Copycat criminals abuse Malwarebytes brand in malvertising campaign

EXPLOITS AND VULNERABILITIES

Posted: April 7, 2020 by Threat Intelligence Team

While exploit kit activity has been fairly quiet for some time now, we recently discovered a threat actor creating a copycat—fake—Malwarebytes website that was used as a gate to the Fallout EK, which distributes the Raccoon stealer.

The few malvertising campaigns that remain are often found on second- and third-tier adult sites, leading to the Fallout or RIG exploit kits, as a majority of threat actors have moved on to other distribution vectors. However, we believe this faux Malwarebytes malvertising campaign could be payback for our continued work with ad networks to track, report, and dismantle such attacks.

In this blog, we break down the attack and possible motives.
Stolen template includes malicious code

A few days ago, we were alerted about a copycat domain name that abused our brand. The domain malwarebytes-free[.]com was registered on March 29 via REGISTRAR OF DOMAIN NAMES REG.RU LLC and is currently hosted in Russia at 173.192.139[.]27.

Examining the source code, we can confirm that someone stole the content from our original site but added something extra.

A JavaScript snippet checks which kind of browser you are running, and if it happens to be Internet Explorer, you are redirected to a malicious URL belonging to the Fallout exploit kit.
Infection chain for copycat campaign

This fake Malwarebytes site is actively used as a gate in a malvertising campaign via the PopCash ad network, which we contacted to report the malicious advertiser.

Fallout EK is one of the newer (or perhaps last) exploit kits that is still active in the wild. In this sequence, it is used to launch the Raccoon stealer onto victim machines.
A motive behind decoy pages

The threat actor behind this campaign may be tied to others we’ve been tracking for a few months. They have used similar fake copycat templates before that act as gates. For example, this fake Cloudflare domain (popcashexhange[.]xyz) also plays on the PopCash name:

There is no question that security companies working with providers and ad networks are hindering efforts and money spent by cybercriminals. We’re not sure if we should take this plagiarism as a compliment or not.

If you are an existing Malwarebytes user, you were already safe from this malvertising campaign, thanks to our anti-exploit protection.

Copycat tactics have long been used by scammers and other criminals to dupe online and offline victims. As always, it is better to double-check the identity of the website you are visiting and, if in doubt, access it directly either by punching in the URL or via bookmarked page/tab.
Indicators of compromise

Fake Malwarebytes sitemalwarebytes-free[.]com
31.31.198[.]161


Fallout EK134.209.86[.]129


Raccoon Stealer78a90f2efa2fdd54e3e1ed54ee9a18f1b91d4ad9faedabd50ec3a8bb7aa5e330
34.89.159[.]33

Firefox 75 released today with Windows 10 performance improvements

By Sergiu Gatlan April 7, 2020 01:27 PM 0



Mozilla has released Firefox 75 today, April 7th, 2020, to the Stable desktop channel for Windows, macOS, and Linux with bug fixes, new features, and security fixes.

Included with today's release are performance improvements for Windows 10 users, improved search from the address bar, and improved HTTPS compatibility by local caching some trusted certificates.

Windows, Mac, and Linux desktop users can upgrade to Firefox 75 by going to Options -> Help -> About Firefox and the browser will automatically check for the new update and install it when available.



With the release of Firefox 75, all other Firefox development branches have also moved up a version bringing Firefox Beta to version 76 and the Nightly builds to version 77.

You can download Firefox 75 from the following links:
Firefox 75 for Windows 64-bit
Firefox 75 for Windows 32-bit
Firefox 75 for macOS
Firefox 75 for Linux 64-bit
Firefox 75 for Linux 32-bit

If the above links haven't yet been updated for Firefox 75, you can also manually download it from Mozilla's FTP release directory.

Below you can find the major changes in Firefox 75, but for those who wish to read the full release notes, you can do so here.
Improved Windows 10 performance, flatpaks, more

Firefox 75 promises better performance on devices running Windows 10 due to the integration of DirectComposition that further improves rendering on laptops with built-in Intel graphics cards with the help of the WebRender GPU-based 2D rendering engine.

"Direct Composition is being integrated for our users on Windows to help improve performance and enable our ongoing work to ship WebRender on Windows 10 laptops with Intel graphics cards," Mozilla says.

Starting with this release, Firefox is also available in the Flatpak application distribution format that makes it a lot easier and more secure to install the web browser on Linux-powered systems.

Firefox 75 will also locally cache all trusted Web PKI Certificate Authority certificates that Mozilla knows, improving security and HTTPS compatibility with misconfigured web servers as a direct result.
Faster search via a revamped address bar

Mozilla has also refreshed the look of the address bar in Firefox 75 by enlarging it every time you start a search, as well as "simplified it in a single view with larger font, shorter URLs, adjusts to multiple sizes and a shortcut to the most popular sites to search."

The built-in search engine is also smarter now as it will provide you with bolded search suggestions and autocomplete based on websites you have in your bookmarks, history, or popular websites.

Firefox 75's address bar will also display your top sites — most recently and frequently visited sites, or sites that you’ve pinned — right under the address bar for quick and easy access.
Revamped Firefox search bar (Mozilla)

This is the full list of changes related to the improved search and address bar:

Focused, clean search experience that's optimized for smaller laptop screens
Top sites now appear when you select the address
Improved readability of search suggestions with a focus on new search terms
Suggestions include solutions to common Firefox issues
On Linux, the behavior when clicking on the Address Bar and the Search Bar now matches other desktop platforms: a single click selects all without primary selection, a double click selects a word, and a triple-click selects all with primary selection
Security vulnerabilities fixed

Mozilla has also fixed six security vulnerabilities in Firefox 75, three of them rated as high severity and the other three as having a moderate security impact.

The full list of security issues patched by Mozilla in Firefox 75.0:


• CVE-2020-6821: Uninitialized memory could be read when using the WebGL copyTexSubImage method
• CVE-2020-6825: Memory safety bugs fixed in Firefox 75 and Firefox ESR 68.7
• CVE-2020-6826: Memory safety bugs fixed in Firefox 75
• CVE-2020-6822: Out of bounds write in GMPDecodeData when processing large images
• CVE-2020-6823: Malicious Extension could obtain auth codes from OAuth login flows
• CVE-2020-6824: Generated passwords may be identical on the same site between separate private browsing sessions

Last week, Mozilla also released Firefox 74.0.1 to address two critical zero-day vulnerabilities that were actively exploited by threat actors in the wild that could lead to remote code execution on machines running unpatched Firefox versions.
Other bug fixes, improvements, and developer changes
Enterprise:


Experimental support for using client certificates from the OS certificate store can be enabled on macOS by setting the preference security.osclientcerts.autoload to true.


Enterprise policies may be used to exclude domains from being resolved via TRR (Trusted Recursive Resolver) using DNS over HTTPS.
Developer:
Save bandwidth and reduce browser memory by using the loading attribute on the element. The default "eager" value loads images immediately, and the "lazy" value delays loading until the image is within range of the viewport.


Instant evaluation for Console expressions lets developers identify and fix errors more rapidly than before. As long as expressions typed into the Web Console is side-effect free, their results will be previewed while you type.

Νέα malware εκστρατεία με θέμα τον COVID-19 διαδίδει το LokiBot trojan

 By Pohackontas 6 Απριλίου 2020, 15:31

Οι ερευνητές ασφαλείας της FortiGuard Labs ανακάλυψαν μια νέα εκστρατεία που εκμεταλλεύεται το ξέσπασμα του Κορωνοϊού COVID-19, αποστέλλοντας emails που υποτίθεται ότι προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας (ΠΟΥ) με στόχο να διαδώσει ένα malware, το LokiBot trojan. Η malware εκστρατεία με θέμα τον COVID-19 αποκαλύφθηκε στις 27 Μαρτίου, όταν οι ερευνητές ανακάλυψαν emails που υποτίθεται ότι προέρχονταν από τον ΠΟΥ με στόχο να ανακοινώσουν τρόπους αντιμετώπισης της παραπληροφόρησης που σχετίζεται με το ξέσπασμα του COVID-19. Τα εν λόγω emails χρησιμοποιούν ένα συνημμένο με τίτλο “COVID_19- WORLD ORGANIZATION HEALTH CDC_DOC.zip.arj”, το οποίο διαδίδει το LokiBot trojan.

Η FortiGuard Labs ανακάλυψε πρόσφατα ένα νέο email με θέμα τον COVID-19 που αποστέλλεται από το [159.69.16 [.] 177], το οποίο χρησιμοποιεί το εμπορικό σήμα του Παγκόσμιου Οργανισμού Υγείας, σε μια προσπάθεια να πείσει τους παραλήπτες για την αυθεντικότητά του. Το email έχει ως τίτλο θέματος “Ασθένεια Κορωνοϊού (COVID-19) Σημαντική ανακοίνωση [.] . 

Περιλαμβάνει επίσης ένα συνημμένο με τίτλο “COVID_19- WORLD ORGANIZATION HEALTH CDC_DOC.zip.arj” που φαίνεται να περιέχει πρόσθετες πληροφορίες, αλλά στην πραγματικότητα είναι παγίδα για να λάβουν οι παραλήπτες το malware. 

Επιπλέον, το email περιέχει πληροφορίες σχετικά με την πανδημία μαζί με προτάσεις και συμβουλές αντιμετώπισης. Είναι γραμμένο στα Αγγλικά, αλλά οι ερευνητές πιστεύουν ότι οι χάκερς που κρύβονται πίσω από αυτή την εκστρατεία δεν είναι αγγλόφωνοι, λαμβάνοντας υπόψη την ορθογραφία, την γραμματική και τα σημεία στίξης που χρησιμοποιούν. Το μήνυμα υποτίθεται ότι προέρχεται από ένα Κέντρο Ελέγχου Ασθενειών του ΠΟΥ. 

Φαίνεται ότι οι χάκερς συνδέουν το όνομα του ΠΟΥ με το Αμερικανικό Κέντρο Ελέγχου Ασθενειών (CDC), παρά το γεγονός ότι οι δύο οργανισμοί είναι ξεχωριστοί. Το συνημμένο “COVID_19- WORLD ORGANIZATION HEALTH ORGANIZATION CDC_DOC.zip.arj” είναι ένα συμπιεσμένο αρχείο σε μορφή ARJ, μία μορφή που πιθανότατα 

χρησιμοποιήθηκε για να αποφευχθεί η ανίχνευση. Κάνοντας κλικ στο συνημμένο και αποσυμπιέζοντας το αρχείο, οι χρήστες θα δουν μια επέκταση “DOC.pdf.exe” αντί για το “Doc.zip.arj”, που τους παροτρύνει  να ανοίξουν το αρχείο.

 .

Μόλις ανοίξει το αρχείο, ξεκινά η έγχυση του LokiBot trojan. Τότε, το malware κλέβει ευαίσθητες πληροφορίες, όπως διάφορα credentials, συμπεριλαμβανομένων των FTP credentials, των αποθηκευμένων κωδικών πρόσβασης email, των κωδικών πρόσβασης που αποθηκεύονται στο πρόγραμμα περιήγησης και άλλα. URL: hxxp: / / bslines [.] Xyz / copy / five / fre.php.


Το LokiBot είναι γνωστό από το 2015. Πρόκειται για ένα malware που έχει χρησιμοποιηθεί σε πολλές malspam εκστρατείες με στόχο να κλέψει credentials από προγράμματα περιήγησης, emails πελατών, εργαλεία διαχείρισης, ενώ έχει χρησιμοποιηθεί επίσης με στόχο κατόχους κρυπτονομισμάτων. Το αρχικό malware LokiBot αναπτύχθηκε και πωλήθηκε μέσω email από έναν χάκερ που εμφανίζεται στο διαδίκτυο με το ψευδώνυμο “lokistov” (γνωστός και ως Carter). Διαφημίστηκε αρχικά σε πολλά hacking φόρουμ, στα οποία πωλούταν έως και 300 δολάρια, ενώ αργότερα άλλοι χάκερς άρχισαν να το προσφέρουν κάτω από 80 δολάρια σε “υποχθόνια” κυβερνοεγκλήματα.

Οι ερευνητές της FortiGuard αποκάλυψαν ότι χρήστες από όλο τον κόσμο έχουν μολυνθεί από την συγκεκριμένη malware εκστρατεία που εκμεταλλεύεται τον COVID-19, οι περισσότεροι εκ των οποίων βρίσκονται στην Τουρκία (29%), την Πορτογαλία (19%), τη Γερμανία (12%), την Αυστρία (10%) και τις ΗΠΑ (10%). Μολύνσεις που σχετίζονται με αυτήν την εκστρατεία εντοπίστηκαν επίσης στο Βέλγιο, το Πουέρτο Ρίκο, την Ιταλία, τον Καναδά και την Ισπανία.

Online banking: Επιθέσεις λόγω κορωνοϊού- Πως να προστατευτείτε;

 By Hack Unamatata 6 Απριλίου 2020, 14:21

Το online banking φαίνεται να έχει μπει στο στόχαστρο των χάκερς, οι οποίοι ψάχνουν τα επόμενα θύματα τους κατά την κρίση του κορωνοϊού.

Η πανδημία του κορωνοϊού, παρόλο που βρίσκεται ακόμα στους πρώτους μήνες της, αναδιαμορφώνει γρήγορα τον τρόπο που οι άνθρωποι σε όλο τον κόσμο ζουν την καθημερινή τους ζωή. Τόσο η κοινωνική απομάκρυνση όσο και οι επικλήσεις να παραμείνετε στο σπίτι για να αποφύγετε περιττές αλληλεπιδράσεις σημαίνουν επανεξέταση του τρόπου προσέγγισης των καθημερινών σας διαδράσεων, συμπεριλαμβανομένης της διαχείρισης των χρημάτων σας.


Εν μέσω της τρέχουσας αβεβαιότητας, οι τράπεζες ενθαρρύνουν τους πελάτες να επωφεληθούν από τις υπηρεσίες online, κινητής τηλεφωνίας και τηλεφωνικής εξυπηρέτησης, αντί για επισκέψεις σε υποκαταστήματα. Μαζί με την υψηλότερη ζήτηση του online banking, αυξάνεται και ο κίνδυνος εγκλημάτων στον κυβερνοχώρο.

Η Ομοσπονδιακή Επιτροπή Εμπορίου έχει εντείνει τις προσπάθειές της για να προειδοποιήσει τους Αμερικανούς για τις απάτες γύρω από τον COVID-19 που αφορούν προσφορές για εμβόλια, ψεύτικες φιλανθρωπικές οργανώσεις, αλλά και παραδοσιακές απάτες ηλεκτρονικού ταχυδρομείου.

Δυστυχώς, σε περιόδους πραγματικής κρίσης αναδεικνύονται τόσο οι άνθρωποι που θέλουν να βοηθούν, όσο και εκείνοι που θα προσπαθήσουν να εκμεταλλευτούν τους ανυποψίαστους. Αν ανησυχείτε για το τι σημαίνει αυτό για την ασφάλεια των online τραπεζικών συναλλαγών σας, υπάρχουν διάφορα βήματα που μπορείτε να ακολουθήσετε για να προστατέψετε τις πληροφορίες σας.

Γνωρίστε τις διαδικασίες ασφαλείας της τράπεζας σας

Το πρώτο βήμα για τη διαφύλαξη του τραπεζικού σας λογαριασμού είναι να μάθετε τι μέτρα διαθέτει η τράπεζα σας για να σας προστατεύσει.

Οι τράπεζες μπορούν να εφαρμόσουν πολλαπλά επίπεδα ασφάλειας για τo online banking, όπως:
Κρυπτογράφηση Secure Socket Layer (SSL)
Αυτόματη αποσύνδεση
Προγραμματισμός προστασίας από ιούς και κακόβουλο λογισμικό
Firewalls
Επαλήθευση πολλών παραγόντων
Τεχνολογία αναγνώρισης βιομετρικών στοιχείων και / ή προσώπου

Όλα αυτά μπορούν να λειτουργήσουν ως ισχυρή άμυνα εναντίον των χάκερ που μπορεί να προσπαθήσουν να σπάσουν τους λογαριασμούς σας. Αν δεν είστε βέβαιοι για το τι κάνει η τράπεζά σας για να διατηρήσει ασφαλή τα online τραπεζικά σας στοιχεία κατά των απειλών, ελέγξτε πρώτα τον ιστότοπο ή την εφαρμογή για κινητά. Αν δεν είναι άμεσα σαφές, μη διστάσετε να επικοινωνήσετε με την τράπεζά σας για να δείτε τι μέτρρα ασφαλείας υπάρχουν.

Αποφύγετε τη χρήση του δημόσιου Wi-Fi για να αποκτήσετε πρόσβαση στο online banking σας

Η απομακρυσμένη εργασία και η εκμάθηση γίνονται όλο και περισσότερο μέρος της νέας εποχής για πολλά άτομα και οικογένειες εν μέσω της κρίσης του COVID-19. Σε μια προσπάθεια να εξασφαλίσουν πως όλοι όσοι θέλουν μπορούν να έχουν πρόσβαση στο διαδίκτυο, ορισμένοι πάροχοι υπηρεσιών διαδικτύου έχουν δημιουργήσει, τουλάχιστον σε προσωρινή βάση, δωρεάν hotspot Wi-Fi.

Παρόλο που αυτό είναι βολική, η χρήση του δημόσιου Wi-Fi μπορεί να θέσει σε κίνδυνο τις τραπεζικές σας πληροφορίες, εάν η σύνδεση δεν είναι ασφαλής. Το δημόσιο Wi-Fi μπορεί εύκολα να χτυπηθεί με πολλούς τρόπους, συμπεριλαμβανομένων των επιθέσεων “man-in-the-middle“, στις οποίες ένας απατεώνας είναι σε θέση να τραβήξει ουσιαστικά τις τραπεζικές σας πληροφορίες.

Καλό είναι να αποφεύγετε τα δημόσια Wi-Fi και να βασίζεστε στην ασφαλή πρόσβαση στο διαδίκτυο από το σπίτι. Ωστόσο, εάν για οποιονδήποτε λόγο χρησιμοποιείτε δημόσιο Wi-Fi αυτές τις μέρες, βεβαιωθείτε ότι η σύνδεση είναι ασφαλής πριν συνδεθείτε σε οποιαδήποτε online τραπεζική συναλλαγή.

Ενημερώστε τους κωδικούς πρόσβασης σας στο online banking

Αυτός είναι ένας απλός τρόπος για να προστατεύσετε τα στοιχεία των τραπεζικών σας συναλλαγών σας ανά πάσα στιγμή, αλλά μπορεί να είναι ιδιαίτερα σημαντικός κατά τη διάρκεια της τρέχουσας κρίσης του κοροναϊού.

Εάν δεν έχετε ενημερώσει πρόσφατα τους κωδικούς πρόσβασής σας, προσθέστε το στη λίστα σας. Και θυμηθείτε να κάνετε τους κωδικούς σας όσο το δυνατόν πιο μοναδικούς. Αυτές οι συμβουλές μπορούν να βοηθήσουν:
Δημιουργήστε κωδικούς πρόσβασης χρησιμοποιώντας έναν συνδυασμό γραμμάτων, αριθμών και συμβόλων.
Μην υποθέτετε ότι αλλάζοντας ένα γράμμα ή ένα ψηφίο ενός παλιού κωδικού είναι αρκετό.
Κάντε χρήση μια φράσης ή ακρωνύμιου αντί για μια λέξη.

Επίσης, σκεφτείτε τη χρήση ενός διαχειριστή κωδικών πρόσβασης αν δυσκολευτείτε να θυμηθείτε τους κωδικούς πρόσβασης στους τραπεζικούς λογαριασμούς σας. Δημιουργήστε μια συνήθεια να ενημερώσετε τους κωδικούς πρόσβασης σας κάθε τρεις έως τέσσερις μήνες.

Παρακολούθηση δραστηριότητας με τραπεζικές ειδοποιήσεις

Οι τραπεζικές ειδοποιήσεις μπορούν να είναι ένα χρήσιμο εργαλείο για τη διαχείριση της ασφάλειας στο διαδίκτυο, ειδικά αν δεν έχετε χρόνο να συνδέεστε στον τραπεζικό σας λογαριασμό καθημερινά.

Με τις τραπεζικές ειδοποιήσεις του online banking, μπορείτε να λάβετε ειδοποίηση μέσω ηλεκτρονικού ταχυδρομείου ή κειμένου όταν υπάρχει νέα δραστηριότητα στους λογαριασμούς σας. Οι τύποι ειδοποιήσεων που μπορείτε να ορίσετε περιλαμβάνουν:
Ειδοποιήσεις συναλλαγών για χρεώσεις και πιστώσεις πάνω από ένα ποσό που καθορίζετε
Αποτυχημένες προσπάθειες σύνδεσης
Ενημέρωση κωδικού πρόσβασης ή προσωπικών πληροφοριών
Οικονομικές συναλλαγές
Καθημερινή παρακολούθηση λογαριασμού

Η ενεργοποίηση ειδοποιήσεων σημαίνει ότι δεν χρειάζεται να ανησυχείτε συνεχώς για το αν οι πληροφορίες σας σχετικά με τις τραπεζικές συναλλαγές σας βρίσκονται σε κίνδυνο. Αν για παράδειγμα, λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που σας ειδοποιεί για μια νέα συναλλαγή, μπορείτε να συνδεθείτε για να επαληθεύσετε ότι είναι κάτι που εξουσιοδοτήσατε.

Να είστε προσεκτικοί σχετικά με τη χορήγηση πρόσβασης στον λογαριασμό σας

Οι οικονομικές εφαρμογές μπορούν να διευκολύνουν τη διαχείριση των χρημάτων κατά τη διάρκεια μιας πανδημίας. Για παράδειγμα, αντί να κάνετε ανάληψη μετρητών στο ΑΤΜ για να εξοφλήσετε έναν φίλο, μπορείτε να χρησιμοποιήσετε μια εφαρμογή πληρωμής από για να πληρώσετε ηλεκτρονικά.

Η παγίδα είναι ότι πολλές οικονομικές εφαρμογές απαιτούν πρόσβαση στις σας τραπεζικές πληροφορίες. Αυτός είναι ο τρόπος με τον οποίο λειτουργούν πολλές εφαρμογές διαχείρισης budget. Συγχρονίζετε τους τραπεζικούς λογαριασμούς σας και η εφαρμογή παρακολουθεί αυτόματα τις δαπάνες και τις καταθέσεις σας.

Αυτό μπορεί να διευκολύνει την σας ζωή κατά την κρίση του κοροναϊού, αλλά θα μπορούσε να θέσει σε κίνδυνο τις πληροφορίες σας εάν εξουσιοδοτείτε την πρόσβαση για εφαρμογές που δεν είναι ασφαλείς. Παρόλο που η τράπεζά σας μπορεί να είναι απόλυτα ασφαλής και να λαμβάνει μέτρα για την εξασφάλιση των ηλεκτρονικών σας πληροφοριών, η εφαρμογή πληρωμής ή shopping που χρησιμοποιείτε μπορεί να αποτελέσει στόχο για επίδοξους χάκερς.

Μην πέσετε θύμα σε απάτες ηλεκτρονικού “ψαρέματος”

Κατά τη διάρκεια μιας κρίσης, οι απάτες ηλεκτρονικού ταχυδρομείου, τηλεφώνου και ηλεκτρονικού ψαρέματος συχνά αφθονούν. Για παράδειγμα, έχει ήδη εντοπιστεί μία απάτη phishing που περιλαμβάνει ψεύτικα email που φαίνεται να προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας.

Οι απάτες ηλεκτρονικού “ψαρέματος” μπορούν να έχουν διαφορετικούς στόχους. Κάποιοι, όπως η απάτη του Π.Ο.Υ., προσπαθούν να σας κάνουν να κάνετε κλικ σε έναν σύνδεσμο μέσα στο σώμα κειμένου του email. Όταν κάνετε κλικ στο σύνδεσμο, μπορείτε να κατεβάσετε εν αγνοία σας κακόβουλο λογισμικό ή λογισμικό παρακολούθησης της συσκευής σας, το οποίο επιτρέπει στους απατεώνες να κλέψουν τις πληροφορίες σας.

Άλλες απάτες μπορούν να έχουν μια πιο άμεση προσέγγιση για να προσπαθήσουν να πάρουν στα χρήματά σας. Για παράδειγμα, μπορείτε να λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή ένα κείμενο από μια φαινομενικά φιλανθρωπική οργάνωση που ζητάει δωρεές. Σας ζητείται να δώσετε τον αριθμό της χρεωστικής σας κάρτας ή τον αριθμό του τραπεζικού σας λογαριασμού για να κάνετε μια δωρεά.

Μια άλλη κοινή τακτική που χρησιμοποιούν οι απατεώνες για phishing, είναι η αποστολή email από μια διεύθυνση που με την πρώτη ματιά φαίνεται ότι ήρθε από την τράπεζά σας. Και ενώ υποθέτετε ότι είναι ασφαλές να κάνετε κλικ σε ένα σύνδεσμο ή να απαντήσετε με τις πληροφορίες που ζητούνται στο email, αποδεικνύεται ότι μοιραστήκατε τα στοιχεία σας με έναν scammer.

How Just Visiting A Site Could Have Hacked Your iPhone or MacBook Camera

April 02, 2020Ravie Lakshmanan
 

If you use Apple iPhone or MacBook, here we have a piece of alarming news for you.

Turns out merely visiting a website — not just malicious but also legitimate sites unknowingly loading malicious ads as well — using Safari browser could have let remote attackers secretly access your device's camera, microphone, or location, and in some cases, saved passwords as well.

Apple recently paid a $75,000 bounty reward to an ethical hacker, Ryan Pickren, who practically demonstrated the hack and helped the company patch a total of seven new vulnerabilities before any real attacker could take advantage of them.

The fixes were issued in a series of updates to Safari spanning versions 13.0.5 (released January 28, 2020) and Safari 13.1 (published March 24, 2020).


"If the malicious website wanted camera access, all it had to do was masquerade as a trusted video-conferencing website such as Skype or Zoom," Pickren said.

When chained together, three of the reported Safari flaws could have allowed malicious sites to impersonate any legit site a victim trusts and access camera or microphone by abusing the permissions that were otherwise explicitly granted by the victim to the trusted domain only.


An Exploit Chain to Abuse Safari's Per-Site Permissions
Safari browser grants access to certain permissions such as camera, microphone, location, and more on a per-website basis. This makes it easy for individual websites, say Skype, to access the camera without asking for the user's permission every time the app is launched.

But there are exceptions to this rule on iOS. While third-party apps must require user's explicit consent to access the camera, Safari can access the camera or the photo gallery without any permission prompts.

Specifically, improper access is made possible by leveraging an exploit chain that stringed together multiple flaws in the way the browser parsed URL schemes and handled the security settings on a per-website basis. This method only works with websites that are currently open.



"A more important observation was that the URL's scheme is completely ignored," Pickren noted. "This is problematic because some schemes don't contain a meaningful hostname at all, such as file:, javascript:, or data:."

Put another way, Safari failed to check if the websites adhered to the same-origin policy, thereby granting access to a different site that shouldn't have obtained permissions in the first place. As a result, a website such as "https://example.com" and its malicious counterpart "fake://example.com" could end up having the same permissions.

Thus, by taking advantage of Safari's lazy hostname parsing, it was possible to use a "file:" URI (e.g., file:///path/to/file/index.html) to fool the browser into changing the domain name using JavaScript.


"Safari thinks we are on skype.com, and I can load some evil JavaScript. Camera, Microphone, and Screen Sharing are all compromised when you open my local HTML file," Pickren said.

The research found that even plaintext passwords can be stolen this way as Safari uses the same approach to detect websites on which password auto-fill needs to be applied.

Furthermore, auto-download preventions can be bypassed by first opening a trusted site as a pop-up, and subsequently using it to download a malicious file.

Likewise, a "blob:" URI (e.g. blob://skype.com) can be exploited to run arbitrary JavaScript code, using it to directly access the victim's webcam without permission.

In all, the research uncovered seven different zero-day vulnerabilities in Safari —



CVE-2020-3852: A URL scheme may be incorrectly ignored when determining multimedia permission for a website
CVE-2020-3864: A DOM object context may not have had a unique security origin
CVE-2020-3865: A top-level DOM object context may have incorrectly been considered secure
CVE-2020-3885: A file URL may be incorrectly processed
CVE-2020-3887: A download's origin may be incorrectly associated
CVE-2020-9784: A malicious iframe may use another website's download settings
CVE-2020-9787: A URL scheme containing dash (-) and period (.) adjacent to each other is incorrectly ignored when determining multimedia permission for a website

If you are a Safari user, it's recommended that you keep the browser up-to-date and ensure websites are granted access to only those settings which are essential for them to function.

New Coronavirus-Themed Malware Locks You Out of Windows, but there's a simple fix

By Lawrence Abrams April 2, 2020 04:46 PM 2



With school closed due to the Coronavirus pandemic, some kids are creating malware to keep themselves occupied. Such is the case with a variety of new MBRLocker variants being released, including one with a Coronavirus theme.

MBRLockers are programs that replace the 'master boot record' of a computer so that it prevents the operating system from starting and displays a ransom note or other message instead.

Some MBRLockers such as Petya and GoldenEye also encrypt the table that contains the partition information for your drives, thus making it impossible to access your files or rebuild the MBR without entering a code or paying a ransom.
Petya Ransomware
First MBRLocker with a Coronavirus theme

Last week, MalwareHunterTeam discovered the installer for a new malware with the name of "Coronavirus" being distributed as the COVID-19.exe file.



When installed, the malware will extract numerous files to a folder under %Temp% and then executes a batch file named Coronavirus.bat. This batch file will move the extracted files to a C:\COVID-19 folder, configure various programs to start automatically on login, and then restart Windows.
Coronavirus.bat file

After Windows is restarted, a picture of the Coronavirus will be displayed along with a message stating "coronavirus has infected your PC!"
The Coronavirus image shown after the first reboot

Analysis by both SonicWall and Avast states that another program will also be executed that backs up the boot drive's Master Boot Record (MBR) to another location and then replaces it with a custom MBR.
MBR being backed up and overwritten
Source: SonicWall

On reboot, the custom Master Boot Record will display a message stating "Your Computer Has Been Trashed" and Windows will not start.
MBRLock lock screen

Thankfully, the analysis by Avast shows that a bypass has been added to the custom MBR code that allows you to restore your original Master Boot Record so that you can boot normally. This can be done by pressing the CTRL+ALT+ESC keys at the same time.

Further research by BleepingComputer has discovered another variant from the same developer called 'RedMist'. When installed, instead of showing the Coronavirus image, it shows an image of Squidward stating "Squidward is watching you".

Like the Coronavirus version, this variant will warn you that after rebooting you will not be able to gain access to Windows again.
Squidward/RedMist version

This variant also supports the CTRL+ALT+ESC bypass so that you can restore the original MBR.

It should be noted that these infections do not delete your data or destroy the partition table. Simply restoring the MBR from the backup location will allow you to start Windows and access your data again.
A steady stream of MBRLockers being made

BleepingComputer has been able to find numerous MBRLocker variants being released over the past week using different messages, memes, and inside jokes,

All of these MBRLocker variants are being made with a publicly available tool that was released on YouTube and Discord. BleepingComputer will not be publishing the name of the tool to prevent further variants from being released.

Below is a small sample of the various MBRLockers released this week and created using this utility.












BleepingComputer believes that all of these MBRLockers are being created for 'fun' or as part of 'pranks' to be played on people.

While it is not known if they are being distributed maliciously, users should still be especially careful of running any programs shared by other people, especially on Discord, without first scanning them using VirusTotal.