Fortinet: urządzenia sieciowe w zagrożeniu

Przeczytaj także: Trend Micro: zagrożenia internetowe I poł. 2019

Uwaga na złośliwe podatności w urządzeniach sieciowych

Jak czytamy w komunikacie opublikowanym przez Fortinet, pierwszą z dostrzeżonych przez jej analityków podatnością w urządzeniach sieciowych jest luka Cable Haunt w modemach bazujących na układach firmy Broadcom. Problem ten może dotyczyć nawet 200 milionów urządzeń z terenu Europy.

Na jakie zagrożenia naraża nas korzystanie z zainfekowanych urządzeń sieciowych? Okazuje się, że zainstalowany w nich firmware charakteryzuje się podatnością na ataki odbicia DNS. Wystarczy, że jego użytkownik wejdzie poprzez przeglądarkę na stronę phishingową, a spreparowane przez cyberprzestępców narzędzie wykorzysta lukę do uzyskania pełnej kontroli nad modemem i umożliwi oszustom wykonywanie dowolnych komend.

Co gorsza, badacze podejrzewają, że stosujący te układy z niezabezpieczonym firmware’em producenci modemów kablowych automatycznie przenieśli tę podatność do swoich urządzeń sieciowych. Tego typu słabe punkty należy jak najszybciej usunąć poprzez aktualizację firmware’u, a jeśli nie jest dostępna jego nowa wersja, zaprzestanie korzystania z takiego modemu.

Analitycy wykryli również próbę wykorzystania luki Authentication Bypass w routerach Linksys. Jej powstanie jest efektem braku weryfikowania danych przychodzących podczas obsługi spreparowanego przez cyberprzestępców żądania HTTP. Zdalny użytkownik może wykorzystać tę lukę do wykonania dowolnego kodu. Wśród produktów, w których jest ona obecna, są routery Wi-Fi Linksys oraz punkty dostępowe. Największa liczba podatnych urządzeń znajduje się w Korei, Australii, USA i na Tajwanie.

Trojany wciąż niebezpieczne

Badacze z FortiGuard odkryli niedawno narzędzie Trojan-Dropper.AndroidOS.Shopper, które jest używane przez cyberprzestępców do podwyższania oceny wybranych aplikacji mobilnych i w konsekwencji zwiększania liczby ich instalacji. Może być ono wykorzystane do promowania oprogramowania służącego do kryminalnych celów lub nieuczciwego zwiększania oceny aplikacji, świadczonego jako usługa na rzecz jej autorów.

Na zainfekowanym urządzeniu trojan może również wyświetlać komunikaty reklamowe i tworzyć skróty do witryn reklamowych. Potrafi też napisać fałszywą recenzję użytkownika, instalować aplikacje poprzez sklep Google Play i inne platformy, a także rejestrować użytkowników z wykorzystaniem ich kont Google lub Facebook w fałszywych aplikacjach, udających oprogramowanie przeznaczone do zakupów w takich serwisach jak AliExpress, Lazada, Zalora i innych.

Tego typu aktywność trojana jest nadużyciem reguł korzystania z usług Google – nie ma on praw do instalacji aplikacji ze źródeł zewnętrznych, a także jest w stanie wyłączyć ochronę Google Play. Złośliwe oprogramowanie zwodzi potencjalną ofiarę, udając aplikację systemową. Na koniec zbiera informacje o urządzeniu ofiary, takie jak kraj pochodzenia, typ sieci, sprzedawca, model smartfona, adres e-mail, IMEI i IMSI, a następnie przekazuje je na serwer przestępców.

Ciekawym przypadkiem, wykrytym przez analityków Fortinet, jest również trojan o nazwie Lampion. To złośliwe oprogramowanie było rozprowadzane za pomocą wiadomości e-mail skierowanych do portugalskiego ministerstwa finansów. Z analizy wynika, że Lampion przypomina rodzinę Trojan Banker.Win32.ChePro, ale z pewnymi ulepszeniami, które są trudne do wykrycia i przeanalizowania.

W kampanii phishingowej wykorzystano szablon e-maila ze złośliwym załącznikiem o nazwie FacturaNovembro-4492154-2019-10_8.zip. W pierwszym etapie Lampion generuje losowe nazwy, które zostaną nadane złośliwemu plikowi tekstowemu utworzonemu na zainfekowanym urządzeniu, a następnie rozszyfrowuje adres URL do pobrania złośliwego oprogramowania. Następnie zbiera dane ze schowka, dysku oraz przeglądarek i wysyła je na serwer Command&Control (C&C, C2), jeśli otrzyma z niego takie żądanie.

Ransomware przez protokół RDP

Phobos jest złośliwym programem typu ransomware i wykorzystuje popularny protokół RDP (Remote Desktop Protocol) jako wektor ataku. Na całym świecie miliony systemów wyposażonych w RDP są podatne na różne rodzaje ataków, głównie dlatego, że brakuje w nich aktualnych łatek bezpieczeństwa. Dzięki nim Phobos może uzyskiwać dostęp do sieci korporacyjnej w celu przeprowadzenia ataku. To narzędzie jest sprzedawane również w darkwebie jako usługa, w modelu Ransomware-as-a-Service (RaaS), co sprawia, że nawet mniej zaawansowanym technicznie przestępcom bardzo łatwo jest zaatakować firmy na całym świecie.