گسترش كرم Cryptolocker 2.0 از طريق درايوهای USB

تاریخ ایجاد

شماره: IRCNE2014012059
تاريخ:16/10/92

محققان امنيتي بدافزاري را كشف كرده اند كه به نظر مي رسد نسخه اي از تروجان Cryptolocker مي باشد و مي تواند از طريق درايوهاي USB گسترده شود.
با توجه به يافته هاي ترند ميكرو و ESET، اين كرم تازه كشف شده Crilock.A ناميده مي شود (اين كرم خود را Cryptolocker 2.0 مي نامد). اين كرم در قالب يك به روز رسان براي ادوب فتوشاپ و مايكروسافت آفيس بر روي سايت هايي كه بازديدكننده زيادي دارند، ظاهر مي شود.
ساختار كنترل و فرمان اين كرم جديد است بنابراين شركت ترند ميكرو معتقد است كه Crilock.A كرمي است كه از ساختار Cryptolocker تقليد مي كند و نسخه اصلي اين بدافزار نيست.
هدف قرار دادن فايل هاي به اشتراك گذاري شده، انتخاب عجيبي است زيرا با وجود آن كه شانس دانلود اين بدافزار افزايش مي يابد اما فهرست بالقوه قربانيان بسيار كوچكتر از نسخه رسمي اين بدافزار است.
بدافزار Crilock.A اين توانايي را دارد كه درايوهاي قابل حمل را آلوده نمايد. روش هاي مورد استفاده اين كرم بسيار قديمي است. اگرچه سرعت انتشار اين كرم پايين است اما طول عمر بالايي دارد. از سوي ديگر، درحالي كه اين كرم مي تواند بر روي درايوها براي سال ها پنهان باقي بماند اما به محض فعال شدن مي تواند توسط بسياري از برنامه هاي امنيتي كشف و مسدود شود.
شركت ESET فهرست كامل تفاوت هاي Cryptolocker و Crilock.A/Cryptolocker 2.0 را بر روي وب سايت خود قرار داده است.

برچسب‌ها

Cryptolocker 2.0 turns into worm that spreads via USB drives

تاریخ ایجاد

ID: IRCNE2014012059
Date: 2013-01-04

According to "techworld", security researchers have discovered what looks like a copycat version of the Cryptolocker ransom Trojan that drops some of the malware’s sophistication in favour of the single innovation of being able to spread via USB drives.
According to security firms Trend Micro and ESET, the recently discovered worm-like Crilock.A variant (which calls itself ‘Cryptolocker 2.0) poses as an updater for Adobe Photoshop and Microsoft Office on sites frequented by P2P file sharers.
The command and control architecture is also new, ditching the domain generation algorithm (DGA) in favour of less sophisticated hardcoded URLs. Both of these odd developments have convinced Trend Micro that Crilock.A is the work of copycats rather than the original Cryptolocker gang.
Targeting file sharers is a strange choice because it while it increases the chance that the malware will be downloaded the potential list of victims is still far smaller than with previous ‘official’ version.
Most interesting and perhaps revealing of all, Crilock.A adds the ability to infect removable drives. This worm technique is as old as the hills and although slowing its spread it does ensure a degree of longevity. On the other hand, while it can hide on drives for years to come, by the time it activates it will probably detected by every security programme in existence.
ESET has published a full list of the differences between Cryptolocker and Crilock.A/Cryptolocker 2.0 on its website.

برچسب‌ها

حمله به وب‌سايت OpenSSL Project

تاریخ ایجاد

شماره: IRCNE2014012058
تاريخ:14/10/92

گروه OpenSSL Project تاييد كرد رمزهاي عبور ضعيفي كه بر روي زيرساخت ميزباني استفاده شده است منجر به در اختيار گرفتن كنترل وب سايت آن ها شده است و اين نگراني كه هكرها از يك آسيب پذيري در نرم افزار شبيه سازي سوء استفاده كردند را برطرف مي كند.
صفحه اصلي سايت www.openssl.org، سايت رسمي OpenSSL Project روز يكشنبه هدف حمله هكرها قرار گرفت تا پيامي از يك گروه هكرها با عنوان TurkGuvenligi را نشان دهد.
اين رخداد باعث نگراني متخصصان امنيت شد زيرا OpenSSL يك كتابخانه رمزگذاري بسيار محبوب مي باشد كه براي پياده اسزي ارتباطات امن در بسياري از محصولات نرم افزاري مورد استفاده قرار مي گيرد.
روز اول ژوئن، گروه OpenSSL Project برخي يافته هاي اوليه مبني بر سوء استفاده از اين وب سايت را منتشر ساخت و اظهار كرد كه صحت و تماميت كد منبع OpenSSL تحت تاثير اين رخداد قرار نگرفته است.
با اين وجود گزارشات اوليه اين نگراني را ايجاد كرد كه اين حمله از طريق hypervisor موجود در محيط ميزبان اتفاق افتاده است.
پس از انجام تحقيقات تكميلي گروه OpenSSL Project اعلام كرد كه اين حمله به علت سو استفاده از آسيب پذيري موجود در hypervisor اتفاق نيفتاده است بلكه بواسطه استفاده از رمزهاي عبور ناامن به وقوع پيوسته است.
گروه OpenSSL Project اظهار داشت كه اقدامات لازم براي محافظت از اين وب سايت در برابر حملات احتمالي را انجام خواهد داد.

برچسب‌ها

اسكايپ، هدف حمله گروه هكرها

تاریخ ایجاد

شماره: IRCNE2014012057
تاريخ:14/10/92

شركت اسكايپ اعلام كرد كه رسانه اجتماعي آن توسط گروه هكري ارتش الكترونيك سوريه هدف حمله قرار گرفته است.
روز چهارشنبه اسكايپ در پيامي در توييتر اعلام كرد كه شما ممكن است متوجه شده باشيد كه رسانه اجتماعي اسكايپ هدف حمله قرار گرفته است. اين شركت از كاربران پوزش خواسته است و هم چنين در اين پيام آمده است كه هيچ يك از اطلاعات كاربران افشاء نشده است.
با توجه به گزارشات دريافتي، به نظر مي رسد كه حساب هاي كاربري توييتر اسكايپ، وبلاگ ها و صفحات فيس بوك توسط گروه هكري SEA هدف حمله قرار گرفته است. روز چهارشنبه وبلاگ اسكايپ در دسترس نبود و كاربران را به صفحه خانگي اسكايپ هدايت مي كرد.
پيش از اين نيز گروه SEA بسياري از وب سايت هاي سطح بالا و هم چنين حساب هاي كاربري توييتر را هدف حمله قرار داده بود. در ماه آگوست، ظاهرا حمله اي توسط اين گروه بر روي يك ثبت كننده نام دامنه استراليايي صورت گرفته است كه به موجب آن وب سايت هاي نيويورك تايمز، توييتر و برخي ديگر از شركت هاي مهم تحت تاثير قرار گرفته بودند.

برچسب‌ها

No hypervisor vulnerability exploited in OpenSSL site breach

تاریخ ایجاد

ID: IRCNE2014012058
Date: 2013-01-04

According to "techworld", the OpenSSL Project confirmed that weak passwords used on the hosting infrastructure led to the compromise of its website, dispelling concerns that attackers might have exploited a vulnerability in virtualization software.
The home page of www.openssl.org, the official site the OpenSSL Project, was defaced Sunday to display a message from a group of hackers called TurkGuvenligi.
The incident caused concern among security experts because OpenSSL is a very popular cryptographic library that's used to implement secure communications in a wide variety of software products, from Web servers to mobile apps.
On Jan. 1, the OpenSSL Project published some preliminary findings following an initial investigation into the compromise and said that the integrity of the OpenSSL source code had not been affected.
However, the preliminary report sparked new concerns because it also said the attack happened through the hypervisor of the hosting environment.
The OpenSSL Project updated its own report Friday to clarify that the attack was not the result of a vulnerability in the hypervisor itself, but a result of the hosting provider using insecure passwords, the OpenSSL Project said.
Indit Hosting did not immediately respond to a request for comment, but the OpenSSL Project said that steps were taken to protect against this type of attack in the future.

برچسب‌ها

Skype's social media accounts targeted by hacker group

تاریخ ایجاد

ID: IRCNE2014012057
Date: 2013-01-04

According to "techworld", skype said its social media properties were targeted, with a group styling itself as the Syrian Electronic Army appearing to claim credit for the hacks.
"You may have noticed our social media properties were targeted today," Skype said in a Twitter message late Wednesday. "No user info was compromised. We're sorry for the inconvenience."
Skype's Twitter account, blog and Facebook page appeared to have been attacked by the SEA, a group that supports the Syrian government, according to reports. The Skype blog was still inaccessible late Wednesday and redirected users to the Skype home page.
The SEA has targeted previously many high-profile websites and Twitter accounts. In August, an attack purportedly by SEA on Melbourne IT, an Australian domain registrar, affected the websites of The New York Times, Twitter and other top companies.

برچسب‌ها

كشف روش جديد سرقت از ATM

تاریخ ایجاد

شماره: IRCNE2014012056
تاريخ:11/10/92

با توجه به گزارش منتشر شده توسط بي بي سي، اخيرا مشخص شد كه سارقان قادر هستند تا با تزريق بدافزار با استفاده از درايوهاي USB به ماشين هاي ATM، پول اين دستگاه ها را به سرقت ببرند.
ظاهرا مجرمان به صورت دستي سوراخي را در بدنه ماشين ها ايجاد مي كنند و سپس USB را به ماشين متصل كرده و بدافزار را بر روي سيستم نصب مي كنند. پس از آن كه ماشين آلوده به بدافزار شد، سارقان سوراخي ايجاد شده را تعمير مي كنند.
با توجه به گزارش بي بي سي، محققان جزئيات روش اين سرقت را در كنفرانس Chaos Computing كه اخيرا در هامبورگ آلمان برگزار شد، توضيح دادند.
محققان اظهار داشتند كه اين بدافزار به سارقان اجازه مي دهد تا يك واسط واحدي را بر روي دستگاه ATM ايجاد كنند. اين واسط به سارقان اجازه مي دهد تا پول را از دستگاه خارج كنند، هم چنين به آن ها حجم پول موجود در دستگاه را نشان مي دهد.

برچسب‌ها

يافتن راهی برای هک كردن كارت‌های SD

تاریخ ایجاد

شماره: IRCNE2014012055
تاريخ:11/10/92

محققان امنيتي راهي را براي هك كردن كارت هاي SD، رايج ترين فرم كارت هاي حافظه فلش كه براي ذخيره داده هاي تلفن همراه و دوربين هاي ديجيتالي استفاه مي شود، پيدا كردند.
اندرو باني و هوانگ و شان كراس اين رويكرد را روز يكشنبه در يك پست وبلاگ افشاء كرده و در كنفرانس 30C3 درباره آن توضيح دادند. با استفاده از اين روش حمله، فرد مي تواند نرم افزار مخربي را بر روي كارت حافظه خودش اجرا كند. زيرا اين كارت ها از قطعات كوچكي به نام ميكروكنترلر ساخته شدند كه براي نظارت بر جزئيات داده هاي ذخيره شده استفاده مي شود.
نتيجه اين روش راه اندازي يك حمله man-in-the middle مي باشد. در حمله man-in-the middle، شخصي مي تواند اطلاعاتي كه از يك مكان به مكان ديگر منتقل مي شود را رهگيري كند و به طور بالقوه آن ها را بررسي كرده و يا تغيير دهد. هوانگ و كراس بر اين باور هستند كه حمله آن ها مي تواند براي كپي كردن داده ها، تغيير داده هاي حساس مانند كليدهاي رمزگذاري يا براي از كار انداختن فرآيند تاييد هويت مورد استفاده قرار گيرد.
اين حمله نه تنها بر روي كارت هاي SD كه بر روي دستگاه هاي ديگر حافظه فلش مانند SSDها و eMMC قابل پياده سازي است.
البته اين آسيب پذيري خاص كه هوانگ و كراس درباره آن توضيح دادند بر روي تمامي دستگاه هاي حافظه فلش وجود ندارد و اين حمله بر روي تمامي اين دستگاه ها قابل پياده سازي نيست بلكه به ميكرو كنترلرهاي خاص استفاده شده در اين حافظه ها بستگي دارد. با اين حال، آن ها معتقدند كه اين رويكرد به طور عمومي موثر مي باشد و تمامي دستگاه هاي فلش كه از چنين ميكروكنترلرهايي استفاه مي كنند در برابر اين حمله آسيب پذير مي باشند.

برچسب‌ها

كشف بدافزار جديدی عليه سرورهای آپاچی و Nginx

تاریخ ایجاد

شماره: IRCNE2013122054
تاريخ:9/10/92

با توجه به يافته هاي محققان شركت امنيتي IntelCrawler، بدافزار جديدي كه به عنوان يك ماژول براي سرورهاي آپاچي و Nginx عمل مي كند در فرم هاي مجرمان سايبري فروخته مي شود.
اين بدافزار Effusion ناميده مي شود و با توجه به مشاهدات شركت امنيتي IntelCrawler، اين بدافزار مي تواند به صورت بلادرنگ به وب سايت هايي كه بر روي وب سرورهاي در معرض خطر ميزباني مي شوند، كدي را تزريق كند. با استفاده از تزريق محتوي دلخواه به اين وب سايت ها، مهاجمان مي توانند بازديدكنندگان را به سمت وب سايت هاي مخرب هدايت كنند يا حملات مهندسي اجتماعي را راه اندازي نمايند.
ماژول Effusion بر روي Nginx نسخه 0.7 تا نسخه 1.4.4 و بر روي آپاچي در حال اجرا بر روي نسخه هاي 32 بيتي و 64 بيتي لينوكس يا FreeBSD كار مي كند.
اين بدافزار مي تواند كدهاي خرابكار را بر روي محتوي استاتيك از انواع خاص MIME از جمله جاوا اسكريپت و HTML تزريق كند. مهاجمان مي توانند پيكربندي به روز رساني ها را اعمال نمايند و از راه دور تغييرات كد را كنترل نمايند.
اين بدافزار مي تواند بررسي كند كه آيا مي تواند دسترسي root داشته باشد يا خير و در صورتي كه دسترسي root بدست آورد مي تواند به مهاجمان اجازه دهد تا كنترل هاي قوي تري را بر روي سيستم داشته باشند. هم چنين اين بدافزار مي تواند پس از آن كه فرآيندي مشكوك در سيستم كشف شود به منظور پنهان كردن خود، محتوي تزريق شده را حذف نمايد.
با وجود آن كه اين بدافزار، اولين بدافزاري نيست كه ماژول آپاچي را مورد هدف قرار مي دهد اما يكي از معدود بدافزارهايي است كه همزمان سرور وب Nginx را مورد هدف قرار داده است.

برچسب‌ها

Criminals pilfer ATMs with malware infected USB drives

تاریخ ایجاد

ID: IRCNE2014012056
Date: 2014-01-01

According to "cnet", it was recently revealed that thieves were able to access loads of ATM money by injecting machines with malware using USB drives, according to the BBC.
Apparently, the criminals manually cut holes in the machines to plug in USB sticks that then installed malware on the system. Once the machines were infected, the robbers would patch the holes on the dispensers.
According to the BBC, researchers presented the details of the robberies during the recent Chaos Computing Congress in Hamburg, Germany.
These researchers explained that the malware allowed the thieves to create a unique interface on the ATMs by typing in a 12-digit code. This interface allowed for withdrawal and also showed the criminals the amount of money and each bill denomination inside the machines.

برچسب‌ها