيس‌بوك را دنبال مي‌كنند. اين تعداد در ايالات متحده از هر ده نفر يك نفر و در روسيه از هر صد نفر يك يا دو نفر است.

Number: IRCNE2014072259
Date: 2014-07-20

According to “techworld”, Microsoft's widely used software for brokering network access has a critical design flaw, an Israeli security firm said, but Microsoft contends the issue has been long-known and defenses are in place.
The company's research focuses on NTLM, an authentication protocol that Microsoft has been trying to phase out for years. All Windows versions older than Windows XP SP3 used NTLM as a default, and newer Windows versions are compatible with it in combination with its successor, Kerberos.
NTLM is vulnerable to a so-called "pass-the-hash" attack in which an attacker obtains the login credentials for a computer and can use the mathematical representation of those credentials -- called a hash -- to access other services or computers.
The pass-the-hash attack is a long-known weakness around single sign-on systems (SSO) since the hash must be stored somewhere on a system for some amount of time. Other operating systems that accommodate SSO are also affected by the threat.
Disabling SSO would solve the problem, but it would also mean that users on a network would have to repeatedly enter their password in order to access other systems, which is inconvenient.
Although some enterprises try to limit the use of the NTLM protocol in favor of Kerberos, an attacker can force a client to authenticate to Active Directory using a weaker encryption protocol, RC4-HMAC, that uses the NTLM hash. That NTLM hash is then accepted by Kerberos, which issues a fresh authentication ticket.
Microsoft implemented Kerberos in order to move away from some of NTLM's security issues, but Kerberos works with RC4-HMAC to allow for compatibility with older systems.
The company couldn't immediately be reached for comment, but it acknowledged weaknesses in NTLM in a 2012 technical paper.
In May, Microsoft released a patch which contained improvements that make it harder to steal NTLM hashes. The company has also suggested that organizations use smart cards or disable Kerberos RC4-HMAC support on all domain controllers, but it is possible that could break some functionality.

ID: IRCNE2014072260
Date: 2014-07-20

According to “TechWorld”, Phishing attacks from inside Facebook have fallen back from the historic peak of 2013 but still constitute 1 in 10 of all attacks of this type blocked by Kaspersky’s security software, the firm has reported.
The firm's latest analysis compares the figures for Q1 2014, which show blocks running at just under 11 percent, putting it behind the Yahoo, now the main source. That compares with the Facebook average of 22 percent of blocks for the whole of 2013, which means blocks have halved since last year.
The volume of attacks for users running Kaspersky was now around 20,000 per day, with a one-week surge in early 2014 reaching 120,000 per day. This sounds small next to the 1.2 billion Facebook accounts but this is only one security firm's measurement - anyone using another security product or nothing at all will obviously not show up.
As it happens, most blocks – up to 7,500 - happened in the US, followed distantly by Germany and Canada; Russia barely reached the 1,000 per day level although we should factor in the number of users Kaspersky has in each of these markets as well as Facebook’s relative popularity.
It is also the Case that users in some countries are more or less likely to follow a suspect link, triggering the protection. According to Kaspersky, around one in five users in India (as a percentage of its user base there) followed Facebook phishing links, compared to one in ten in the US and an extraordinarly low one or two in a hundred in Russia.

شماره: IRCNE2014072258
تاريخ: 93/04/29

يك آسيب پذيري جديد در پلاگين WPTouch وردپرس، پلاگين هاي دانلود شده فعال كه توسط ميليون ها كاربر وردپرس استفاده مي شود را تحت تاثير قرار مي دهد.
از ماه مي، شركت امنيتي Sucuri چندين حفره امنيتي جدي را در پلاگين هاي ورد پرس شناسايي كرده است. اگر شما كاربر وردپرس هستيد . از پلاگين ها آن استفاده مي كنيد، بهتر است در اسرع وقت آن ها را به روز رساني نماييد.
تمامي آسيب پذيري ها در نسخه هاي جديد هر پلاگين اصلاح شده اند. برخي از اين آسيب پذيري ها به مهاجم اجازه مي دهد تا از وب سايت شما به عنوان واسطي براي ارسال هرزنامه، ميزباني بدافزار و آلوده كردن وب سايت هاي ديگر استفاده نمايد.
به مديران شبكه توصيه مي شود تا پلاگين هاي وردپرس را به آخرين نسخه آن به روز رساني نمايند. آخرين نسخه پلاگين هاي آُسيب پذير عبارتند از: WPTouch نسخه 3.4.3،Disqus نسخه 2.77، All In One SEO Pack نسخه 2.2.1 و MailPoet Newsletters نسخه 2.6.9.
آخرين آسيب پذيري كشف شده در پلاگين WPTouch تلفن همراه، به مهاجمان اجازه مي دهد تا فايل هاي PHP مخرب را بدون نياز به حق دسترسي ادمين بر روي سرور هدف آپلود نمايند.
اين حفره امنيتي روز دوشنبه توسط شركت امنيتي Sucuri كشف شده است. محققان اظهار داشتند كه اين آسيب پذيري تنها نسخه هاي 3.x پلاگين WPtouch را تحت تاثير قرار مي دهد. ادمين هايي كه از نسخه هاي 2.x و 1.x اين پلاگين استفاده مي كنند، تحت تاثير قرار ندارند. هم چنين در صورتي مي توان از اين آسيب پذيري سوء استفاده كرد كه وب سايت شما به كاربران guest اجازه ثبت نام كردن بدهد.