گروه باج‌افزار "Snatch" یک گروه با هدف انجام عملیات باج‌افزاری RaaS  (باج‌افزار به عنوان یک سرویس) می‌باشد که حداقل از سال ۲۰۱۸ فعال بوده است. این بدافزار رایانه‌های ویندوز را مجبور می‌کند قبل از رمزگذاری فایل‌ها مجددا به حالت Safe Mode راه‌اندازی شوند.
این هشدار حاکی از آن است که مهاجمان، طیف گسترده‌ای از بخش‌های حیاتی زیرساخت، از جمله بخش فناوری اطلاعات، پایگاه‌های صنعتی دفاعی، و بخش غذا و کشاورزی  را با آخرین حملاتی که در ماه ژوئن اتفاق افتاده مورد هدف قراردهند.
مشاوران امنیتی خاطرنشان کردند: از اواسط سال ۲۰۲۱، عاملان Snatch به طور مداوم تاکتیک‌های خود را برای استفاده از روش‌های موفقیت‌آمیز فعلی مجرمان سایبری و سایر باج‌افزارها توسعه داده‌اند. مشاهده شده‌است که عوامل تهدید Snatch در حال خرید داده‌های سرقت شده قبلی از سایر باج‌افزارها برای سوء‌استفاده بیشتر از قربانیان و اخذ باج به ازای جلوگیری از انتشار اطلاعات آن‌ها در وبلاگ اخاذی Snatch هستند.
گروه باج‌افزار Snatch در ۱۲ تا ۱۸ ماه گذشته فعالیت بیشتری داشته است و مسئولیت چندین حمله پرمخاطب اخیر را بر عهده گرفته‌اند.
Snatch بدافزاری است که سیستم‌های ویندوزی را وادار می‌کند تا در میانه‌ی زنجیره حمله به حالت Safe Mode مجددا راه‌اندازی شوند تا بتواند فایل‌ها را بدون شناسایی توسط ابزارهای آنتی ویروس (که اغلب در حالت Safe Mode اجرا نمی‌شوند) رمزگذاری کند.
Sophos که یکی از اولین فروشندگان امنیتی که این باج‌افزار است، در اواخر سال 2019  هشدار داده بود که نمی توان شدت خطر باج‌افزاری که در حالت Safe Mode اجرا می شود را نادیده گرفت.
به گفته Mumcuoglu: «یک تاکتیک منحصربه‌فرد که توسط گروه باج‌افزار Snatch استفاده می‌شود، بکارگیری از «بدافزار مخفی» است، به این صورت که بسیاری از رایانه‌های ویندوز اغلب مکانیسم‌های محافظت از end-point را در حالت Safe Mode اجرا نمی‌کنند.»
مانند بسیاری از انواع باج‌افزار، Snatch دارای قابلیت رمزگذاری داده‌ها و همچنین مؤلفه‌ای جهت سرقت داده‌ها از سیستم‌های در معرض خطر قبل از فرایند رمزگذاری است. مهاجمان به طور معمول از این قابلیت جهت استخراج داده‌های حساس از سازمان‌های قربانی سوءاستفاده کرده و تهدید می‌کنند که در صورت عدم پرداخت باج، داده‌ها را به صورت عمومی افشا خواهند کرد و یا به دیگران می فروشند.
در بسیاری از حملات، اپراتورهای Snatch از نقاط ضعف پروتکل Remote Desktop Protocol یا RDP استفاده کرده‌اند تا به شبکه هدف، با دسترسی سطح ادمین به دست آورند. در موارد دیگر، آن‌ها از اعتبارنامه‌های سرقت یا خریداری شده جهت به دست آوردن جایگاه اولیه استفاده کرده‌اند. هنگامی که مهاجم در یک شبکه قرار می‌گیرد، گاهی می‌تواند تا سه ماه در شبکه به جستجوی فایل‌ها و پوشه‌های مورد نظر بپردازد. مشاوران تصریح کردند که اپراتورهای Snatch از ترکیبی از ابزارهای مشروع و مخرب در شبکه‌های در معرض خطر استفاده می‌کنند. این ابزارها شامل ابزارهای پس از بهره‌برداری مانند ابزار تست نفوذ متن باز Metasploit، Cobalt Strike برای بهره‌برداری‌های بعدی و ابزارهایی مانند sc.exe جهت ایجاد، پرس‌و جو، افزودن و حذف سرویس‌ها و انجام دیگر عملیات مخرب است.

بعد از گزارش درباره‌ی یک ضعف بحرانی در کروم در اواخر هفته‌ی گذشته، به نظر می‌آید که مرورگر گوگل تنها تحت تأثیر این باگ نیست. مرورگرهای مبتنی بر Chromium از جمله Firefox، Edge و Brave نیز به حملات احتمالی حساسیت دارند. با این حال، تمام شرکت‌هایی که مرورگرهایشان تحت تأثیر این ضعف قرار گرفته است، نسخه‌های جدیدی را منتشر کرده‌اند تا این ضعف امنیتی را برطرف کنند.
این آسیب‌پذیری به علت یک ضعف توده‌ای در بافر WebP ایجاد می‌شود و در صورت بهره‌برداری از آن، می‌تواند برای اجرای کد خودسرانه در Chrome، Firefox، Edge و Brave مورد استفاده قرار گیرد. برای هشدار قوی‌تر، گوگل در یک پست مشاوره امنیتی اعلام کرد که یک نسخه از آسیب‌پذیری هنوز وجود دارد و هکرها در حال استفاده از آن در حملات خود هستند.
بنابراین، به همین دلیل باید به سرعت مرورگر خود را به آخرین نسخه به‌روزرسانی کنید تا در معرض حملاتی که از این آسیب‌پذیری بهره می‌برند، قرار نگیرید. در ادامه، نسخه‌های آخرین مرورگرهای Chrome، Firefox، Edge و Brave (تا زمان انتشار این مقاله) آمده است تا بتوانید بررسی کنید که مرورگر شما به‌روز است یا خیر:
- گوگل: نسخه‌ی Chrome 116.0.5846.187 (Mac / Linux); نسخه‌های Chrome 116.0.5845.187/.188 (ویندوز)
- موزیلا: Firefox 117.0.1؛ Firefox ESR 102.15.1؛ Firefox ESR 115.2.1؛ Thunderbird 102.15.1؛ Thunderbird 115.2.2
- مایکروسافت: نسخه‌ی Edge 116.0.1938.81
- Brave: نسخه‌ی Brave Browser 1.57.64
همچنین برنامه‌های مبتنی بر Electron و برنامه‌های چندپلتفرمی که با Flutter ساخته شده‌اند نیز در معرض آسیب‌پذیری هستند. برنامه‌ی پیام‌رسان رمزگذاری شده Signal و مشاهده‌کننده‌ی رایگان تصاویر Honeyview هر دو بر اساس Electron ساخته شده‌اند، در حالی که برنامه‌هایی مانند GIMP، LibreOffice، Telegram و بسیاری از بهترین برنامه‌های اندروید با Flutter ساخته شده‌اند. در همین حال، اپل نیز macOS Ventura را به نسخه‌ی 13.5.2 از طریق یک به‌روزرسانی امنیتی فوری در هفته‌ی گذشته به‌روز کرد تا این ضعف را برطرف کند.

توصیه‌های امنیتی
چگونه از حملاتی که از این باگ بهره می‌برند، ایمن بمانیم:
- در مورد ضعف‌های امنیتی حیاتی مانند این مورد، مهم‌ترین کاری که می‌توانید انجام دهید، اطمینان حاصل کردن از به‌روز بودن تمام نرم‌افزارهایتان به محض انتشار تعمیرات امنیتی است. این ممکن است سخت باشد، اما به‌روزرسانی تمام نرم‌افزارهایتان همچنان آسان‌تر از مواجهه با دزدی هویت یا تبعات دیگر است.
- علاوه بر به‌روزرسانی، باید از بهترین نرم‌افزارهای آنتی‌ویروس برای کامپیوترهای شخصی، کامپیوترهای مکینتاش و یکی از بهترین برنامه‌های آنتی‌ویروس اندرویدی بر روی تلفن همراه اندرویدی خود استفاده کنید. با نصب آخرین به‌روزرسانی‌های نرم‌افزار و استفاده از نرم‌افزارهای آنتی‌ویروس در دستگاه‌هایتان، می‌توانید از همه نوع حملات سایبری محافظت کنید.
- اگرچه تمام مرورگرهای اصلی و بسیاری از برنامه‌های محبوب تحت تأثیر این ضعف امنیتی قرار دارند، اما نرم‌افزارهای دیگر هم ممکن است از حملاتی که از این ضعف بهره می‌برند، آسیب‌پذیر باشند. به همین دلیل باید به اطلاعات جاری دقت کنید و آخرین به‌روزرسانی‌های تمامی نرم‌افزارهای دیگرتان را نصب کنید تا ایمنی خود را حفظ کنید.

منبع خبر:

[1]https://www.tomsguide.com/news/critical-bug-leaves-chrome-firefox-edge-and-loads-of-other-apps-vuln…

Adobe به‌روزرسانی‌های امنیتی را برای اصلاح یک آسیب‌پذیری روز صفر در Acrobat و Reader با برچسب اکسپلویت حملات منتشر کرده است. اگرچه هنوز اطلاعات بیشتری در مورد این حملات فاش نشده است، این آسیب‌پذیری روز صفر بر سیستم‌های ویندوز و macOS تأثیر می‌گذارد.

جزئیات آسیب‌پذیری
آسیب‌پذیری امنیتی مهم با عنوان CVE-2023-26369 ردیابی می شود و می تواند به مهاجمان اجازه دهد پس از اکسپلویت موفقیت‌آمیز از ضعف نوشتن خارج از محدوده، اجرای کد را دریافت کنند. در حالی که عوامل تهدید می توانند از آن در حملات با پیچیدگی کم، بدون نیاز به دسترسی اکسپلویت کنند، این آسیب‌پذیری فقط می‌تواند توسط مهاجمان محلی اکسپلویت شود.
این آسیب‌پذیری به عنوان یک نوشتن خارج از محدوده توصیف می‌شود، اکسپلویت موفقیت‌آمیز از آسیب-پذیری می‌تواند با باز کردن یک سند PDF ساخته‌شده خاص منجر به اجرای کد شود.  Adobe جزئیات بیشتری در مورد این آسیب‌پذیری یا هدف قرار دادن آن افشا نکرد.
به‌روزرسانی Adobe برای سپتامبر 2023 همراه با وصله‌ای برای یک آسیب‌پذیری امنیتی بحرانی در Acrobat  و Reader ارائه شده است که می‌تواند به مهاجم اجازه دهد تا کد مخرب را روی سیستم‌های حساس اجرا کند.
 Adobe آسیب‌پذیری‌های امنیتی بیشتری را برطرف کرده است که می‌تواند به مهاجمان امکان اجرای کد دلخواه را در سیستم‌هایی که نرم‌افزار Adobe Connect و Adobe Experience Manager وصله‌نشده را اجرا می‌کنند، داشته باشد.
در ماه جولای، Adobe یک به‌روزرسانی امنیتی ColdFusion اضطراری را برای رسیدگی به یک روز صفر (CVE-2023-38205) که در طبیعت به عنوان بخشی از حملات محدود اکسپلویت شود، ارائه کرد.

محصولات تحت تأثیر
آسیب‌پذیری با ‌عنوان CVE-2023-26369 بر نسخه‌های Windows و macOS Acrobat DC، Acrobat Reader DC،  Acrobat 2020 و Acrobat Reader 2020 تأثیر می‌گذارد.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-acrobat-and-reader-zero-day-…
[2] https://thehackernews.com/2023/09/update-adobe-acrobat-and-reader-to.html

سه آسیب‌پذیری امنیتی با شدت بالا در Kubernetes کشف شده‌اند که می‌توانند برای دستیابی به اجرای کد از راه دور با دسترسی بالا، در نقاط انتهایی ویندوز در یک cluster اکسپلویت شوند.

جزئیات آسیب‌پذیری
این آسیب‌پذیری‌ها با عنوان CVE-2023-3676، CVE-2023-3893، CVE-2023-3955 و امتیاز 8.8 ارزیابی شده‌اند و بر تمام محیط‌های Kubernetes با گره‌های ویندوز تاثیر می‌گذارند. آسیب‌پذیری CVE-2023-3676 به مهاجم اجازه می‌دهد، تعامل با API Kubernetes را انجام دهد و کد دلخواه را تزریق کند که روی ماشین‌های ویندوز راه دور با امتیازات SYSTEM اجرا می‌شود.
این آسیب‌پذیری به دسترسی کمی نیاز دارد و بنابراین، نوار پایینی را برای مهاجمان تعیین می‌کند. تنها چیزی که آن‌ها باید داشته باشند، دسترسی به یک گره و اعمال امتیاز است.
این آسیب‌پذیری همراه با CVE-2023-3955، به دلیل عدم پاکسازی ورودی ایجاد می‌شود، در نتیجه یک رشته مسیر ساخته‌شده خاص را قادر می‌سازد تا به عنوان پارامتری برای یک فرمان PowerShell تجزیه شود و عملاً منجر به اجرای دستور شود.
آسیب‌پذیری  CVE-2023-3893 به یک مورد افزایش دسترسی در پروکسی Container Storage Interface (CSI)  مربوط می‌شود که به یک عامل مخرب اجازه می‌دهد تا دسترسی مدیر در گره را به دست آورد.
نرم افزار به درستی ورودی‌های کاربر را تایید یا پاکسازی نمی کند. عدم اعتبارسنجی درنظارت، به کاربران مخرب امکان می دهد تا پادهایی را با متغیرهای محیطی و مسیرهای میزبان ایجاد کنند که هنگام پردازش منجر به رفتارهای نامطلوب مانند افزایش دسترسی می‌شود.
این آسیب‌پذیری امکان اجرای کد از راه دور با دسترسی SYSTEM را در تمام نقاط انتهایی ویندوز در یک خوشه Kubernetes فراهم می‌کند. برای اکسپلویت این آسیب‌پذیری، مهاجم باید یک فایل YAML مخرب را روی  cluster اعمال کند.
خدمات وب آمازون (AWS)، Google Cloud و Microsoft Azure توصیه هایی را برای این آسیب‌پذیری‌ها منتشر کرده‌اند که برنسخه‌های kubelet<v1.28.1، kubelet <v1.27.5،kubelet < v1.26.8 ،   kubelet < v1.25.13 وkubelet < v1.24.17   تاثیرگذار بوده‌اند.

منابع خبر:

[1] https://thehackernews.com/2023/09/alert-new-kubernetes-vulnerabilities.html
[2] https://access.redhat.com/security/cve/cve-2023-3676
[3] https://vuldb.com/?id.237868
[4] https://feedly.com/cve/CVE-2023-3955

Mozilla به‌روزرسانی‌های امنیتی اضطراری را برای رفع یک آسیب‌پذیری بحرانی روز صفر که اکسپلویت شده است و بر مرورگر وب فایرفاکس و کلاینت ایمیل Thunderbird تأثیر گذاشته است، منتشر کرد.

جزئیات آسیب‌پذیری
این آسیب‌پذیری امنیتی که با ‌عنوان CVE-2023-4863 ردیابی شده است، ناشی از سرریز پشته‌ای بافر در کتابخانه کد WebP (libwebp) است که تأثیر آن از خرابی تا اجرای کد دلخواه را در بر می‌گیرد.
آسیب‌پذیری روز صفر CVE-2023-4863 بر سایر نرم افزارها نیز با استفاده از نسخه کتابخانه کد WebP آسیب پذیر تأثیر می گذارد. یکی از این نرم‌افزارها، مرورگر وب Goggle Chrome است که روز دوشنبه در برابر این آسیب‌پذیری وصله شد. گوگل هشدار داد که یک اکسپلویت برای CVE-2023-4863  وجود دارد. به‌روزرسانی‌های امنیتی Chrome برای کاربران کانال‌های پایدار و منتشر شده‌اند و انتظار می‌رود طی روزها یا هفته‌های آینده به کل کاربران برسد.
یک روز پس از انتشار راه حلی برای گوگل در مرورگر Google Chrome آسیب‌پذیری که به شناسه CVE-2023-4863  اختصاص داده شده است، یک آسیب‌پذیری سرریز بافر پشته در قالب تصویر WebP است که می‌تواند منجر به اجرای کد، هنگام پردازش یک تصویر ساخته شده خاص شود.
باز کردن یک تصویر WebP مخرب می تواند منجر به سرریز پشته بافر در فرآیند محتوا شود.
طبق توضیحات پایگاه داده ملی آسیب پذیری (NVD)، این آسیب‌پذیری می‌تواند به مهاجم راه دور اجازه دهد تا از طریق یک صفحه HTML دستکاری شده، نوشتن حافظه خارج از محدوده را انجام دهد.
 مهندسی و معماری امنیتی اپل (SEAR) و آزمایشگاه شهروندی در دانشکده Munk دانشگاه تورنتو، مسئول گزارش این آسیب‌پذیری امنیتی هستند.

محصولات تحت تأثیر
این آسیب‌پذیری در Forefox 117.0.1، Firefox ESR 115.2.1، Firefox ESR 102.15.1، Thunderbird 102,15,1 و115,2,2 Thunderbird آدرس داده شده است.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که نسخه‌های به روز شده Firefox و Thunderbird را نصب کنند تا از سیستم خود در برابر حملات احتمالی محافظت کنند.

منابع خبر:

[1] https://thehackernews.com/2023/09/mozilla-rushes-to-patch-webp-critical.html
[2] https://www.bleepingcomputer.com/news/security/mozilla-patches-firefox-thunderbird-against-zero-day…
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-4863
[4] https://vuldb.com/?id.239475

گوگل به‌روزرسانی‌های امنیتی اضطراری را برای رفع چهارمین آسیب‌پذیری روز صفر Chrome منتشر کرد که از ابتدای سال تاکنون اکسپلویت شده است.

جزئیات آسیب‌پذیری
یک آسیب‌پذیری که با عنوان CVE-2023-4863 بحرانی طبقه بندی شده است، در گوگل کروم (مرورگر وب) یافت شد  که بر بلوک کد ناشناخته مؤلفه WebP تأثیر می‌گذارد.
آسیب‌پذیری بحرانی روز صفر (CVE-2023-4863) ناشی از ضعف سرریز پشته‌ای بافر کتابخانه کد WebP (libwebp) است که تأثیر آن از خرابی تا اجرای کد متغیر است.
این آسیب‌پذیری به مهاجم راه دور اجازه می‌دهد، از طریق یک صفحه HTML دستکاری شده، نوشتن حافظه خارج از محدوده را انجام دهد.
دستکاری با یک ورودی ناشناخته منجر به آسیب‌پذیری سرریز مبتنی بر پشته می‌شود.
شرایط سرریز پشته یک سرریز بافر است که در آن بافری که می‌توان رونویسی کرد، در قسمت پشته حافظه تخصیص داده می شود. به طور کلی به این معنی که بافر با استفاده از روتینی مانند malloc() تخصیص داده شده است.
مرورگر وب همچنین به‌روزرسانی‌های جدید را بررسی می‌کند و به‌طور خودکار بدون نیاز به تعامل کاربر پس از راه‌اندازی مجدد، آنها را نصب می‌کند.
این آسیب‌پذیری توسط Apple Security Engineering and Architecture (SEAR) و The Citizen Lab در دانشکده Munk دانشگاه تورنتو در چهارشنبه گذشته، 6 سپتامبر گزارش شده است.
کاربران کروم می‌توانند مرورگرهای خود را برای خنثی کردن حملات قبل از انتشار مشخصات فنی اضافی به‌روزرسانی کنند.

محصولات تحت تأثیر
این آسیب‌پذیری در  Google Chrome قبل از نسخه 116.0.5845.187 تاثیرگذار بوده است.

توصیه‌های امنیتی
ارتقاء به نسخه 116.0.5845.187 این آسیب¬پذیری را از بین می‌برد.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/google/google-fixes-another-chrome-zero-day-bug-exploited-in-…
[2] https://thehackernews.com/2023/09/google-rushes-to-patch-critical-chrome.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-4863
[4] https://vuldb.com/?id.239475

یک آسیب‌پذیری امنیتی با شدت بالا در N-Able's Take Control Agent افشاء شده است که می‌تواند توسط یک مهاجم غیرمجاز محلی، برای به دست آوردن امتیازات SYSTEM اکسپلویت شود.
N-Able's Take Control Agent یک راه‌حل کنترل از راه دور مبتنی بر ابر است که برای MSP ها و خدمات فناوری اطلاعات که نیاز به دسترسی ایمن و عیب‌یابی سریع دستگاه‌های پایانی، با ابزارهای فناوری سریع و قدرتمند دارند، ساخته شده است.

جزئیات آسیب‌پذیری
این آسیب‌پذیری که با عنوان CVE-2023-27470 و امتیاز 8.8 ارزیابی شده است، مربوط به آسیب‌پذیری شرط مسابقه Time-of-Check to Time-of-Use (TOCTOU) است که در صورت اکسپلویت موفقیت‌آمیز، می‌تواند برای حذف فایل استفاده شود و بر روی کد ناشناخته فایل BASupSrvcUpdater.exe  تأثیر می‌گذارد.
اکسپلویت چنین آسیب‌پذیری می‌تواند منجر به از دست دادن یکپارچگی شود و به عامل تهدید اجازه می‌دهد به منابع غیرمجاز دسترسی پیدا کند.
زمانی که یک مهاجم بتواند بر وضعیت منبع بین بررسی و استفاده تأثیر بگذارد، یک آسیب‌پذیری امنیتی محسوب می‌شود. این عامل می‌تواند با منابع مشترک مانند فایل‌ها، حافظه یا حتی متغیرهای برنامه‌های چند رشته ای اتفاق بیفتد. آسیب‌پذیری CVE- 2023-27470  از شرایط مسابقه  TOCTOU درTake Control Agent (BASupSrvcUpdater.exe)  بین ثبت چندین رویداد حذف فایل، مانند فایل های  aaa.txtو bbb.txt و هر عمل حذف از یک پوشه خاص با نام C:\ProgramData\GetSupportService_N-Central\PushUpdates ناشی می‌شود.
به بیان ساده، در حالی که BASupSrvcUpdater.exe حذف aaa.txt را ثبت می‌کند، یک مهاجم می تواند به سرعت فایل bbb.txt را با یک لینک نمادین جایگزین کند و فرآیند را به یک فایل دلخواه در سیستم هدایت کند. این عمل باعث می شود که فرآیند به صورت ناخواسته، فایل‌ها را با عنوان NT AUTHORITY\SYSTEM حذف کند. حذف فایل می‌تواند از طریق حمله شرایط مسابقه‌ای که عملکرد بازگشتی نصب‌کننده ویندوز را هدف قرار ‌دهد، برای ایمن کردن یک Command Prompt  افزایش یافته و منجر به اجرای کد شود. اکسپلویت‌های حذف فایل فقط محدود به حملات انکار سرویس نیستند و در واقع می‌توانند به عنوان وسیله‌ای برای دستیابی به اجرای کد بالا عمل کنند.
 چنین اکسپلویت‌هایی را می‌توان با عملکرد بازگرداندن MSI برای معرفی فایل‌های دلخواه ترکیب کرد. سیستم فرآیند ثبت و حذف رویدادها در یک پوشه ناامن، می‌تواند مهاجم را قادر سازد تا لینک‌های نمادین ایجاد کند و فرآیندها را فریب دهد تا اقداماتی را در پرونده‌های ناخواسته اجرا کنند.

محصولات تحت تأثیر
BASupSrvcUpdater.exe  در N-able Take Control Agent از طریق 7,0,41,1141 قبل از نسخه 7,0,43 با ایجاد لینک نمادین،  می‌تواند فایل‌های اختیاری را حذف کند. 

توصیه‌های امنیتی
ارتقاء به نسخه 7,0,43 این آسیب¬پذیری را از بین می‌برد.

منابع خبر:

[1] https://thehackernews.com/2023/09/n-ables-take-control-agent.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-27470
[3] https://vuldb.com/?id.239411

یک حمله جدید با نام WiKI-Eve می‌تواند انتقال متن واضح تلفن‌های هوشمند متصل به روترهای مدرن وای‌فای را رهگیری کند و رمزهای عددی را با دقت استنتاج کند که امکان سرقت رمزهای عبور عددی را فراهم می‌کند. حمله WiKI-Eve از BFI استفاده می¬کند.
آسیب¬پذیری BFI تبادل اطلاعات حاوی داده‌هایی به شکل متن واضح است، به این معنی که این داده‌ها را می‌توان بدون نیاز به هک سخت‌افزار یا شکستن کلید رمزنگاری، رهگیری کرد و به آسانی مورد استفاده قرار داد.

جزپیات آسیب‌‌پذیری
حمله WiKI-Eve برای رهگیری سیگنال های Wi-Fi در هنگام وارد کردن رمز عبور طراحی شده است. برای انجام این حمله، مهاجم باید دقیقاً در لحظه ای که هدف، در حال تایپ رمز عبور است و تلاش می‌کند به یک برنامه خاص دسترسی پیدا کند، انجام شود.
 محققان از ابزارهای نظارت بر ترافیک، مانند Wireshark برای ثبت سری زمانی BFI هدف در هنگام ورود رمز عبور استفاده کردند. فشار دادن کلیدها بر روی آنتن‌های Wi-Fi تأثیر می‌گذارد و سیگنال‌های متمایز تولید می‌کند که می‌توان آن‌ها را کنترل کرد و از آنها برای شناسایی تک تک ضربه‌های کلید استفاده کرد.
مهاجم باید با استفاده از یک نشانگر هویت در شبکه، مانند یک آدرس MAC، هدف را شناسایی کند. Eve می‌تواند این اطلاعات را از قبل با نظارت بصری و ترافیک به طور همزمان به دست آورد. ارتباط ترافیک شبکه ناشی از آدرس‌های MAC مختلف با رفتارهای کاربران باید به Eve اجازه دهد تا دستگاه فیزیکی را به ترافیک دیجیتال خود پیوند دهد و بدین ترتیب آدرس MAC را شناسایی کند. در مرحله اصلی حمله، سری زمانی BFI قربانی در هنگام وارد کردن رمز عبور توسط مهاجم با استفاده از ابزار نظارت بر ترافیک مانند Wireshark ضبط می شود. هر بار که کاربر کلیدی را فشار می‌دهد، آنتن‌های وای‌فای پشت صفحه نمایش را تحت تأثیر قرار می‌دهد و باعث می‌شود سیگنال وای‌فای مشخصی تولید شود.

توصیه‌های امنیتی
برای جلوگیری از این حملات، افزایش امنیت در نقاط دسترسی Wifi و برنامه‌های گوشی‌های هوشمند، مانند تصادفی‌سازی صفحه کلید، رمزگذاری ترافیک داده، مبهم‌سازی سیگنال، درهم‌سازی CSI، درهم‌سازی کانال WiFi و موارد دیگر الزامی است.
سیاست‌های رمز عبور قوی مدرن، اغلب به ترکیبی از انواع کاراکتر نیاز دارند. WiKI-Eve برای افرادی که از رمزهای عبور ساده‌تر، به‌ویژه رمزهای عددی استفاده می‌کنند، خطر قابل‌توجهی دارد. این آسیب‌پذیری همچنین، بر نیاز فوری به رمزگذاری مبادلات داده‌های BFI برای امنیت بهتر حریم خصوصی افراد تأکید می‌کند.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/new-wiki-eve-attack-can-steal-numerical-passwords-ov…
[2] https://cybersecuritynews.com/wiki-eve-wi-fi-passwords/
[3]https://www.bitdefender.com/blog/hotforsecurity/wiki-eve-attack-intercepting-smartphone-keystrokes-…

مشاهده شده است که عوامل تهدید RedLine و Vidar (دو بدافزار سرقت اطلاعات) به باج افزار روی آورده اند. در این کمپین‌ها، از فیشینگ برای توزیع محموله‌های اولیه استفاده می‌شود. این محموله ها با گواهی های سطح Extended Validation (EV) امضا شده اند.
محققان Trend Micro در تحلیل جدیدی که این هفته منتشر شد، گفتند: «این نشان می‌دهد که تهدیدکنندگان با چند منظوره کردن تکنیک‌های خود عملیات را ساده می‌کنند».
در حادثه‌ای که توسط این شرکت امنیت سایبری مورد بررسی قرار گرفت، گفته می‌شود که قربانی ناشناس ابتدا یک بدافزار دزد اطلاعات را با گواهی امضای کد EV دریافت کرده است و به دنبال آن باج افزاری را با استفاده از همان تکنیک تحویل، دریافت کرده است. درگذشته، آلودگی‌های QakBot از نمونه‌های امضاشده با گواهی‌های امضای کد معتبر برای دور زدن حفاظت‌های امنیتی استفاده می‌کردند.
حملات با ایمیل‌های فیشینگ شروع می‌شوند که از فریب‌های رایج استفاده می‌کنند. آنها فایل‌های پیوست مخربی را با ظاهر تصاویر PDF یا JPG نشان می‌دهند اما درواقع فایل‌های اجرایی هستند که پس از اجرا، حمله را آغاز میکنند.
درحالی‌که این کمپین، بدافزار دزدی را در ماه ژوئیه به قربانی مذکور ارسال کرده بود، یک پیلود باج افزار در اوایل آگوست پس از آنکه قربانی یک پیام ایمیل حاوی یک پیوست شکایت جعلی تریپ ادوایزر("TripAdvisor-Complaint.pdf.html ") دریافت کرد، به سیستم او راه پیدا کرد. سپس این پیلود گام‌هایی را آغاز کرد که به استقرار باج افزار منتهی شد.
محققان می‌گویند: «در این مرحله، برخلاف نمونه‌های دزد اطلاعاتی که ما بررسی کردیم، فایل‌هایی که برای رها کردن payload باج‌افزار استفاده می‌شوند، گواهی‌های EV نداشتند. با این حال، این دو از عامل تهدید یکسانی سرچشمه می‌گیرند و با استفاده از روش تحویل یکسانی پخش می‌شوند؛ بنابراین می‌توانیم تقسیم کار را بین ارائه‌دهنده payload و اپراتورها فرض کنیم.»
در عین حال، IBM X-Force کمپین‌های فیشینگ جدیدی را کشف کرده است که نسخه بهبودیافته‌ای از یک بارگذار بدافزار به نام DBatLoader را منتشر می‌کند که همین امسال به‌عنوان مجرایی برای توزیع FormBook و Remcos RAR استفاده می‌شد.

قابلیت‌های جدید DBatLoader دور زدن UAC، ماندگاری و تزریق فرایند را تسهیل می‌کند که نشان می‌دهد عاملان تهدید به طور فعال مشغول نگهداری آن هستند تا با استفاده از آن برنامه‌های مخربی که می‌توانند اطلاعات حساس را جمع‌آوری کرده و کنترل از راه دور سیستم‌ها را فعال کنند، ارسال کنند. مجموعه‌ای از حملات اخیر که از اواخر ژوئن شناسایی‌شده‌اند، به‌گونه‌ای طراحی‌شده‌اند که بدافزارهایی مانند Agent Tesla و Warzone RAT. A را نیز ارائه دهند. اکثر پیام‌های ایمیل انگلیسی زبان‌ها را هدف گرفته اند، اگرچه ایمیل‌هایی به زبان‌های اسپانیایی و ترکی نیز مشاهده ‌شده‌اند. در چندین کمپین مشاهده شده، عوامل تهدید کنترل کافی بر زیرساخت ایمیل برای فعال کردن ایمیل‌های مخرب برای عبور از روش‌های احراز هویت ایمیلSPF  DKIM, و DMARC اعمال کردند.

منبع خبر:

https://thehackernews.com/2023/09/cybercriminals-combine-phishing-and-ev.html?m=1

اگر هنوز از یک دستگاه Android TV قدیمی که خریده‌اید استفاده می‌کنید، ممکن است زمان ارتقاء به یک دستگاه‌ بهتر استریمینگ فرا رسیده باشد. اخیرا موجی از نرم‌افزار مخرب منتشر شده که برای آلوده کردن جعبه‌های Android TV ارزان استفاده می‌کنند. اما اکنون به نظر می‌رسد که یک دستگاه باتنت دیگر نیز بر روی برخی از همان دستگاه‌ها کشف شده است.
 

شکل 1- تصویری از جعبه AndroidTV

دستگاه‌های Android TV مورد نظر توسط شرکت‌های AllWinner و RockChip ساخته می‌شوند، دو شرکت مستقر در چین که صدها نقد و بررسی 5 ستاره در آمازون دارند. این دستگاه‌ها می‌توانند برای شروع حملات DDoS قوی استفاده شوند و یا به طور پنهان یک باتنت را دانلود می‌کنند که در پس‌زمینه بر روی تبلیغات کلیک می‌کند تا برای تولید کلاهبرداری تبلیغاتی برای سازنده‌ی دستگاه فراهم شود.
این نرم‌افزار مخرب دو روش انتقال نرم‌افزار مخرب به دستگاه Android TV منتقل شده باشد:
1. به‌روزرسانی فریمور از تولیدکننده‌ها: در این روش، نرم‌افزار مخرب به دستگاه از طریق به‌روزرسانی رسمی فریمور (نرم‌افزار سیستم عامل دستگاه) از سوی تولیدکننده دستگاه اضافه می‌شود. این ممکن است به صورت ناقص یا بدون اطلاع کاربر انجام شود و به عنوان یک بخش از به‌روزرسانی فریمور نفوذ کند.
2. اثر جانبی دانلود برنامه‌های پخش ویدیویی شخص ثالث با وعده‌ی ارائه‌ی محتوای رایگان: در این روش، کاربران دستگاه‌های Android TV برنامه‌های پخش ویدیویی شخص ثالث را از منابع غیررسمی دانلود می‌کنند که وعده‌ی ارائه‌ی محتوای رایگان می‌دهند. این برنامه‌ها ممکن است نرم‌افزار مخرب را به طور پنهانی همراه با خود بیاورند و آن را بر روی دستگاه نصب کنند.
در هر دو روش، نتیجه نهایی این است که دستگاه Android TV ممکن است بدون اطلاع کاربر به عملیات مخربی بپردازد، از جمله انجام حملات DDoS یا اجرای کلاهبرداری تبلیغاتی.
مهم است که بین دستگاه‌های ساخته شده توسط سونی و گوگل - مانند Chromecast with Google TV - و دستگاه‌هایی که Android TV ارزان است، تمایز قائل شویم. اولی از یک نسخه‌ی رسمی از Google TV یا Android TV استفاده می‌کند، در حالی که دستگاه‌های ارزان از پروژه منبع باز Android استفاده می‌کنند که برای هر کسی برای دانلود و تغییر در دسترس است.

خطرات کمتر شناخته‌شده‌ی قاچاق محتوا
یکی از راه‌هایی که ویروس تروجان از یک دستگاه به دستگاه دیگر منتقل می‌شود، از طریق نرم‌افزارهای پخش غیرقانونی است که معمولاً برای قاچاق فیلم و برنامه‌های تلویزیونی استفاده می‌شوند. این برنامه‌ها قول می‌دهند که به شما دسترسی آسان به جدیدترین فیلم‌ها به محض ارائه دیجیتالی آن‌ها را می‌دهند، اما اغلب از نظر قانونی و از نظر امنیتی مشکلات دارند.
با این حال، اگر از یک دستگاه Android TV یا Google TV از سازندگان قابل اعتماد استفاده می‌کنید و به صورت دقیق از آن برای استریمینگ از برنامه‌های شناخته شده استفاده می‌کنید، جایی برای نگرانی وجود ندارد. این برنامه‌ها ممکن است از داده‌های شما استفاده کنند یا آنها را بفروش برسانند اما برای اهداف بدافزار سایبری استفاده نمی‌شود.

منبع خبر:

https://www.tomsguide.com/news/millions-of-cheap-android-tv-boxes-come-pre-infected-with-botnet-mal…