شماره: IRCNE2014052203
تاريخ: 7/3/93

فروم آنلاين شركت آنتي‌ويروس Avast هك شده است كه در نتيجه آن، نام‌هاي كاربري، كلمات عبور درهم‌سازي شده و آدرس‌هاي ايميل اعضاي آن لو رفته است.
اين شركت كه به واسطه ابزارهاي رايگان آنتي‌ويروس خود شناخته مي‌شود، اين نشت داده‌ها را روز دوشنبه تأييد كرده است و تا زماني كه تحقيقات خود را در اين مورد انجام دهد، فروم مذكور را آفلاين كرده است.
Avast تأكيد كرده است كه در اين اتفاق، هيچ داده مالي لو نرفته است و كمتر از 0.2 درصد از 200 ميليون كاربر Avast تحت تأثير اين هك قرار گرفته‌اند.
مديرعامل Avast به كاربراني كه از اطلاعات يكسان براي دسترسي به سايت‌هاي ديگر نيز استفاده مي‌كنند توصيه كرده است كه هرچه سريع‌تر كلمات عبور خود را تغيير دهند.
به گفته وي زماني كه اين فروم به صورت آنلاين بازگردد، تمامي كاربران مجبور خواهند بود كلمات عبور خود را تغيير دهند و كلمات عبور قديمي ديگر كار نخواهد كرد.
اين شركت اظهار كرده است كه از مدت زمان غيرفعال بودن اين فروم براي انتقال آن به يك پلتفورم نرم‌افزاري ديگر و افزايش امنيت و كارايي آن استفاده خواهد كرد. اين فروم سال‌ها بر روي پلتفورم نرم‌افزاري شركتي ديگر ميزباني شده است و نحوه نفوذ مهاجم به فروم هنوز مشخص نيست.

شماره: IRCNE2014052202
تاريخ: 7/3/93

به نظر مي‌رسد كه يك تروجان جديد كه كاربران 450 موسسه مالي در سراسر دنيا را هدف قرار داده است، عملكرد و ويژگي‌هاي خود را مستقيماً از تروجان‌هاي بدنام زئوس و Carberp به ارث برده باشد.
اين تهديد جديد كه توسط محققان امنيتي شركت Trusteer (زيرمجموعه آي‌بي‌ام) Zberp نام گرفته است، ويژگي‌هاي متنوعي دارد. اين تروجان مي‌تواند اطلاعاتي شامل آدرس آي‌پي و نام را در مورد سيستم‌هاي آلوده جمع‌آوري كند، از صفحه نمايش تصوير تهيه كرده و براي يك سرور راه دور ارسال نمايد، اطلاعات اعتباري FTP و POP3، گواهينامه‌هاي SSL و اطلاعات وارد شده در فرم‌هاي وب را سرقت كند، سشن‌هاي مرورگر را سرقت نمايد و اقدام به قرار دادن محتواي جعلي در صفحات باز وب كند و با استفاده از پروتكل‌هاي VNC و RDP، ارتباط راه دور جعلي (remote desktop) برقرار نمايد.
محققان Trusteer اعتقاد دارند كه Zberp يك ويرايش از ZeusVM است. ZeusVM يك ويرايش اخير از تروجان زئوس است كه كد منبع آن در سال 2011 در فروم‌هاي زيرزميني لو رفته است. ZeusVM در ماه فوريه كشف شد و با نوجه به اينكه نويسندگان آن از پنهان‌نگاري (steganography) براي پنهان كردن داده‌هاي پيكربندي در درون تصاوير استفاده كرده‌اند، از ساير نسخه‌هاي زئوس متمايز مي‌گردد.
نويسندگان Zberp نيز از همين تكنيك استفاده كرده‌اند كه اين بدان معناست كه از كشف شدن توسط برنامه‌هاي ضدبدافزار جلوگيري مي‌كنند، چرا كه به‌روز رساني‌هاي پيكربندي را به شكل پنهان درون يك تصوير لوگوي اپل ارسال مي‌كنند. البته اين تهديد جديد از تكنيك‌هاي hook نيز براي كنترل مرورگر استفاده مي‌كند كه به نظر مي‌رسد اين ويژگي را از Carberp قرض گرفته باشد. Carberp نيز يك تروجان بانكي است كه كد منبع آن در سال گذشته لو رفت.
به گفته يكي از محققان Trusteer، پس از لو رفتن كد منبع Carberp به صورت عمومي انتظار مي‌رفت كه در زمان كوتاهي مجرمان سايبري اقدام به تركيب كد منبع زئوس با كد منبع Carberp نمايند و يك بدافزار جديد توليد كنند.
Zberp همچنين مشابه ZeusVM كليد رجيستري خود را در هنگام اجرا حذف مي‌كند و به محض اينكه شات‌داون شدن سيستم را تشخيص داد، آن را باز مي‌گرداند.
بنا بر گزارش Virus-Total، تروجان Zberp در ابتداي كشف از چشم اغلب نرم‌افزارهاي آنتي‌ويروس پنهان باقي مي‌ماند.

ID: IRCNE2014052204
Date: 2014-05-28

According to “ZDNet”, Security consulting firm Include Security has determined that Microsoft's Outlook.com app for Android provides weak security for user data.
Specifically, Include Security says that Outlook.com defaults to placing attachments in a folder on the SDCard which is readable on any other program with READ_EXTERNAL_STORAGE permission. Android 4.4 added the ability of apps to have private folders on the SDCard, but for users of earlier Android versions, these attachments are not secure.
Another claim relates to the Outlook.com "pincode" feature. The app allows the user to set a pincode, i.e., a password, which a user might reasonably assume encrypts the email. The pincode does not do this; all it does is control access to the app. The feature is not enabled by default.
When the user goes into the app's Settings menu to enable the pincode, the first message they encounter, illustrated below, says that the setting will "[p]rotect this application," which is a fair representation of what it does: the pincode controls user access to the app.
If users click the box to turn on the pincode they are brought to a second screen, included below, which asks them to set the pincode itself. This screen says that the setting will "protect your email," which it does not do, other than by controlling access to the program. If the phone has USB debugging enabled then anyone could access the SD card storage through the USB interface. If the user can open the phone and remove the SD card, then it's a lot easier still.
Include Security mentions up top that there are other apps with problems like this, and indeed we recently reported on how the mail app in iOS 7 does not encrypt attachments stored on the device. Apple is aware of that problem but has not announced a fix yet.

ID: IRCNE2014052203
Date: 2014-05-28

According to “ITPro”, The online forum of free anti-virus vendor Avast has been hacked, resulting in the usernames, hashed passwords and email addresses of its members being compromised.
The company, who is renowned for its free anti-virus tools, confirmed the breach in a blog post yesterday, and has taken the forum offline while it investigates the circumstances that led to the breach occurring.
No payment or financial data was lifted during the breach, Avast has confirmed, and less than 0.2 per cent of the 200 million people who use its anti-virus tools are thought to be affected.
In the post, Vince Steckler, CEO of Avast, urges users that use the same login details to access other sites to change them immediately.
“If you use the same password and user names to log into any other sites, please change those passwords,” the post states.
“Once our forum is back online, all users will be required to set new passwords as the compromised passwords will no longer work.”
The vendor said it plans to use the forum’s downtime to migrate it to a new location, as well as beef up its security and performance.
“We are now rebuilding the forum and moving it to a different software platform. When it returns, it will be faster and more secure,” the post reads.
“The forum for many years has been hosted on a third-party software platform and how the attacker breached the forum is not yet known. However, we do believe the attack just occurred and we detected essentially immediately.”

ID: IRCNE2014052202
Date: 2014-05-28

According to “ComputerWorld”, a new computer Trojan that targets users of 450 financial institutions from around the world appears to borrow functionality and features directly from the notorious Zeus and Carberp malware programs.
The new threat, dubbed Zberp by security researchers from IBM subsidiary Trusteer, has a wide range of features. It can gather information about infected computers including their IP addresses and names; take screen shots and upload them to a remote server; steal FTP and POP3 credentials, SSL certificates and information inputted into Web forms; hijack browsing sessions and insert rogue content into opened websites, and initiate rogue remote desktop connections using the VNC and RDP protocols.
The Trusteer researchers consider Zberp a variant of ZeusVM, a recent modification of the widely used Zeus Trojan program whose source code was leaked on underground forums in 2011. ZeusVM was discovered in February and stands out from other Zeus-based malware through its authors' use of steganography to hide configuration data inside images.
The Zberp authors use the same technique, which is meant to evade detection by anti-malware programs, to send configuration updates embedded in an image that depicts the Apple logo. However, the new threat also uses hooking techniques to control the browser that seem to have been borrowed from Carberp, another Trojan program designed for online banking fraud whose source was leaked last year.
"Since the source code of the Carberp Trojan was leaked to the public, we had a theory that it won't take cybercriminals too long to combine the Carberp source code with the Zeus code and create an evil monster," Trusteer researchers Martin Korman and Tal Darsan said last week in a blog post. "It was only a theory, but a few weeks ago we found samples of the 'Andromeda' botnet that were downloading the hybrid beast."
Zberp also uses some other techniques borrowed from ZeusVM to achieve persistence and evade detection, the researchers said. The malware program deletes its start-up registry key when running and adds it back when it detects a system shutdown.
"According to a Virus-Total scan, the Zberp Trojan was able to evade most anti-virus solutions when it was first detected," the Trusteer researchers said.

شماره: IRCNE2014052201
تاريخ: 5/3/93

به علت وقوع هكي كه منجر به افشايداده‌هاي شخصي كاربران eBay شامل نام، كلمه عبور رمز شده، آدرس، تاريخ تولد، شماره تلفن و آدرس ايميل شده است، نزديك به 150 ميليون كاربر سايت eBay بايد كلمه عبور خود را تغيير دهند. اين نشت داده‌ها حدود سه ماه پيش رخ داده است، اما هشدارهاي آن به تازگي منتشر شده است. در اين هك مهاجمان موفق شده‌اند به شبكه شركتي eBay دسترسي غيرمجاز پيدا كنند.
بنا بر اعلام eBay، مهاجمان از تعداد كمي از حساب‌هاي كاربري كارمندان در فاصله زماني اواخر فوريه تا اوايل مارس سوء استفاده كرده‌اند تا به اين شبكه دسترسي پيدا كنند. البته اين شركت اضافه كرد كه دو هفته پيش متوجه وفوع اين حادثه شده است.
بررسي‌هاي eBay نشان داده است كه اين حمله منجر به فعاليت غيرمجاز براي كاربران eBay نشده است. همچنين هيچ نشانه‌اي دال بر دسترسي غيرمجاز به اطلاعات مالي يا كارت اعتباري نيز مشاهده نشده است.
eBay تصريح كرده است كه در اين حادثه، PayPal مورد سوء استفاده قرار نگرفته است، چرا كه داده‌هاي PayPal به صورت جداگانه و بر روي شبكه امني نگهداري مي‌شوند.
به اين ترتيب eBay ضمن عذرخواهي از كاربران خود خواسته است كه كلمات عبور خود را تغيير دهند.
تحقيقات در مورد اين حادثه همچنان ادامه دارد.

شماره: IRCNE2014052200
تاريخ: 5/3/93

اپل در مورد يك نقص طراحي در iMessage هشدار داد كه زماني كه كاربران پيشين iOS از اكوسيستم خارج مي‌شوند و فراموش مي‌كنند iMessage را غيرفعال نمايند، از دريافت اس‌ام‌اس توسط آنها جلوگيري مي‌كند.
اين مشكل iMessage زماني ايجاد مي‌شود كه كاربران iOS به يك اكوسيستم ديگر (مانند سيستم عامل اندرويد گوگل) سوئيچ مي‌كنند و سرويس iMessage خود را خاموش نمي‌كنند. اين مسأله ريشه در قابليت iMessage براي ارسال پيام از طريق واي‌فاي و سرورهاي اپل به جاي ارسال اس‌ام‌اس از طريق معمول ارتباطات بي‌سيم دارد.اين كار هزينه‌هاي شبكه كاربران را كاهش مي‌دهد، اما درصورت باقي ماندن iMessage در مود عملكرد، از آنجاييكه همچنان اين شماره تلفن به عنوان يك شماره متصل به يك iPhone شناسايي مي‌شود، باعث ابهام در عملكرد سيستم مي‌گردد.
به اين ترتيب اس‌ام‌اس‌هاي ارسال شده براي اين كاربران هرگز دريافت نمي‌شوند و در ابر iMessage سرگردان باقي مي‌مانند.
اپل در اين مورد نوشت كه اخيراً يك مشكل سمت سرور iMessage را برطرف كرده است كه براي برخي كاربران مسأله‌ساز شده بود و در به‌روز رساني آتي نرم‌افزار نيز ترميمي عرضه خواهد كرد.

ID: IRCNE2014052201
Date: 2014-05-26

According to “ComputerWorld”, EBay is asking users to change their passwords after attackers gained unauthorized access to eBay's corporate network, compromising a database containing encrypted passwords and other personal data.
The attackers compromised a "small number of employee log-in credentials" between late February and early March to gain access to the network, the company said in a statement Wednesday, adding that it only discovered the attack about two weeks ago.
After conducting extensive tests, eBay found no evidence the attack resulted in unauthorized activity for eBay users. Likewise, no evidence of any unauthorized access to financial or credit card information, which is stored separately in encrypted formats, was found, it added.
Data of eBay subsidiary PayPal wasn't compromised, eBay said, adding that PayPal data is stored separately on a secure network.
The eBay database contained customer names, encrypted passwords, email addresses, physical addresses, phone numbers and dates of birth, but no financial or other confidential information, eBay said. There is no evidence of increased fraudulent account activity on eBay, it said.
Nevertheless it would be wise for users change their passwords, the company said. "Changing passwords is a best practice and will help enhance security for eBay users," eBay said, adding that it regrets any inconvenience or concern that the password reset may cause.
The company is working with law enforcement and leading security experts to investigate the matter, and said it is "applying the best forensics tools and practices to protect customers."

ID: IRCNE2014052200
Date: 2014-05-26

According to “ZDNet”, Apple has acknowledge an iMessage design flaw that prevents former iOS users from receiving SMS messages when they leave the ecosystem and forget to disable iMessage before doing so.
The iMessage problem is caused when iOS users switch over to a different ecosystem — such as Google's Android operating system — without turning the iMessage service off first. The problem stems from the ability of iMessage to send messages via Wi-Fi and Apple servers rather than as a standard SMS sent via a wireless carrier. It saves users network costs but causes the bug due to confusing miscommunication in the software if iMessage is left operational and a phone number is still recognized as linked to an iPhone.
Texts to these users from other devices are therefore never delivered, and are left floating in the iMessage cloud instead, as the iMessage protocol is still used for numbers no longer linked to an iPhone.
In a statement to Re/code, the iPad and iPhone maker commented:
We recently fixed a server-side iMessage bug which was causing an issue for some users, and we have an additional bug fix in a future software update. For users still experiencing an issue, please contact AppleCare.

شماره: IRCNE2014052199
تاريخ: 3/3/93

حملات هدفمند از چندين مرحله تشكيل مي‌شوند كه به زنجيره قتل APT شناخته مي‌شوند. مهاجمان به عنوان بخشي از فاز مسلح كردن خود، اغلب Payloadي را در يك فايل قرار مي‌دهند كه زماني كه نصب مي‌گردد، در فاز دستور و كنترل (C2) به مهاجم متصل مي‌شود. يك payload بسيار معمول مورد استفاده بسياري از بدافزارهاي سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كليد (keylogger) است. هدف از ثبت ضربات صفحه كليد اين است كه ضربات صفحه كليد كاربر ضبط شود و اطلاعات اعتباري وي و لينك‌ها به منابع داخلي و خارجي جمع‌آوري گردد.
اخيراً بدافزار مارمولك كه يك نرم افزار ايراني ثبت ضربات صفحه كليد است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D91 شناسايي شده است.
نخستين ظهور اين keylogger به يك فروم در خاورميانه باز مي‌گردد. اگرچه ممكن است برخي keylogger ها ضربات صفحه كليد را براي مقاصد قانوني ثبت نمايند، اما اين نرم‌افزار قربانيان خود را با يك payload پنهان گمراه مي‌سازد. به نظر مي‌رسد كه توليد كننده اين بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به ساير اعضاي اين فروم را داشته است كه اين كار تكنيكي مرسوم است.
نويسندگان بدافزارها اغلب براي جلوگيري از شناسايي شدن، از ابزارهاي ارزان و ساده‌اي استفاده مي‌كنند كه بدافزار را با يك برنامه runtime فشرده سازي يا رمزگذاري، تغيير مي‌دهد. البته در اين مورد خاص، فايل‌هاي مرتبط توسط يك نسخه تغيير يافته از ابزار مشهور UPX پنهان شده‌اند.
اين فايل در هنگام اجرا يك كپي از خود با نام Mcsng.sys در فولدر Sysytem32 ايجاد مي‌كند. اين بدافزار همچنين پروسه‌اي را اجرا مي‌كند كه فايل 1stmp.sys را در فولدر system32\config جايگذاري كرده و مي‌نويسد.
اگرچه پسوند اين فايل .sys (فايل سيستمي) است، اما در حقيقت اين فايل سيستمي نيست. هدف اين فايل اين است كه به عنوان يك فايل لاگ عمل كند كه محتوي ضربات صفحه كليد كاربر است كه به صورت رمز شده ذخيره شده‌اند. هربار كه يك كليد فشرده مي‌شود، اين پروسه ضربات صفحه كليد را ثبت مي‌كند، آن را رمز كرده و به 1stmp.sys اضافه مي‌كند.
اگرچه الگوريتم رمزگذاري مورد استفاده براي اين كار ساده است، ولي از رمزگذاري انتخابي با دو تكنيك استفاده مي‌كند: هر بايت درصورتي‌كه فرد باشد با استفاده از تكنيك 1 رمز مي‌شود و درصورتي‌كه زوج باشد، با استفاده از تكنيك 2 رمزگذاري مي‌گردد.
پس از رمزگشايي نه تنها ضربات صفحه كليد قابل مشاهده هستند، بلكه اطلاعات زماني ثبت اين اطلاعات نيز قابل مشاهده است. پس از ثبت و رمز گذاري ضربات صفحه كليد، اين بدافزار اين اطلاعات را براي نويسنده خود ايميل مي‌كند. اين بدافزار همچنين نام كامپيوتر و نام كاربر را نيز براي سازنده خود مي‌فرستد. لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال مي‌گردد كه بر روي دامنه‌اي ميزباني مي‌شود كه به ميزباني بدافزارها مشهور است.
مك‌آفي اين تروجان keylogger و نسخه‌هاي مختلف آن را با عنوان Keylog-FAG مي‌شناسد. براي جلوگيري از آلوده شدن توسط انواع keylogger ها، بايد آنتي‌ويروس خود را به‌روز نگه داريد و از منابع نامطمئن دانلود نكنيد.