טון אקספלורר

Toon Explorer מציע למשתמשים דרך נוחה וקלה לשימוש לחפש ולגשת לתוכן הקשור לקריקטורה. למרות שזו בהחלט יכולה להיות הצעה מפתה עבור משפחות עם ילדים קטנים או אנשים המעוניינים בקריקטורות פופולריות, נראה שזו רק מסכה שמסתירה את הפונקציונליות האמיתית של האפליקציה. ואכן, חוקרי infosec קבעו ש-Toon Explorer היא בעיקר תוכנת פרסום שנועדה לספק פרסומות לא רצויות למשתמשים. יישומי פרסום ידועים בעיקר ביצירת מודעות פולשניות המקדמות יעדים מפוקפקים. ניתן להציג למשתמשים פרסומות לאתרי מתיחה, פלטפורמות הימורים מקוונות או משחקים מפוקפקים, דפים חשודים המכוונים למבוגרים וכו'. הפרסומות יכולות לשמש גם להפצת PUPs פולשניים נוספים (תוכנות לא רצויות) המחופשות ליישומים לגיטימיים לכאורה. PUPs מצוידים בדרך כלל ביכולות מעקב אחר נתונים, ו- Toon Explorer יכול להיות גם כן....

פורסם ב-April 15, 2022 ב-תוכנות פרסום, Potentially Unwanted Programs

תוכנת כופר של גילפילן

תוכנת הכופר של Gilfillan זוהתה כגרסה שמקורה במשפחת התוכנות הזדוניות VOidCrypt . עם זאת, עובדה זו אינה מפחיתה מיכולתו של האיום לגרום נזק משמעותי למחשבים ולמכשירים שהוא מצליח להדביק. אכן, שגרת ההצפנה של תוכנת הכופר של Gilfillan מספיקה כדי להשפיע על מגוון גדול של סוגי קבצים ולהשאיר אותם במצב בלתי שמיש לחלוטין. בנוסף, הקורבנות ישימו לב שלכל קובץ מושפע שונה שמו המקורי במידה משמעותית. האיום יוצר מחרוזת מזהה עבור כל קורבן ומוסיף אותה לשמות הקבצים הנעולים. אחריו כתובת אימייל הנשלטת על ידי התוקפים. לבסוף, סיומת קובץ חדשה - '.גילפילן.' יצורף. הנחיות למשתמשים המושפעים יימסרו למערכות בשתי צורות שונות - כקובץ טקסט בשם 'Decryption-Guide.txt' וקובץ 'Decryption-Guide.HTA'. הפרטים של הערת כופר ההודעות הדורשות כופר בשני המקורות זהים לחלוטין. הם מורים...

פורסם ב-April 15, 2022 ב-Ransomware

HOUSELOCKER תוכנת כופר

מערכות מחשב נמצאות תחת איום על ידי איום כופר חדש ומזיק ביותר. התוכנה הזדונית התגלתה לראשונה על ידי צוות מחקר ומעקבה אותו בתור HOUSELOCKER. האיום אינו עוקב אחר ההתנהגות האופיינית הקשורה בדרך כלל לאיומי תוכנות כופר. ואכן, במקום להצפין סוגי קבצים פופולריים, תוך שמירה על היציבות הכוללת של המערכת שנפגעה, HOUSELOCKER נועד להשפיע על ה-MBR (Master Boot Record). כתוצאה מכך, הקורבנות לא יוכלו יותר לגשת למערכת ההפעלה של המכשירים שלהם, ויאבדו את כל הנתונים המאוחסנים במערכת ביעילות. לאחר ש- HOUSELOCKER יסיים עם הפעולות החודרניות שלו, הוא יתחיל אתחול מחדש של המכשיר. במקום מסך הכניסה הרגיל של מערכת ההפעלה שלהם, יוצגו לקורבנות פתק כופר על רקע שחור. ההוראות מהתוקפים קובעות כי פענוח אפשרי אך מחיר מפתח הפענוח הדרוש שברשותם הוא 130,000 Rosecoins. יש להעביר...

פורסם ב-April 15, 2022 ב-Ransomware

תוכנה זדונית של PIPEDREAM

משרד האנרגיה של ארה"ב (DOE), CISA, NSA וה-FBI, פרסמו אזהרת ייעוץ משותפת לאבטחת סייבר לגבי פעולות תקיפה שבוצעו על ידי קבוצות APT (Advanced Persistent Threat) הנתמכות על ידי הממשלה ומכוונות למכשירים תעשייתיים קריטיים. זני תוכנות זדוניות מודולריות שנבנו בהתאמה אישית דווחו כמסוגלים לסרוק ולסכן התקני ICS (מערכות בקרה תעשייתיות) ו-SCADA (Supervisory Control And Acquisition Devices). איום תוכנה זדוני אחד כזה עוקב כ-PIPEDREAM על ידי חברת אבטחת הסייבר התעשייתית Dragos ו-INCONTROLLER על ידי Mandiant. הזן המאיים התגלה על ידי חוקרי infosec, לפני שנעשה בו שימוש בקמפיינים פעילים של תקיפה, מה שנותן לקורבנות פוטנציאליים את הסיכוי חסר התקדים להקים אמצעי נגד מתאימים. לדברי דרגוס, איום ה-PIPEDREAM פותח על ידי שחקן איומים שהם מזהים כקבוצת הפעילות של...

פורסם ב-April 15, 2022 ב-Advanced Persistent Threat (APT), Malware

חוקרים בחרו בנפרד רשת בוט היברידית של Enemybot החושפת סכנות אמיתיות

צילום מסך חוקרים בחרו בנפרד רשת בוט היברידית של Enemybot החושפת סכנות אמיתיות

צוות חוקרים עם חברת האבטחה FortiGuard פרסם לאחרונה פוסט בבלוג, המפרט תוכנה זדונית חדשה של בוטנט. הבוטנט מתמקד בעיקר באספקת התקפות מניעת שירות מבוזרות ונקרא Enemybot . Enemybot הוא שילוב של Mirai ו-Gafgyt לפי FortiGuard, Enemybot הוא משהו כמו מוטציה, שואל קוד ומודולים הן מהבוטנט Mirai הידוע לשמצה והן מהבוטנט Bashlite או Gafgyt , כאשר יותר מושאל מהאחרון. העובדה שלשתי משפחות הבוטנט האלה יש את קוד המקור שלהן זמין באינטרנט מקלה על שחקני איומים חדשים להרים את הלפיד, לערבב ולהתאים ולהפיק גרסה משלהם, בדומה ל-Enemybot. התוכנה הזדונית החדשה של Enemybot קשורה לשחקן האיום של Keksec - ישות הידועה בעיקר בביצוע התקפות מניעת שירות מבוזרות קודמות (DDoS) . התוכנה הזדונית החדשה אותרה על ידי FortiGuard...

פורסם ב-April 14, 2022 ב-Computer Security

תוכנה זדונית של ColdStealer

תוכנת ה-ColdStealer Malware נכנסת לקטגוריה של איומי גנבי מידע שנועדו להשיג מידע רגיש ופרטי מהמערכות שהם מדביקים. האיום התגלה לראשונה על ידי מומחי אבטחת סייבר. ColdStealer מסוגל לאסוף מידע משתמש שונים ולאחר מכן לשדר אותו לשרת פקודה ושליטה (C2, C&C) ייעודי. שרשרת התקיפה של המבצע מתחילה בתוכנת זדונית שמפגישה את המערכות הממוקדות. על האיום מוטלת המשימה לפרוץ את המכשיר, להביא את המטען של ColdStealer ולאחר מכן לבצע אותו. וקטור סביר להפצה של הטפטפת הוא באמצעות תוכניות קראק מנשקות עבור מוצרי תוכנה פופולריים. לאחר שהוקמו במערכת, ColdStealer יכול לחלץ מידע על הדפדפן כולל עוגיות, מזהים, סיסמאות ועוד. האיום גם מסוגל לגשת לנתונים מהרחבות דפדפן מותקנות, מידע על ארנקי מטבעות קריפטוגרפיים המאוחסנים בדרך כלל ברישום או בספריות המקומיות והנדידה, מידע על...

פורסם ב-April 14, 2022 ב-Stealers

Yt1s.com

עמוד Yt1s.com מציע למבקריו את היכולת להוריד תוכן YouTube למכשירים שלהם. משתמשים יכולים אפילו לבחור את הפורמט הרצוי של הקובץ המופק, כגון mp3, mp4 ו-3gp. יש לציין כי ניצול אתרים מסוג זה נוגד את ה-ToS של פלטפורמת YouTube ועלול ליפול להפרת זכויות יוצרים. בנוסף, אתרים כגון Yt1s.com, משתמשים לעתים קרובות ברשתות פרסום סוררות. כתוצאה מכך, בכל פעם שמשתמשים נוחתים בדף, הם יתקבלו בפרסומות מפוקפקות ופולשניות. הפרסומות עשויות להכיל הצעות מפתות לכאורה שמובילות לחנויות מקוונות (הן לגיטימיות והן הונאה), לקדם טקטיקות ומתנות מזויפות, לגרום להפניה מחדש לתוכניות דיוג, או לנסות לשכנע את המשתמש להתקין תוכנות פרסום, חוטפי דפדפן או כלבים אחרים המחופשים לשימושי יישומים. יתר על כן, כל אינטראקציה עם האתר עלולה להפעיל הפניות מאולצות ליעדים בלתי אמינים באופן דומה....

פורסם ב-April 14, 2022 ב-Browser Hijackers, Rogue Websites

Hajd Ransomware

חוקרי אבטחת סייבר הצליחו לחשוף גרסה נוספת של STOP/Djvu Ransomware, שפושעי סייבר יכולים למנף בקמפיינים של התקפה נגד מחשבי המשתמשים. האיום נמצא במעקב בתור Hajd Ransomware, בהתבסס על סיומת הקובץ הייחודית שבה היא משתמשת כדי לסמן כל קובץ מוצפן - '.hajd.' למרות שהאיום אינו מציג שיפורים או שינויים משמעותיים ביחס לשאר גרסאות ה- STOP/Djvu , הוא עדיין שומר על יכולת משמעותית לגרום נזק. ואכן, כל מכשיר שנפרץ יהיה נתון לשגרת הצפנת נתונים שתשאיר את התמונות, התמונות, המסמכים, קובצי ה-PDF, הארכיון, מסדי הנתונים וסוגי קבצים רבים אחרים בלתי שמישים לחלוטין. הקורבנות יישארו עם פתק כופר שנשלח כקובץ טקסט בשם '_readme.txt'. הפרטים של הערת כופר ההוראות שהונחו על ידי Hajd Ransomware עוקבות אחר הדפוס המצופה מגרסה של משפחה זו. פושעי הסייבר מצהירים שהם רוצים שישלמו...

פורסם ב-April 14, 2022 ב-Ransomware

Thispcprotected.com

Thispcprotected.com הוא אתר מטעה, שנועד להפעיל תוכניות מניפולטיביות שונות. מה שמשתמשים יתקלו בדף עשוי להיות מושפע מגורמים, כגון כתובת ה-IP הספציפית שלהם ומיקום גיאוגרפי. מומחי אבטחת סייבר צפו בדף באמצעות הודעות clickbait כדי לפתות משתמשים לאפשר את הודעות הדחיפה שלו, כמו גם גרסה של 'המחשב שלך נגוע ב-5 וירוסים!' הונאה. אינספור דפים ברחבי האינטרנט מנצלים לרעה את תכונת ההתראות הלגיטימית כדי לספק פרסומות לא רצויות ומעצבנות למשתמשים. אתרים מפוקפקים אלו עשויים לטעון כי לחיצה על כפתור 'אפשר' תעניק למשתמשים גישה לתוכן נוסף או שהוא חלק מבדיקת CAPTCHA. במציאות, משתמשים יהיו רשומים להתראות של העמוד ויתחילו לקבל פרסומות מפוקפקות המקדמות תוכניות נוספות, PUPs (תוכניות לא רצויות בפוטנציה) ויעדים אחרים שאינם אמינים באופן דומה. לגבי הטקטיקה האחרת המופצת...

פורסם ב-April 14, 2022 ב-תוכנות פרסום, Rogue Websites

אדספיריט

Adspirit היא אפליקציה פולשנית שנועדה ליצור פרסומות לא רצויות ולא אמינות במערכות שהיא מותקנת. באופן טבעי, אין סיכוי שמשתמשים יורידו ויתקינו תוכניות כאלה ברצון. זו הסיבה שהמפתחים של תוכנות פרסום וחוטפי דפדפנים מסתמכים במידה רבה על טקטיקות הפצה סתמיות, כמו חבילות תוכנה או מתקינים מזויפים. חוקרי Infosec מסווגים את היישומים המופצים באמצעים כגון PUPs (תוכניות לא רצויות בפוטנציה). הפרסומות הקשורות לתוכנות פרסום הן לעתים נדירות לגיטימיות. סביר הרבה יותר שהפרסומות יקדמו פלטפורמות הימורים מקוונות מפוקפקות, פורטלים של משחקי וידאו, דפים מוכוונים למבוגרים וכו'. הן גם עלולות לגרום להפניות מחדש כפויות לאתרי הונאה, תוכניות דיוג, מתנות מזויפות ויעדים מפוקפקים דומים. משתמשים צריכים גם לזכור שלעיתים קרובות מוטלת על PUP משימה לאסוף של גלישה ונתונים אחרים...

פורסם ב-April 14, 2022 ב-תוכנות פרסום, Malware, Potentially Unwanted Programs

Buff.ly

Buff.ly הוא שירות המאפשר למשתמשים לקצר בנוחות כתובות URL וכתובות אינטרנט שאחרת היו מסורבלות מדי מבחינת אורך. למרבה הצער, שירות זה משמש לעתים קרובות כחלק מפעילויותיהם של חוטפי דפדפן או PUPs אחרים (תוכנות לא רצויות) כדי להסתיר את היעדים האמיתיים של ההפניות מחדש שהם גורמים. כתוצאה מכך, משתמשים רבים יכלו לזהות בטעות את buff.ly כשתל לא בטוח או כווירוס. חוטפי דפדפן מותקנים לעתים רחוקות בכוונה. האפליקציות המעצבנות הללו מסתירות את עצמן בתוך חבילות תוכנה ומתקינים מזויפים ומנסות להתקין על המערכת מבלי למשוך את תשומת ליבו של המשתמש. עם זאת, לאחר ההפעלה, כל התיימרות של התגנבות נשארות מאחור, מכיוון שה-PUP משתלט על הגדרות הדפדפן החשובות. ברוב המקרים, המשתמשים ישימו לב שדף הבית של הדפדפן, דף הכרטיסייה החדשה ומנוע החיפוש המוגדר כברירת מחדל הוגדרו כך...

פורסם ב-April 14, 2022 ב-Potentially Unwanted Programs

Vomm Ransomware

תוכנת הכופר של Vomm היא איום תוכנות זדוניות, למרות העובדה שמדובר בגרסה נוספת השייכת למשפחת STOP/Djvu Ransomware. מחשבים שנפגעו מהאיום יהיו נתונים להצפנת נתונים, והקורבנות יאבדו גישה כמעט לכל הקבצים שלהם המאוחסנים במכשיר. תמונות, מסמכים, קובצי PDF, ארכיונים, מסדי נתונים וסוגי קבצים רבים אחרים יוצפנו באמצעות אלגוריתם קריפטוגרפי בלתי ניתן לפיצוח. משתמשים מושפעים גם ישימו לב שלכל הקבצים הנעולים יש כעת '.vomm' נוסף לשמות המקוריים שלהם בתור סיומת קובץ חדשה. זוהי התנהגות טיפוסית של STOP/Djvu , בדיוק כמו ביטול פתק הכופר של האיום כקובץ טקסט בשם '_readme.txt'. סקירה כללית של Ransom Note בהנחיות שנמסרו בפתק נכתב כי התוקפים דורשים לשלם כופר בסך 980 דולר. עם קבלת הכסף, פושעי הסייבר מבטיחים לספק לקורבנותיהם כלי פענוח, ואת מפתח הפענוח הדרוש שיוכל לשחזר...

פורסם ב-April 14, 2022 ב-Ransomware

Industroyer2 תוכנה זדונית

שירותי תשתית קריטיים באוקראינה היו יעד למתקפות סייבר, לפני ואחרי הפלישה הרוסית למדינה. נראה שפושעי סייבר עדיין פותחים בפעולות תקיפה נוספות כאשר אחת המטרות האחרונות היא ספק אנרגיה אוקראינית. הקמפיין המאיים ניסה לפרוס תוכנה זדונית חדשה בשם Industroyer2, המסוגלת להזיק או לשבש את ה-ICS (Industrial Control Systems) של הקורבן. הפעולה כוונה לתחנת משנה חשמלית במתח גבוה ולפי הדיווחים לא הצליחה להשיג את מטרותיה המרושעות. צוות תגובת המחשוב של אוקראינה (CERT-UA), מיקרוסופט וחברת אבטחת הסייבר ESET מנתחים את המתקפה. עד כה האשם הסביר הוא קבוצת האיום של תולעי החול , שלפי ההערכות פועלת לפי הוראות סוכנות הביון הרוסית GRU. מאפיינים מאיימים נראה כי האיום Industroyer2 הוא גרסה חדשה ומשופרת של תוכנות זדוניות המכונה Industroyer ( CRASHOVERRIDE ). עוד בדצמבר...

פורסם ב-April 14, 2022 ב-Advanced Persistent Threat (APT), Malware

ה-Enemybot Botnet משתלט על מכשירי IoT כדי לבצע התקפות DDoS

ספין-אוף חדש של Mirai Botnet זוהה בטבע, ונראה שהוא תוצר של Keksec. האחרון הוא ארגון פשעי סייבר הידוע כמעורב במתקפות של מניעת שירות מבוזרות ובקמפיינים של פריצת קריפטו. הכלי המאיים האחרון שלהם הוא Enemybot Botnet, שעושה שימוש רב בקוד המקורי של Mirai Botnet . עם זאת, הפושעים ביצעו מספר שיפורים משמעותיים כדי לשפר את הפונקציונליות של הבוטנט, כמו גם לשמור אותו מוסתר, על ידי מתן אפשרות לשלוט בו באמצעות שרת פקודה ושליטה מבוסס TOR. ה-Enemybot Botnet מכוון למגוון רחב של נתבים ומכשירי אינטרנט של הדברים (IoT) המשתמשים בקושחה מיושנת או בתעודות כניסה גרועות. הדרך הקלה ביותר לוודא שלא תיפול קורבן ל-Enemybot Botnet ולאיומים דומים היא לעדכן את כל הקושחה של כל המכשירים המחוברים לאינטרנט. המוקד העיקרי של ה-Enemybot Botnet הוא נתבי D-Link ו-NetGear,...

פורסם ב-April 14, 2022 ב-Computer Security

האקרים מסתירים תוכנה זדונית גניבת אישורים בתוכנות פיצוח מזויפות

צילום מסך האקרים מסתירים תוכנה זדונית גניבת אישורים בתוכנות פיצוח מזויפות

חוקרי אבטחה הבחינו בקמפיין חדש לדוחף תוכנות זדוניות. הפעם, השחקנים הרעים משתמשים בתוכנה זדונית FFDroider - תוכנה זדונית שנועדה לחלץ סיסמאות של קורבנות ופרטי כניסה ממערכות מבוססות Windows. הקמפיין שמפיץ את FFDroider זוהה ופורט על ידי צוות חוקרי אבטחה עם ZScaler. הצוות הזהיר ששחקני האיום מחביאים את FFDroider בתוך קבצים המעמידים פנים שהם קובצי הפעלה מפוצחים עבור תוכנה לגיטימית בתשלום. FFDroider תופס את פרטי ההתחברות תוך כדי הקלדה ZScaler תיאר את המאמץ להפיץ את FFDroider לא רק כקמפיין אחד אלא כמספר קמפיינים מתמשכים. בנוסף למתקינים סדוקים, המטען הזדוני נמצא גם בתוך הורדות של תוכנות חינמיות. בעוד ש-FFDroider נוצר בעיקר כדי לגרד פרטי כניסה עבור פלטפורמות מדיה חברתית כמו טוויטר, פייסבוק...

פורסם ב-April 13, 2022 ב-Computer Security