Profile firm
Gekoplast GekoplastPrzemysł
OS3 Sp z o.o. OS3 Sp z o.o.PR / Marketing
JJ Communications JJ CommunicationsPR / Marketing
BIBUS MENOS BIBUS MENOSPrzemysł
RWE RWEEnergetyka
CrowdConnect.pl CrowdConnect.plInwestycje
Netia NetiaTelekomunikacja
PayPal PayPalFinanse
Technologie

Analiza FortiGuard: podatności w popularnych urządzeniach sieciowych

2020.02.12 11:00
Autor:

Niebezpieczne luki w popularnych modemach i routerach, nowe trojany i oprogramowanie typu ransomware – analitycy z FortiGuard Labs firmy Fortinet prezentują najciekawsze odkrycia ostatnich dni.

Podatności w modemach i routerach

Analitycy bezpieczeństwa informują o luce w modemach kablowych wykorzystujących układy firmy Broadcom. Wada ta, nazwana Cable Haunt, może być obecna w ponad 200 milionach modemów w Europie. Zainstalowany w nich firmware jest podatny na ataki odbicia DNS. Po wejściu na złośliwą stronę phishingową za pomocą przeglądarki na podłączonym do takiego modemu komputerze, specjalnie spreparowany pakiet może wykorzystać lukę i umożliwić wykonanie dowolnych komend na modemie, przy jednoczesnym uzyskaniu pełnego dostępu do urządzenia. Badacze obawiają się, że stosujący te układy z niezabezpieczonym firmware’em producenci modemów kablowych automatycznie przenieśli tę podatność do swoich urządzeń. Tego typu słabe punkty należy jak najszybciej usunąć poprzez aktualizację firmware’u, a jeśli nie jest dostępna jego nowa wersja, zaprzestanie korzystania z takiego modemu.

Analitycy wykryli również próbę wykorzystania luki Authentication Bypass w routerach Linksys. Jej powstanie jest efektem braku weryfikowania danych przychodzących podczas obsługi spreparowanego przez cyberprzestępców żądania HTTP. Zdalny użytkownik może wykorzystać tę lukę do wykonania dowolnego kodu. Wśród produktów, w których jest ona obecna, są routery Wi-Fi Linksys oraz punkty dostępowe. Największa liczba podatnych urządzeń znajduje się w Korei, Australii, USA i na Tajwanie.

Ransomware przez protokół RDP

Phobos jest złośliwym programem typu ransomware i wykorzystuje popularny protokół RDP (Remote Desktop Protocol) jako wektor ataku. Na całym świecie miliony systemów wyposażonych w RDP są podatne na różne rodzaje ataków, głównie dlatego, że brakuje w nich aktualnych łatek bezpieczeństwa. Dzięki nim Phobos może uzyskiwać dostęp do sieci korporacyjnej w celu przeprowadzenia ataku. To narzędzie jest sprzedawane również w darkwebie jako usługa, w modelu Ransomware-as-a-Service (RaaS), co sprawia, że nawet mniej zaawansowanym technicznie przestępcom bardzo łatwo jest zaatakować firmy na całym świecie.

Trojany wciąż niebezpieczne

Badacze z FortiGuard odkryli niedawno narzędzie Trojan-Dropper.AndroidOS.Shopper, które jest używane przez cyberprzestępców do podwyższania oceny wybranych aplikacji mobilnych i w konsekwencji zwiększania liczby ich instalacji. Może być ono wykorzystane do promowania oprogramowania służącego do kryminalnych celów lub nieuczciwego zwiększania oceny aplikacji, świadczonego jako usługa na rzecz jej autorów.

Na zainfekowanym urządzeniu trojan może również wyświetlać komunikaty reklamowe i tworzyć skróty do witryn reklamowych. Potrafi też napisać fałszywą recenzję użytkownika, instalować aplikacje poprzez sklep Google Play i inne platformy, a także rejestrować użytkowników z wykorzystaniem ich kont Google lub Facebook w fałszywych aplikacjach, udających oprogramowanie przeznaczone do zakupów w takich serwisach jak AliExpress, Lazada, Zalora i innych.

Tego typu aktywność trojana jest nadużyciem reguł korzystania z usług Google – nie ma on praw do instalacji aplikacji ze źródeł zewnętrznych, a także jest w stanie wyłączyć ochronę Google Play. Złośliwe oprogramowanie zwodzi potencjalną ofiarę, udając aplikację systemową. Na koniec zbiera informacje o urządzeniu ofiary, takie jak kraj pochodzenia, typ sieci, sprzedawca, model smartfona, adres e-mail, IMEI i IMSI, a następnie przekazuje je na serwer przestępców.

Ciekawym przypadkiem, wykrytym przez analityków Fortinet, jest również trojan o nazwie Lampion. To złośliwe oprogramowanie było rozprowadzane za pomocą wiadomości e-mail skierowanych do portugalskiego ministerstwa finansów. Z analizy wynika, że Lampion przypomina rodzinę Trojan Banker.Win32.ChePro, ale z pewnymi ulepszeniami, które są trudne do wykrycia i przeanalizowania.

W kampanii phishingowej wykorzystano szablon e-maila ze złośliwym załącznikiem o nazwie FacturaNovembro-4492154-2019-10_8.zip. W pierwszym etapie Lampion generuje losowe nazwy, które zostaną nadane złośliwemu plikowi tekstowemu utworzonemu na zainfekowanym urządzeniu, a następnie rozszyfrowuje adres URL do pobrania złośliwego oprogramowania. Następnie zbiera dane ze schowka, dysku oraz przeglądarek i wysyła je na serwer Command&Control (C&C, C2), jeśli otrzyma z niego takie żądanie.

Komenatrze
Polecane
Profile firm z podobnej branży
Podstawowe informacje:




Wiadomości firmowe

Fortinet ogłosił wyniki finansowe za IV kwartał 2019 roku oraz za cały 2019 rok Technologie
Fortinet ogłosił wyniki finansowe za IV kwartał 2019 roku oraz za cały 2019 rok
Warszawa, 25.02.2020 r. Fortinet, światowy lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, przedstawił wyniki więcej
Czy internet naprawdę jest niebezpieczny?
Czy internet naprawdę jest niebezpieczny?
„Dzień bezpiecznego internetu” to dobra okazja, aby uświadomić sobie, że bezpieczeństwo w cyberprzestrzeni zależy w dużej mierze od więcej
Fortinet i Equinix przyspieszają łączność w chmurze dzięki narzędziu Fortinet Secure SD-WAN
Fortinet i Equinix przyspieszają łączność w chmurze dzięki narzędziu Fortinet Secure SD-WAN
Fortinet, światowy lider w dziedzinie szerokich, zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, rozpoczął współpracę z więcej
Czy internet naprawdę jest niebezpieczny?
Czy internet naprawdę jest niebezpieczny?
„Dzień bezpiecznego internetu” to dobra okazja, aby uświadomić sobie, że bezpieczeństwo w cyberprzestrzeni zależy w dużej mierze od więcej
Analiza FortiGuard: podatności w popularnych urządzeniach sieciowych
Analiza FortiGuard: podatności w popularnych urządzeniach sieciowych
Niebezpieczne luki w popularnych modemach i routerach, nowe trojany i oprogramowanie typu ransomware – analitycy z FortiGuard Labs firmy więcej