Number: IRCNE2014062220
Date: 2014-06-16

According to “techworld”, security researchers said they've spotted a new type of banking malware that rivals the capabilities of the infamous Zeus malware.
The malware, which is being called "Dyreza" or "Dyre," uses a man-in-the-middle attack that lets the hackers intercept unencrypted web traffic while users mistakenly think they have a secure connection with their online banking site.
Although Dyreza has similarities with Zeus, "we believe this is a new banker trojan family and not yet another offspring from the Zeus source code," according to a writeup by CSIS, a Danish security company.
During an attack by Dyreza, a user thinks their authentication credentials are going to a legitimate bank, but the malware actually redirects the traffic to their own servers, wroteRonnie Tokazowski, a senior researcher at PhishMe, another security company that has studied the attack. Users mistakenly think they have connected over SSL to their bank's server.
The malware is being distributed through spam messages. To help evade URL scanners that might block messages with known suspicious domains, the attackers have been hosting the malware on legitimate domains.
It appears the attackers have also set up other infrastructure to facilitate the transfer of money from victims' accounts.

Number: IRCNE2014062219
Date: 2014-06-16

According to “techworld”, some of the Internet's most visited websites that encrypt data with the SSL protocol are still susceptible to a recently announced vulnerability that could allow attackers to intercept and decrypt connections.
On June 5, developers of the widely used OpenSSL crypto library released emergency security patches to address several vulnerabilities, including one tracked as CVE-2014-0224 that could allow attackers to spy on encrypted connections if certain conditions are met.
OpenSSL is the most popular cryptographic library for implementing SSL/TLS support on Web servers.
In order to exploit CVE-2014-0224 to decrypt and modify SSL traffic, attackers would need to have a "man-in-the-middle" position between a client and a server that both use OpenSSL. Furthermore, the server would need to run an OpenSSL version from the 1.0.1 branch.
According to scans performed Thursday by Ivan Ristic, who runs the SSL Labs at security vendor Qualys, about 14 percent of sites monitored by the SSL Pulse project run a version of OpenSSL that allows exploiting the CVE-2014-0224 flaw.
The SSL Pulse project monitors the strength of SSL implementations on HTTPS-enabled sites from the list of top 1 million most visited sites as published by Internet statistics firm Alexa -- 154,406 sites as of June 2nd.
An additional 36 percent of websites from the SSL Pule data set run OpenSSL versions from the 0.9.x or 1.0.0 branches that also contain the flaw.
Those servers should be upgraded too because it's possible that there are other yet-to-be-discovered ways to exploit the problem, Ristic said in a blog post Friday.
"The good news is that most browsers don't rely on OpenSSL, which means that most browser users won't be affected," Ristic said. "However, Android browsers do use OpenSSL and are vulnerable to this attack. Additionally, many command-line and similar programmatic tools use OpenSSL.

شماره: IRCNE2014062209
تاريخ:17/03/93

بدافزار گروگان گير جديدي توسط محققان ESET كشف شده است كه قادر است فايل هاي ذخيره شده بر روي كارت حافظه SD دستگاه هاي اندرويد را رمزگذاري نمايد.
اين تهديد جديد با عنوان Android/Simplock.A شناسايي شده است. اين اولين گروگان گيري نيست كه براي دستگاه هاي اندرويد كشف مي شود اما اولين بدافزار گروگان گيري است كه مي تواند با رمزگذاري فايل ها، آن ها را به عنوان گروگان نگه دارد.
بدافزار Android/Simplock.A كارت SD را به منظور يافتنن فايل با هر پسوندي از تصوير، سند يا ويدئو از قبيل jpeg، jpg، gif، pdf ، doc، txt، avi،mkv ، 3gp ، mp4 اسكن مي كند و پس از يافتن فايل ها با استفاده از روش AES آن ها را رمزگذاري مي كند. اين بدافزار سپس پيامي را به زبان روسي مبني بر پرداخت 21.40 دلار از طريق سرويس MoneXy براي قرباني ارسال مي كند.
استفاده از رمزگذاري براي گروگان نگه داشتن فايل ها روشي است كه توسط نيوسندگان بدافزار Cryptolocker ايجاد شده است. Cryptolocker يك برنامه گروگان گير ويندوز است كه بيش از 250000 رايانه را در سه ماهه آخر سال 2013 آلوده كرد.
تهديد جديد در قالب يك برنامه با عنوان "Sex xionix" ظاهر مي شود اما اين برنامه در گوگل پلي وجود ندارد در نتيجه احتمال توزيع آن بسيار كم است. مساله جالب ديگر در رابطه با اين بدافزار آن است كه اين بدافزار از يك آدرس دامنه C&C با پسوند .onion استفاده مي كند. دامنه .onion تنها در درون شبكه Tor براي دسترسي به خدمات پنهان استفاده مي شود.

خبر تكميلي:
با وجود آنكه در اين نرم افزار مخرب، كدهاي مربوط به رمزگشايي فايل‌ها مشاهده مي شود اما گروه امنيتي ESET اعلام كرده‌اند كه هيچگونه تضميني وجود ندارد تا كلاه برداران كد رمزگشايي را براي قرباني ارسال كنند و به كاربران توصيه مي‌كند تا از تمامي فايل‌هاي گوشي خودbackup برداشته و از به روزرساني برنامه‌هاي غيرقابل اطمينان جلوگيري كنند.
براي محافظت از اين بدافزار، به روز رساني آنتي ويروس هاي مربوط به سيستم عامل اندرويد پيشنهاد مي گردد. اين نرم افزارهاي امنيتي قادر به شناسايي اين بدافزار بوده و سيستم را در مقابل اين حملات ايمن مي سازند.‎

شماره: IRCNE2014062217
تاريخ:24/03/93

محققان شركت امنيتي ترند ميكرو اطلاعاتي جديدي در خصوص بدافزار بانكي BKDR_VAWTRAK كشف كردند. آن ها دريافتند اين بدافزار براي محدود كردن حق دسترسي هاي نرم افزار امنيتي از خط مشي محدود ساختن نرم افزار ويندوز (SRP) استفاده مي كند.

ويژگي SRP براي اولين بار در ويندزو XP و سرور 2003 معرفي شد و عموما از طريق خط مشي گروهي مديريت مي شود. اين ويژگي به مديران شبكه اجازه مي دهد تا برنامه ها ي اجرايي را در فرهست سفيد و سياه قرار دهند و يا آن ها را براي اجرا با حق دسترسي هاي خاص محدود نمايند.

اين براي اولين بار نيست كه ويژگي SRP توسط بدافزار ها مورد استفاده قرار مي گيرد. شركت ترند ميكرو فهرستي از 53 محصول و شركت را گردآوري كرده است كه شامل بدافزارهايي هستند كه از ويژگي SRP سوء استفاده مي كنند.

شماره: IRCNE2014062218
تاريخ: 93/03/24

آسيب پذيري ديگري مربوط به OpenSSl كشف شده است كه به مهاجم اجازه مي دهد ترافيك رمز شده SSl/TLS ميان كلاينت و سرور را تغيير دهد و يا رمزگشايي نمايد. به منظور اجراي حمله موفق، در صورتيكه كلاينت و سرور آسيب پذير به اين نوع از نقطه ضعف باشند، مهاجم نيازمند شنود ارتباط ميان كلاينت هدف و سرور (MITM) مي باشد. اين آسيب پذيري با كد CVE-2014-0224 در نسخه هاي Openssl1.0.1 و جديدتر و 1.0.2-beta1 شناخته شده است.
به دليل ضعف در الگوريتم رمزنگاري Openssl و با سو استفاده از آسيب پذيري شناسايي شده در ارتباط handshake ميان كلاينت و سرور و الزام آنها به استفاده از كليد رمز قابل حدس (CWE-325)، مي توان حمله توقف در سرويس دهي را به دليل امكان ارسال متناوب پيام هاي CCS (ChangeCipherSpec) در ارتباط SSl/TLS اجرا نمود.

نسخه هاي آسيب پذير:

• تمامي كلاينت هايي كه از تمامي نسخه هاي OpenSSl استفاده مي نمايند.
• آسيب پذيري مذكور در نسخه هاي 1.0.1 و يا جديدتر و 1.0.2-beta1 شناسايي شده است.
• مرورگرهاي مطرح همچون Chrome، Firefox، IE و Safari در خطر نبوده ولي نسخه اي از مرورگرها مانند Chrome بر روي Android كه از OpenSSL استفاده مي نمايند آسيب پذير مي باشند.

رفع آسيب پذيري:
به منظور رفع آسيب پذيري شرح داده شده در اين گزارش، مي بايست سريعا از به روز رساني هاي ارايه شده بر روي وب سايت Openssl استفاده نمود:

• · ارتقا به نسخه هاي 0.9.8za ، 1.0.0m و 1.0.1h

شماره: IRCNE2014062216
تاريخ: 24/03/93

يك حفره جديد دور زدن صفحه كليد براي iOS 7 كشف شد كه هر كسي اجازه مي دهد تا صفحه پيش فرض تاييد هويت را دور زده و ظرف چند ثانيه به گوشي قفل شده دسترسي يابد.

با استفاده از اين روش، هر كسي مي تواند به برنامه هايي كه قبل از قفل شدن گوشي در پس زمينه در حال اجرا بودند دسترسي يابد.

امنيت قفل صفحه كليد در دستگاه هاي اپل پيش از اين نيز مورد انتقاد قرار گرفته است. در iOS 6 نيز مشكل مشابهي وجود داشت كه به هكرها اجازه مي داد تا با يك كد ساده، قفل صفحه كليد را دور بزنند.

شدت و جديت اين نشت امنيتي بالقوه به برنامه كاربردي كه پيش از قفل شدن گوشي در حال اجرا بوده است بستگي دارد و ممكن است هر يك از رمزهاي عبور، اطلاعات مالي و اطلاعات شخصي نيز در معرض خطر قرار داشته باشد.

براي مقابله با اين حفره قبل از اصلاح آن توسط شركت سازنده، توصيه مي شود تا كاربران دسترسي به Control Centre را براي قفل صفحه كليد غيرفعال نمايند.

Number: IRCNE2014062217
Date: 2014-06-14

According to “zdnet”, Trend Micro researchers have written about a twist in the BKDR_VAWTRAK banking malware in Japan. It is using Windows Software Restriction Policies (SRP) to restrict the privileges of security software, including Trend's.

SRP is a feature that was introduced in Windows XP and Windows Server 2003 and is generally administered through Group Policy. It is designed to allow administrators to blacklist and whitelist specific executable programs, or to restrict them to unprivileged (standard user) execution.

This is not the first time SRP has been used by malware, but Trend Micro says that the prominence of VAWTRAK attacks makes it more significant.

Trend Micro lists 53 products and companies for which the malware looks on the infected system. If it finds any, it creates an SRP for that program.

Number: IRCNE2014062216
Date: 2014-06-14

According to “itpro”, a new lock screen bypass for iOS 7 has been discovered, allowing anyone to sidestep the default authentification screen and access locked phones in just a few seconds.

By using this bypass, anyone can access apps running in the foreground before the device was locked but will not be granted full access to the device.

The security of the lock screen on Apple devices has been questioned before, with iOS 6 sporting a similar bug that allowed hackers to bypass the lock-screen with a simple code.

The severity of the potential security breach depends very much on the nature of the app that has been most recently opened, with passwords, financial details and personal information quite possibly at risk.

To defend against a breach before the problem is fixed, concerned users can disable Control Centre access for the lock-screen.

شماره: IRCNE2014062215
تاريخ:21/03/93

روز سه شنبه شركت مايكروسافت 7 بولتن امنيتي و به روز رساني را به منظور برطرف كردن 66 آسيب پذيري منتشر كرد.

در مجموع، 59 آسيب پذيري در يك به روز رساني برطرف شده اند كه همگي مربوط به IE بودند. اين آسيب پذيري و يك آسيب پذيري ديگر كه ويندوز و آفيس را تحت تاثير قرار مي دهد در رده امنيتي بحراني قرار دارند. بكي از آسيب پذيري هاي IE به طور عمومي افشاء شده است.

به روز رساني هاي ديگر، آسيب پذيري هايي را برطرف مي كنند كه در رده امنيتي مهم قرار دارند. هر به روز رساني، يك آسيب پذيري را برطرف مي نمايد.

هم چنين شركت مايكروسافت تعدادي به روز رساني هاي غيرامنيتي را منتشر كرده است. بيشتر اين به روز رساني ها مربوط به ويندوز 8، تعداد كمي از آن ها مربوط به ويندوز RT و سرور 2012 و دو به روز رساني مربوط به ويندوز 7 و سرور R2 2008 مي باشد.

هم چنين نسخه جديد ابزار Microsoft Malicious Software Removal منتشر شده است كه با اعمال به روز رساني هاي ويندوز به طور خودكار به روز رساني مي شود. شناسايي و حذف روت كيت Win32/Necurs به پايگاه داده نسخه جديد اين ابزار اضافه شده است.

شماره: IRCNE2014062214
تاريخ: 21/3/93

ادوب يك به‌روز رساني براي فلش پلير براي سيستم‌هاي ويندوز، مك، لينوكس و اندرويد عرضه كرده است.
نقايص امنيتي مربوط به اين به‌روز رساني بر روي نسخه‌هاي 13.0.0.214 و پيش از آن براي سيستم‌هاي ويندوز و مكينتاش و نسخه‌هاي 11.2.202.359 و پيش از آن براي سيستم‌هاي لينوكس تأثير مي‌گذارند. نسخه جديد لينوكس 11.2.202.378 است.
نرم‌افزارهاي Adobe AIR و AIR SDK نيز به‌روز رساني شده‌اند.
راهنمايي امنيتي ادوب توضيح خاصي در مورد ماهيت اين آسيب‌پذيري‌ها بيان نكرده است، به جز اينكه به مهاجم اجازه مي‌دهند كه كنترل سيستم‌هاي تحت تأثير را در دست بگيرد.
كاربران ويندوز، مك و لينوكس مي‌توانند به‌روز رساني مربوطه را از طريق وب‌سايت ادوب دريافت نمايند. كاربران گوگل كروم در تمامي پلت‌فرم‌ها كه از فلش embedded داخل مرورگر خود استفاده مي‌كنند نيز به‌روز رساني خود را به عنوان بخشي از به‌روز رساني كروم دريافت خواهند كرد.
كاربران ويندوز 8.x و RT نيز به‌روز رساني‌هاي فلش پلير embedded در مرورگر IE خود را از طريق به‌روز رساني ويندوز مايكروسافت دريافت خواهند كرد.