كمپين جديد سوء استفاده از آسيب‌پذيری فلش پلير

تاریخ ایجاد

شماره: IRCNE2014052206
تاريخ: 10/3/93

به گزارش سايمانتك، مجرمان سايبري در حال استفاده از يك آسيب‌پذيري در ادوب فلش پلير براي حملاتي گسترده عليه كاربران وب به خصوص در ژاپن هستند تا اطلاعات بانكي آنها را جمع‌آوري نمايند.
روزهاي دوشنبه و سه‌شنبه هفته گذشته سايمانتك بيش از 14000 حمله عليه كاربران ژاپني وب كشف كرد كه از اين نقص امنيتي استفاده مي‌كردند. اگرچه اين حملات در جاهاي ديگر نيز شناسايي شده‌اند، اما 94 درصد از مشاهدات سايمانتك در ژاپن بوده است.
اين مسأله كه چرا كاربران ژاپني بيشتر هدف اين حملات قرار گرفته‌اند هنوز مشخص نيست. به گفته سايمانتك، كد سوء استفاده كننده از اين آسيب‌پذيري فلش در وب‌سايت‌هاي معتبري كه هك شده‌اند از جمله يك آژانس مسافرتي، يك سرويس بلاگ و يك سرويس اشتراك ويدئو قرار گرفته است. سپس اين وب‌سايت‌ها ترافيك را به يك سايت خرابكار هدايت مي‌كنند.
ادوب اين آسيب‌پذيري را كه توسط يكي از محققان كسپراسكي در اواسط ماه آوريل كشف شده بود، در روز 28 آوريل اصلاح كرد.
صدها ميليون كامپيوتر در سراسر جهان از فلش استفاده مي‌كنند. ادوب سعي كرده است با هشدار دادن به كاربران خود در هنگام عرضه به‌روز رساني‌ها، كار اعمال اصلاحيه‌ها را ساده‌تر نمايد. ولي هنوز هم كاربران بايد اصلاحيه‌ها را دانلود كنند، مرورگر خود را ببندند و به‌روز رساني را اعمال نمايند. مهاجمان اميدوارند كه كاربران خود را براي انجام اين كارها اذيت نكنند!
به گفته سايمانتك، كامپيوترهايي كه اصلاحيه مربوطه را اعمال نكرده باشند و در اين دام بيفتند، تروجان سارق اطلاعات Bankeiya.B را دريافت مي‌كنند كه نرم‌افزار خرابكاري است كه بر روي سيستم عامل‌هاي ويندوز XP، ويستا و 7 اجرا مي‌گردد. اين بدافزار اطلاعات آنلاين بانكي را از مرورگرهاي كروم، فايرفاكس و IE جمع‌آوري مي‌كند.
همچنين اين بدافزار قادر است خود را به‌روز رساني نمايد و فعاليت‌هاي خرابكارانه بيشتري انجام دهد.

برچسب‌ها

فهرست بولتن‌هاي امنيتی مايكروسافت

تاریخ ایجاد

شماره: IRCNE2014052205
تاريخ: 10/3/93

مايكروسافت اقدام به ارائه يك سرويس جديد براي افراد و سازمان‌هاي كوچك كرده است كه كاربران را نسبت به اعمال به‌روز رساني‌هاي نرم‌افزاري ياري مي‌دهد.
myBulletins صفحه‌اي در سايت Technet مايكروسافت براي متخصصان فناوري اطلاعات است كه فهرستي از بولتن‌هاي امنيتي مربوط به محصولات انتخاب شده توسط كاربر را نگهداري مي‌كند. اين صفحه شامل تمامي ملزومات هر بولتن امنيتي از جمله تاريخ ارسال، ID، نام محصول، تأثيرگذاري (نوع آسيب‌پذيري از جمله افشاي اطلاعات، اجراي كد از راه دور و غيره)، درجه اهميت و نياز به‌روز رساني به راه اندازي مجدد سيستم را بيان مي‌كند.
اطلاعات مربوط به درجه اهميت و نياز به راه‌اندازي مجدد سيستم پيش از اين نيز در بولتن‌هاي امنيتي و حتي در پيش‌آگهي‌هاي سه‌شنبه اصلاحيه بيان مي‌شدند تا سازما‌هاي بزرگ بتوانند به‌روز رساني‌ها را اولويت‌بندي كرده و در مورد زمان غيرفعال بودن سيستم‌هاي خود تصميم‌گيري نمايند.
مايكروسافت مي‌گويد كه myBulletind يك سرويس آنلاين بسيار مفيد براي مديران سيستم‌ها در سازمان‌هاي كوچك و متوسط است. ولي در سازمان‌هاي بزرگتر، WSUS مفيدتر است.
myBulletins فقط همان چيزي را مي‌داند كه كاربر به وي گفته باشد، اين ابزار چيزي را از سيستم‌هاي كاربر تشخيص نمي‌دهد و راهي براي بررسي اينكه كدام به‌روز رساني‌ها اعمال شده‌اند ندارد. كاربر مي‌تواند محتويات فهرست بولتن‌ها را در يك صفحه اكسل دانلود نمايد و برخي عمليات مديريتي را آنجا انجام دهد. صفحه دانلود شده شامل اطلاعاتي بيشتر از صفحه myBulletins از جمله لينك‌هاي مقاله مبتني بر دانش، شماره‌هاي CVE، و بولتن‌هاي قبلي مرتبط با اين بولتن است.
جالب توجه است كه بسياري محصولات كه سال‌هاست پشتيباني نمي‌شوند در اين فهرست ديده مي‌شوند كه كاربر مي‌تواند آنها را انتخاب نمايد. از اين جمله مي‌توان به Office XP، IE5 و SQL Server 2000 اشاره كرد.

برچسب‌ها

Massive Flash exploit campaign directed at Japan seeks financial data

تاریخ ایجاد

ID: IRCNE2014052206
Date: 2014-05-31

According to “ComputerWorld”, An Adobe Flash player vulnerability is being used in attacks on a massive scale against Web users, mostly in Japan, to collect online banking details, according to new research from Symantec.
On Monday and Tuesday, Symantec detected more than 14,000 attacks against Japanese Web users using the flaw, wrote Joji Hamada on the company's blog. Although attacks have been detected elsewhere, 94 percent of those Symantec has seen were directed at Japan.
Why Japanese users seem to be targeted the most is unclear. Hamada wrote that the attack code exploiting the Flash vulnerability has been planted on legitimate websites that have been hacked, including a travel agency, a blog service and a video-sharing service.
"The attacks are typically carried out through drive-by download and leverage compromised legitimate websites to host malicious code," he wrote. "The websites then redirect traffic to a malicious site prepared by the attacker."
Adobe patched the vulnerability (CVE-2014-0515) on April 28, which was detected by a Kaspersky Lab researcher in mid-April after it was being used in attacks.
Hundreds of millions of computers run Flash worldwide. Adobe has tried to make patching easier for its users by prompting them to update the program when it releases updates. But users must still download the patch, close their browser and apply the update. Attackers are hoping people don't bother and dismiss the prompt.
Hamada wrote unpatched computers that fall into the trap are delivered Infostealer.Bankeiya.B, which is malicious software that runs on Windows XP, Vista and 7 operating systems. It collects online banking credentials by monitoring activity in Chrome, Firefox and Internet Explorer.
"The malware can also update itself, enabling it to target more banks and add more capabilities in order to perform additional malicious actions," he wrote.

برچسب‌ها

New Microsoft service lists security bulletins for your software

تاریخ ایجاد

ID: IRCNE2014052205
Date: 2014-05-31

According to “ZDNet”, Fighting the long battle to get users to apply software updates promptly, Microsoft has launched a new service for individuals and smaller organizations that may help.
myBulletins is a page on Microsoft's Technet site for IT professionals that holds a list of security bulletins which apply to products the user has selected. The page includes all the essentials of each security bulletin: the date posted, ID, product name, impact (type of vulnerability, e.g. information disclosure, remote code execution, etc.), severity level and whether the update requires a reboot.
The information on severity and reboots have long been included in bulletins, even in the Patch Tuesday advance notification, to help large organizations prioritize updates and plan for downtime from them.
Microsoft says that myBulletins "...is a very useful online service for administrators in enterprise or small and medium sized business environments." But in a larger organization, any with a Windows domain at least, Microsoft's WSUS (Windows Server Update Services) or a third party patch management system would do all of what myBulletins does and much more.
myBulletins only knows what the user tells it; it detects nothing from the user's systems and provides no way to keep track of which updates have been applied. The user can download the contents of the bulletin list to an Excel spreadsheet and perform some management functions there. The downloaded spreadsheet includes much more information than the myBulletins page, including Knowledge Base article links, CVE numbers (vulnerability identifiers), and whether any earlier bulletins were superceded by this new one.
We were surprised to see many products on the list from which users could choose which haven't been supported for many years, among them Office XP, Internet Explorer 5 and SQL Server 2000.

برچسب‌ها

Outlook داده‌های كاربران اندرويد را در معرض خطر قرار می‌دهد

تاریخ ایجاد

شماره: IRCNE2014052204
تاريخ: 7/3/93

شركت مشاوره امنيتي Include Security ادعا كرده است كه برنامه Outlook مايكروسافت براي اندرويد، امنيت ضعيفي را براي داده‌هاي كاربر فراهم مي‌آورد.
به طور خاص Include Security مي‌گويد كه پيش‌فرض Outlook اين است كه پيوست‌ها را در يك فولدر بر روي SDCard قرار دهد كه توسط هر برنامه ديگري با مجوز READ_EXTERNAL_STORAGE قابل خواندن است. اندرويد 4.4 اين قابليت را اضافه كرده است كه برنامه‌ها بتوانند فولدرهاي محرمانه بر روي SDCard داشته باشند، ولي براي كاربران نسخه‌هاي قديمي‌تر اندرويد، اين پيوست‌ها امن نيستند.
ادعاي ديگر مربوط به ويژگي pincode است. اين برنامه به كاربر اجازه مي‌دهد كه يك pincode را تنظيم نمايد كه ممكن است كاربر تصور كند كه ايميل را رمز مي‌كند. اما اين pincode اين كار را انجام نمي‌دهد، بلكه صرفاً دسترسي به اين برنامه را كنترل مي‌كند. اين ويژگي به‌طور پيش‌فرض فعال نيست.
دليل اين تصور اشتباه كاربر اين است كه زماني كه كاربر به منوي Settings برنامه مي‌رود تا اين pincode را فعال كند، اولين پيغامي كه با آن روبرو مي‌شود اين است كه «اين برنامه را با يك كلمه عبور محافظت نماييد». اما درصورتيكه كاربر بر روي اين بخش كليك كند تا pincode را فعال نمايد، در صفحه دوم با پيغامي مواجه مي‌شود با اين مضمون كه اين pincode از ايميل شما محافظت خواهد كرد.
البته Include Security تأكيد كرده است كه برنامه‌هاي ديگري نيز با اين مشكلات وجود دارند و اخيراً نيز در مورد اينكه برنامه ايميل iOS 7، پيوست‌هاي ذخيره شده بر روي گوشي را رمز نمي‌كند گزارشي منتشر كرده است. البته اپل از اين مسأله آگاه است و هنوز آن را حل نكرده است.

برچسب‌ها

هك شدن فروم آنتی‌ويروس Avast

تاریخ ایجاد

شماره: IRCNE2014052203
تاريخ: 7/3/93

فروم آنلاين شركت آنتي‌ويروس Avast هك شده است كه در نتيجه آن، نام‌هاي كاربري، كلمات عبور درهم‌سازي شده و آدرس‌هاي ايميل اعضاي آن لو رفته است.
اين شركت كه به واسطه ابزارهاي رايگان آنتي‌ويروس خود شناخته مي‌شود، اين نشت داده‌ها را روز دوشنبه تأييد كرده است و تا زماني كه تحقيقات خود را در اين مورد انجام دهد، فروم مذكور را آفلاين كرده است.
Avast تأكيد كرده است كه در اين اتفاق، هيچ داده مالي لو نرفته است و كمتر از 0.2 درصد از 200 ميليون كاربر Avast تحت تأثير اين هك قرار گرفته‌اند.
مديرعامل Avast به كاربراني كه از اطلاعات يكسان براي دسترسي به سايت‌هاي ديگر نيز استفاده مي‌كنند توصيه كرده است كه هرچه سريع‌تر كلمات عبور خود را تغيير دهند.
به گفته وي زماني كه اين فروم به صورت آنلاين بازگردد، تمامي كاربران مجبور خواهند بود كلمات عبور خود را تغيير دهند و كلمات عبور قديمي ديگر كار نخواهد كرد.
اين شركت اظهار كرده است كه از مدت زمان غيرفعال بودن اين فروم براي انتقال آن به يك پلتفورم نرم‌افزاري ديگر و افزايش امنيت و كارايي آن استفاده خواهد كرد. اين فروم سال‌ها بر روي پلتفورم نرم‌افزاري شركتي ديگر ميزباني شده است و نحوه نفوذ مهاجم به فروم هنوز مشخص نيست.

برچسب‌ها

تروجان بانكي جديد Zberp

تاریخ ایجاد

شماره: IRCNE2014052202
تاريخ: 7/3/93

به نظر مي‌رسد كه يك تروجان جديد كه كاربران 450 موسسه مالي در سراسر دنيا را هدف قرار داده است، عملكرد و ويژگي‌هاي خود را مستقيماً از تروجان‌هاي بدنام زئوس و Carberp به ارث برده باشد.
اين تهديد جديد كه توسط محققان امنيتي شركت Trusteer (زيرمجموعه آي‌بي‌ام) Zberp نام گرفته است، ويژگي‌هاي متنوعي دارد. اين تروجان مي‌تواند اطلاعاتي شامل آدرس آي‌پي و نام را در مورد سيستم‌هاي آلوده جمع‌آوري كند، از صفحه نمايش تصوير تهيه كرده و براي يك سرور راه دور ارسال نمايد، اطلاعات اعتباري FTP و POP3، گواهينامه‌هاي SSL و اطلاعات وارد شده در فرم‌هاي وب را سرقت كند، سشن‌هاي مرورگر را سرقت نمايد و اقدام به قرار دادن محتواي جعلي در صفحات باز وب كند و با استفاده از پروتكل‌هاي VNC و RDP، ارتباط راه دور جعلي (remote desktop) برقرار نمايد.
محققان Trusteer اعتقاد دارند كه Zberp يك ويرايش از ZeusVM است. ZeusVM يك ويرايش اخير از تروجان زئوس است كه كد منبع آن در سال 2011 در فروم‌هاي زيرزميني لو رفته است. ZeusVM در ماه فوريه كشف شد و با نوجه به اينكه نويسندگان آن از پنهان‌نگاري (steganography) براي پنهان كردن داده‌هاي پيكربندي در درون تصاوير استفاده كرده‌اند، از ساير نسخه‌هاي زئوس متمايز مي‌گردد.
نويسندگان Zberp نيز از همين تكنيك استفاده كرده‌اند كه اين بدان معناست كه از كشف شدن توسط برنامه‌هاي ضدبدافزار جلوگيري مي‌كنند، چرا كه به‌روز رساني‌هاي پيكربندي را به شكل پنهان درون يك تصوير لوگوي اپل ارسال مي‌كنند. البته اين تهديد جديد از تكنيك‌هاي hook نيز براي كنترل مرورگر استفاده مي‌كند كه به نظر مي‌رسد اين ويژگي را از Carberp قرض گرفته باشد. Carberp نيز يك تروجان بانكي است كه كد منبع آن در سال گذشته لو رفت.
به گفته يكي از محققان Trusteer، پس از لو رفتن كد منبع Carberp به صورت عمومي انتظار مي‌رفت كه در زمان كوتاهي مجرمان سايبري اقدام به تركيب كد منبع زئوس با كد منبع Carberp نمايند و يك بدافزار جديد توليد كنند.
Zberp همچنين مشابه ZeusVM كليد رجيستري خود را در هنگام اجرا حذف مي‌كند و به محض اينكه شات‌داون شدن سيستم را تشخيص داد، آن را باز مي‌گرداند.
بنا بر گزارش Virus-Total، تروجان Zberp در ابتداي كشف از چشم اغلب نرم‌افزارهاي آنتي‌ويروس پنهان باقي مي‌ماند.

برچسب‌ها

Outlook.com on Android exposes user data, researchers claim

تاریخ ایجاد

ID: IRCNE2014052204
Date: 2014-05-28

According to “ZDNet”, Security consulting firm Include Security has determined that Microsoft's Outlook.com app for Android provides weak security for user data.
Specifically, Include Security says that Outlook.com defaults to placing attachments in a folder on the SDCard which is readable on any other program with READ_EXTERNAL_STORAGE permission. Android 4.4 added the ability of apps to have private folders on the SDCard, but for users of earlier Android versions, these attachments are not secure.
Another claim relates to the Outlook.com "pincode" feature. The app allows the user to set a pincode, i.e., a password, which a user might reasonably assume encrypts the email. The pincode does not do this; all it does is control access to the app. The feature is not enabled by default.
When the user goes into the app's Settings menu to enable the pincode, the first message they encounter, illustrated below, says that the setting will "[p]rotect this application," which is a fair representation of what it does: the pincode controls user access to the app.
If users click the box to turn on the pincode they are brought to a second screen, included below, which asks them to set the pincode itself. This screen says that the setting will "protect your email," which it does not do, other than by controlling access to the program. If the phone has USB debugging enabled then anyone could access the SD card storage through the USB interface. If the user can open the phone and remove the SD card, then it's a lot easier still.
Include Security mentions up top that there are other apps with problems like this, and indeed we recently reported on how the mail app in iOS 7 does not encrypt attachments stored on the device. Apple is aware of that problem but has not announced a fix yet.

برچسب‌ها

Avast forum hack results in user passwords being compromised

تاریخ ایجاد

ID: IRCNE2014052203
Date: 2014-05-28

According to “ITPro”, The online forum of free anti-virus vendor Avast has been hacked, resulting in the usernames, hashed passwords and email addresses of its members being compromised.
The company, who is renowned for its free anti-virus tools, confirmed the breach in a blog post yesterday, and has taken the forum offline while it investigates the circumstances that led to the breach occurring.
No payment or financial data was lifted during the breach, Avast has confirmed, and less than 0.2 per cent of the 200 million people who use its anti-virus tools are thought to be affected.
In the post, Vince Steckler, CEO of Avast, urges users that use the same login details to access other sites to change them immediately.
“If you use the same password and user names to log into any other sites, please change those passwords,” the post states.
“Once our forum is back online, all users will be required to set new passwords as the compromised passwords will no longer work.”
The vendor said it plans to use the forum’s downtime to migrate it to a new location, as well as beef up its security and performance.
“We are now rebuilding the forum and moving it to a different software platform. When it returns, it will be faster and more secure,” the post reads.
“The forum for many years has been hosted on a third-party software platform and how the attacker breached the forum is not yet known. However, we do believe the attack just occurred and we detected essentially immediately.”

برچسب‌ها

New banking Trojan 'Zberp' offers the worst of Zeus and Carberp

تاریخ ایجاد

ID: IRCNE2014052202
Date: 2014-05-28

According to “ComputerWorld”, a new computer Trojan that targets users of 450 financial institutions from around the world appears to borrow functionality and features directly from the notorious Zeus and Carberp malware programs.
The new threat, dubbed Zberp by security researchers from IBM subsidiary Trusteer, has a wide range of features. It can gather information about infected computers including their IP addresses and names; take screen shots and upload them to a remote server; steal FTP and POP3 credentials, SSL certificates and information inputted into Web forms; hijack browsing sessions and insert rogue content into opened websites, and initiate rogue remote desktop connections using the VNC and RDP protocols.
The Trusteer researchers consider Zberp a variant of ZeusVM, a recent modification of the widely used Zeus Trojan program whose source code was leaked on underground forums in 2011. ZeusVM was discovered in February and stands out from other Zeus-based malware through its authors' use of steganography to hide configuration data inside images.
The Zberp authors use the same technique, which is meant to evade detection by anti-malware programs, to send configuration updates embedded in an image that depicts the Apple logo. However, the new threat also uses hooking techniques to control the browser that seem to have been borrowed from Carberp, another Trojan program designed for online banking fraud whose source was leaked last year.
"Since the source code of the Carberp Trojan was leaked to the public, we had a theory that it won't take cybercriminals too long to combine the Carberp source code with the Zeus code and create an evil monster," Trusteer researchers Martin Korman and Tal Darsan said last week in a blog post. "It was only a theory, but a few weeks ago we found samples of the 'Andromeda' botnet that were downloading the hybrid beast."
Zberp also uses some other techniques borrowed from ZeusVM to achieve persistence and evade detection, the researchers said. The malware program deletes its start-up registry key when running and adds it back when it detects a system shutdown.
"According to a Virus-Total scan, the Zberp Trojan was able to evade most anti-virus solutions when it was first detected," the Trusteer researchers said.

برچسب‌ها