ID: IRCNE2013122046
Date: 2013-12-18

According to "techworld", an Android botnet found in South Korea that steals text messages may be one of the largest and most advanced mobile malware operations discovered, according to security vendor FireEye.
The botnet, which FireEye called "MisoSMS," was used in 64 spyware campaigns, stealing text messages from phones in Korea and forwarding them to email accounts accessed by hackers in both China and South Korea.
MisoSMS is embedded in an Android application that purports to be an administrative settings tool, FireEye wrote on its blog. The application calls itself "Google Vx" and asks for administrative permissions that, if granted, allow the malware to hide.
It then collects text messages and sends them by email to the attackers, which is a new technique, FireEye wrote. Some SMS malware applications forward text messages to hackers' phones via SMS, while others send messages via TCP connections.
More than 450 web email accounts were used to control the malware. "The attackers logged in from Korea and mainland China, among other locations, to periodically read the stolen SMS messages," FireEye analysts wrote.
The email accounts used in connection with MisoSMS have been deactivated, and the attackers have not since registered any new email addresses.

شماره: IRCNE2013122052
تاريخ: 29/09/92

اپل نخستين به‌روز رساني جدي خود را براي سيستم عامل OS X 10.9 Mavericks عرضه كرد. Mavericks آخرين OS X عرضه شده توسط اپل است كه نخستين بار در 22 اكتبر به صورت عمومي در دسترس قرار گرفت. به‌روز رساني OS X 10.9.1 شامل به روز رساني‌هاي امنيتي و به‌روز رساني‌هاي پايدارسازي نرم‌افزار است.
از لحاظ امنيتي، بخشي از اين به‌روز رساني بر روي مرورگر سافاري تمركز كرده است. OS X 10.9 همراه با سافاري 7.0 عرضه شده بود كه اكنون اصلاح شده و به سافاري 7.0.1 ارتقاء يافته است. در مجموع به‌روز رساني سافاري 7.0.1 شامل نه به‌روز رساني امنيتي براي آسيب‌پذيري‌هاي كشف شده در سافاري و موتور WebKit آن است.
اپل در اين به‌روز رساني، يك آسيب‌پذيري نشت اطلاعات به نام CVE-2013-5227 را در سافاري 7.0.1 اصلاح كرده است.
همچنين هشت به‌روز رساني امنيتي براي موتور WebKit در مورد مسائل مرتبط با تخريب حافظه عرضه شده است. اپل در راهنمايي امنيتي خود نوشت كه مشكلات تخريب حافظه WebKit را از طريق مديريت بهبود يافته حافظه حل كرده است.
سه نقص از اين هشت نقص امنيتي توسط تيم امنيتي گوگل كروم به اپل گزارش شده بودند. تا همين اواخر، گوگل كروم نيز مانند اپل از تكنولوژي WebKit استفاده مي‌كرد، اما در ماه آوريل اين شركت موتور مرورگر Blink خود را معرفي كرد.

شماره: IRCNE2013122051
تاريخ: 29/09/92

به گزارش مايكروسافت، يك برنامه آنتي‌ويروس جعلي كه بين كاربران دست به دست مي‌شود، حداقل از دوازده گواهينامه ديجيتالي امضاي كد استفاده مي‌كند كه نشان مي‌دهد مجرمان سايبري به شدت در حال نفوذ به شبكه‌هاي توسعه دهندگان نرم‌افزارها هستند.
اين برنامه كه Antivirus Security Pro نام دارد، نخستين بار در سال 2009 شناسايي شد و در طول سال‌ها با نام‌هاي مختلف به فعاليت خود ادامه داده است. مايكروسافت اين آنتي‌ويروس جعلي را با نام Win32/Winwebsec معرفي مي‌كند.
گواهينامه‌هاي ديجيتال كه توسط CA ها (Certification Authority) صادر مي‌شوند، توسط توسعه دهندگان نرم‌افزارها براي امضاي برنامه‌هاي نرم‌افزاري مورد استفاده قرار مي‌گيرند. به اين ترتيب مي‌توان تشخيص داد كه يك برنامه واقعاً متعلق به كدام نويسنده نرم‌افزار است.
درصورتي‌كه هكري به اطلاعات احراز هويت مربوط به استفاده از يك گواهينامه دست يابد، مي‌تواند برنامه‌هاي خود را با استفاده از آن امضا كند و در نتيجه به نظر مي‌رسد كه آن برنامه، متعلق به يك توليد كننده معتبر نرم‌افزار است.
به گفته مايكروسافت، نمونه‌هاي جمع‌آوري شده Antivirus Security Pro از گواهينامه‌هاي سرقتي صادر شده توسط CA هاي مختلف در نقاط مختلف جهان استفاده مي‌كنند.
اين گواهينامه‌ها براي نرم‌افزار نويساني در هلند، ايالات متحده آمريكا، روسيه، آلمان، كانادا و انگلستان و توسط CA هايي مانند VeriSign، Comodo، Thawte و DigiCert صادر شده‌اند.
استفاده از گواهينامه‌هاي سرقتي، تاكتيك جديدي نيست، اما معمولاً كار سختي است، چرا كه هكرها بايد به يك سازمان يا يك نهاد صادر كننده گواهينامه نفوذ نمايند.
يكي از اين گواهينامه‌ها تنها سه روز پيش از نمونه‌برداري مايكروسافت صادر شده بود كه اين مسأله نشان مي‌دهد كه توليد كنندگان اين بدافزار همچنان در حال سرقت گواهينامه‌هاي جديد هستند.
همچنين مايكروسافت هشدار داده است كه آنتي‌ويروس جعلي ديگري به نام Win32/FakePav نيز با استفاده از گواهينامه‌هاي سرقتي در حال انتشار است.

شماره: IRCNE2013122050
تاريخ: 29/09/92

تصور كنيد كه در حال گذران زندگي عادي خود هستيد و ناگهان يك روز، تصاويري از داخل منزل خود دريافت كنيد! اما چگونه اين اتفاق ممكن است؟
قطعاً راهي براي هكرها وجود دارد كه از طريق وب‌كم‌هاي iSight در مك‌بوك‌هاي قديمي‌تر اپل، به جاسوسي در مورد افراد بپردازند. معمولاً به اين صورت است كه زماني كه دوربين روشن مي‌شود، چراغ كوچكي نيز روشن مي‌گردد. اما اخيراً كشف شده است كه اين چراغ مي‌تواند غيرفعال گردد، بدين ترتيب قرباني از همه جا بي‌خبر متوجه نمي‌شود كه دوربين وي روشن شده و توسط سايرين مشاهده مي‌شود.
اخيراً واشنگتن‌پست مقاله‌اي منتشر كرده است كه در آن توضيح داده است چگونه افراد مي‌توانند از طريق مك‌بوك‌ها و iMac هاي مربوط به پيش از سال 2008، هدف جاسوسي قرار گيرند. يك محقق علوم كامپيوتر به نام استفان چكووي با استفاده از ابزار مديريت از راه دور يا RAT، توانسته است تراشه ميكروكنترلر دوربين‌هاي iSight را طوري برنامه‌ريزي مجدد نمايد كه چراغ مزبور روشن نشود.
اگرچه ممكن است انجام اين ترفند در كامپيوترهاي جديدتر اپل يا لپ‌تاپ‌هاي ساير توليدكنندگان نيز ممكن باشد، اما هنوز چنين چيزي به اثبات نرسيده است.
اين نخستين بار نيست كه جاسوسي از راه دور و از طريق وب‌كم اتفاق مي‌افتد، اما نخستين بار است كه اين اتفاق بدون روشن شدن چراغ وب‌كم رخ مي‌دهد.

شماره: IRCNE2013122049
تاريخ: 29/09/92

شركت ادوبی گزارش داد كه يك كمپين سرقت هويت در حال فعاليت است و شامل يك ايميل مخرب مي باشد كه براي برخي از نرم افزارهاي ادوبی، كليدهاي مجوز ارائه مي دهد.
بر اساس گزارش هاي ديگر مانند گزارش منتشر شده توسط آزمايشگاه MX و يا مركز عمليات امنيت سيسكو، ايميل هاي ارسالي در واقع يك حمله سرقت هويت نيست اما حاوي يك فايل فشرده مي باشد كه به پيوست ارسال مي شود و اين فايل داراي يك فايل .exe مي باشد.
نام اين فايل License_Key_OR4924.zip و License_Key_Document_Adobe_Systems_____.exe مي باشد.
متن اين ايميل با توجه به گزارش منتشر شده توسط سيسكو به اين ترتيب مي باشد:

Subject: Download your adobe software
Message Body:
Hello.
Thank you for buying Digital Publishing Suite, Professional Edition Digital Publishing Suite software.
Your Adobe License key is in attached document below.
Adobe Systems Incorporated.

گزارش هاي آزمايشگاه MX نشان مي دهد كه متن اين پيام حالت هاي مختلفي دارد. آن ها اعلام كردند كه حجم فايل اجرايي 209 كيلو بايت است.

شماره: IRCNE2013122048
تاريخ: 29/09/92

با توجه به يافته هاي CERT Polska، مهاجمان سيستم هاي ويندوز و لينوكس را هدف حمله قرار داده اند تا يك بدافزار جديد را كه براي راه اندازي حملات انكار سرويس توزيع شده طراحي شده است، بر روي آن ها نصب نمايند.
اين بدافزار توسط CERT لهستاني در اوايل دسامبر كشف شد و نسخه لينوكسي اين بدافزار داراي حملات حدس زدن كلمه عبور مبتني بر فرهنگ لغت عليه خدمات SSH مي باشد. اين نسخه از بدافزار تنها سيستم هايي را تحت تاثير قرار مي دهد كه مي توانند از راه دور و از طريق اينترنت به SSH دسترسي يابند و داراي حساب هاي كاربري با كلمات عبور ضعيف مي باشند.
اين بدافزار پس از اجرا از طريق يك آدرس IP و پورت به يك سرور كنترل و فرمان متصل مي شود. پس از اولين اجرا، اين بدافزار اطلاعات سيستم عامل را براي سرور كنترل و فرمان ارسال مي كند و منتظر دستورات مي ماند.
با توجه به گزارش منتشر شده توسط CERT لهستاني، چهار نوع حمله از اين طريق قابل پياده سازي و اجرا است و هر يك از آن ها يك حمله DDoS بر روي هدف تعيين شده را اجرا مي كنند. يك از اين حملات، حمله DNS Amplification مي باشد كه در آن يك درخواست شامل 256 پرس و جوي تصادفي مي باشد و براي يك سرور DNS ارسال مي شود.
در طول حمله اين بدافزار اطلاعاتي را از قبيل اجراي حمله، سرعت CPU، بارگذاري سيستم و سرعت ارتباطات شبكه تهيه كرده و براي سرور كنترل و فرمان ارسال مي كند.
گونه اي ديگري از اين بدافزار نيز براي سيستم هاي ويندوز طراحي شده است و بر روي آدرس "C:\Program Files\DbProtectSupport\svchost.exe" نصب مي شود و به گونه اي تنظيم مي شود تا يك سرويس را هنگام راه اندازي سيستم اجرا نمايد.
برخلاف نسخه لينوكس، نسخه ويندوز اين بدافزار از طريق يك نام دامنه به سرور كنترل و فرمان متصل مي شود. با اين وجود، هر دو نسخه اين بدافزار به يك سرور كنترل و فرمان متصل مي شوند.

شماره: IRCNE2013122047
تاريخ: 29/09/92

بر اساس تجزيه و تحليل شركت Dell SecureWorks ، تروجان Cryptolocker حداقل 250 هزار كامپيوتر شخصي را در سراسر جهان آلوده كرده است.
ارائه برخي از داده هاي اوليه نشان مي دهد كه 31866 كامپيوتر شخصي آلوده شده به اين تروجان با سرورهاي كنترل و فرمان مابين 22 اكتبر تا 1 نوامبر در ارتباط بوده اند كه حدود 22000 كامپيوتر شخصي مربوط به كشور امريكا و 1700 كامپيوتر متعلق به كشور انگلستان بوده است.
حمله مشابهي در تاريخ 9 تا 16 دسامبر نيز اتفاق افتاده است كه تعداد كامپيوترهاي شخصي آلوده در اين حمله نسبت به حمله گذشته كاهش يافته است و تنها 6459 سيستم آلوده شده اند.
با توجه به اين ارقام، شركت Dell SecureWorks تخمين زده است كه در 100 روز اول فعاليت تروجان Cryptolocker كه اواسط سپتامبر بوده است، حدود 200000 تا 250000 كامپيوتر شخصي به اين تروجان آلوده شده است. بيشتر قربانيان اين بدافزار كسب و كارهاي كوچك بوده است.

شماره: IRCNE2013122046
تاريخ:27/09/92

با توجه به يافته هاي شركت امنيتي FireEye، يك بات نت اندرويد در كره جنوبي كشف شده است كه پيام هاي كوتاه را به سرقت مي برد و ممكن است يكي از بزرگترين عمليات بدافزاري تلفن همراه باشد.
اين بات نت كه شركت امنيتي FireEye نام آن را MisoSMS گذاشته است در 64 كمپين جاسوسي مورد استفاده قرار گرفته است و پيام هاي كوتاه را از تلفن همراه افراد در كره جنوبي به سرقت برده و براي حساب هاي كاربري ايميل كه در دسترس هكرهاي چيني و كره جنوبي است، ارسال مي كند.
MisoSMS در يك برنامه كاربردي اندرويد قرار دارد و يك ابزار تنظيمات مديريتي مي باشد. اين برنامه "Google Vx" نام دارد و هنگام نصب درخواست دسترسي هاي مديريتي مي كند و در صورتي كه كاربر آن را قبول كند، اين بدافزار نيز همزمان با برنامه نصب مي شود.
اين بدافزار پس از نصب پيام هاي كوتاه را جمع آوري كرده و براي مهاجمان ارسال مي كند. شركت امنيتي FireEye در گزارش خود آورده است كه اين بدافزار از روش جديدي استفاده مي كند. تا پيش از اين برخي بدافزارهاي پيام كوتاه، متن پيام ها را از طريق پيام كوتاه و يا برخي ديگر از طريق ارتباطات TCP، براي مهاجمان ارسال مي كردند.
تحقيقات اين شركت نشان مي دهد كه بيش از 450 حساب كاربري ايميل اين بدافزار را كنترل مي كند. در حال حاضر حساب هاي كاربري كه با اين بدافزار در ارتباط بودند، غيرفعال شده اند و هكرها تاكنون حساب جديدي را ايجاد نكرده اند.

شماره: IRCNE2013122045
تاريخ:26/09/92

مهاجمان از يك آسيب پذيري در ادوب ColdFusion سوء استفاده كردند تا بدافزار سرقت داده را نصب نمايند. اين بدافزار به عنوان ماژولي براي نرم افزار سرور وب IIS كار مي كند.
محققان شركت امنيتي Trustwave گزارش دادند كه سرورهاي وب IISاي را شناسايي كردند كه ماژول IIS آن آلوده به بدافزار سرقت داده مي باشد. ماژول هاي شناسايي شده فايل هاي DLL جعلي مي باشند كه توسط يك بدافزار نصب شدند. اين ماژول ها هر دو نسخه 32 بيتي و 64 بيتي از IIS6 و IIS7+ را آلوده نمودند.
اين بدافزار پس از شناسايي نسخه IIS، ماژول هاي مربوط به آن را نصب مي كند و پس از آن درخواست هاي POST آدرس هاي خاصي را مانيتور مي كند و اطلاعات مربوط به آن را در يك فايل ثبت ذخيره مي كند.
اين روش اجازه مي دهد تا داده ها جمع آوري شوند حتي اگر ارتباط بين كاربر و سرور با SSL حفاظت شده باشد.
تحقيقات جديد نشان مي دهد كه اين بدافزار با سوء استفاده از آسيب پذيري دور زدن تاييد هويت از راه دور در ادوب ColdFusion، بر روي سرورهاي IIS نصب مي شود.
در سال جاري شركت ادوب دو مرتبه به كاربران خود در خصوص آسيب پذيري هاي ColdFusion هشدار داده است.

ID: IRCNE2013122045
Date: 2013-12-17

According to "techworld", attackers exploited a vulnerability in Adobe ColdFusion to install data-stealing malware that works as a module for Microsoft's Internet Information Services (IIS) Web server software.
Researchers from security firm Trustwave recently reported they've identified IIS (Internet Information Server) Web servers infected with malicious IIS modules designed to steal information submitted by users on websites hosted on those servers.
The modules are rogue DLL (dynamic link library) files and were installed by a malware program the Trustwave researchers dubbed ISN that infects both 32-bit and 64-bit versions of IIS6 and IIS7+.
ISN detects the IIS version and installs the corresponding DLL module, which then monitors POST requests -- data submissions -- to specific URLs and saves the information to a log file.
This method allows the data to be collected even if the connection between the user and the server is protected by SSL (Secure Sockets Layer).
In a new blog post Friday, the researchers revealed that ISN is being installed on the compromised IIS servers by exploiting a remote authentication bypass vulnerability in Adobe ColdFusion, a Web application platform.
Adobe warned customers two times this year about ColdFusion vulnerabilities that had no patches and were already being actively exploited by attackers.