Малко минало между капките, но един познат ме "светна". Полезно особено за тези, които имат регистрация + PREMIUM API KEY.

https://blog.virustotal.com/2022/03/vt4browsers-any-indicator-every-detail.html?m=1

Касперски предупреждава за нов зловреден софтуер от тип (FileLess - без изпълним файл), който се крие в Event Viewer логовете:

https://www.securityweek.com/kaspersky-warns-fileless-malware-hidden-windows-event-logs

Сега ...това не знам към  тестовете ли спада или към новините....

Pwn2Own 2022: Windows 11, Ubuntu, Firefox, Safari, Tesla and more hacked

Цитат

Pwn2Own is a yearly event that brings together security researchers from all over the world. On the 15th anniversary of the event, 17 security researchers attempted to exploit 21 targets across multiple categories.

On day 1 of the event, researchers managed to hack Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Microsoft Windows 11, Apple Safari, and Ubuntu Desktop. Microsoft Teams and Ubuntu Desktop were hacked successfully multiple teams during the day. All attempts were successful on the day.

On day 2,  security researchers hacked the Tesla Model 3 Infotainment System, Ubuntu Desktop and Microsoft windows 11. Ubuntu Desktop was hacked twice successfully. Two hacking attempts against Microsoft Windows 11 and Tesla failed on that day.

On day 3, hackers managed to exploit Windows 11 and Ubuntu Desktop successfully. Researchers exploited Microsoft's Windows 11 operating system thrice on the day, with no failed attempts.

Mozilla did release an update for the organization's Firefox web browser already. Firefox 100.0.2, Firefox ESR 91.9.1, Firefox for Android 100.3, and Thunderbird 91.9.1 are already available with patches for the reported security vulnerability

 

Интересно - M$ Edge и G. Chrome не са в списъка с цели.
 

DucDucGo браузър - на печелившите - честито!
https://www.bleepingcomputer.com/news/security/duckduckgo-browser-allows-microsoft-trackers-due-to-search-agreement/

Атакуващите могат да ползват електромагнитното излъчване на тъч екраните да ги управляват
Цък


============

Zyxel закърпи 4 нови уязвимости, засягащи API, API контролери и хардуерни защитни стени:
https://thehackernews.com/2022/05/zyxel-issues-patches-for-4-new-flaws.html?_m=3n.009a.2748.ai0ao0ctey.1r78

CVE-2022-0734
CVE-2022-26531
CVE-2022-26532
CVE-2022-0910

Russian govt hackers hit Ukraine with Cobalt Strike, CredoMap malware (Руски хакери работещи за правителството "удрят" Украйна със зловреден софтуер - Cobalt Strike и CredoMap).

Атаката се е извършила чрез използване на уязвимостта Folina закърпена наскоро от Microsoft:

https://www.bleepingcomputer.com/news/security/russian-govt-hackers-hit-ukraine-with-cobalt-strike-credomap-malware/

Между другото Simple Windows Hardening се справя с Folina успешно:

https://raw.githubusercontent.com/AndyFul/Hard_Configurator/master/Simple Windows Hardening/FollinaExploit.mp4

 

 

NSA shares tips on securing Windows devices with PowerShell (Агенцията за национална сигурност споделя съвети за защита на Windows с помощта на PowerShell).

Алтернативното заглавие на статията по другите сайтове:

NSA warns against silly mistake in the fight against Windows malware (Агенцията за национална сигурност предупреждава за глупави грешки в борбата със зловредния софтуер под Windows).

https://www.bleepingcomputer.com/news/security/nsa-shares-tips-on-securing-windows-devices-with-powershell/

 

 

Неофициална поправка на забавянето в работата на Windows Defender:

Windows Defender can Significantly Impact Intel CPU Performance, We have the Fix

 

 

https://www.techpowerup.com/295877/windows-defender-can-significantly-impact-intel-cpu-performance-we-have-the-fix

AstraLocker 2.0 ransomware сега използва стари техники на заразяване, чрез OLE обекти в офис приложенията.

https://blog.reversinglabs.com/blog/smash-and-grab-astralocker-2-pushes-ransomware-direct-from-office-docs

 

Интересното е, че тази тактика беше изоставена, защото за да се зарази човек трябва:

1. Да кликне на иконата на файла в документа.

2. Да избере RUN на предупредителния прозорец.

Отделно в Office 365 подобни атаки са блокирани по подразбиране:

https://www.microsoft.com/security/blog/2016/06/14/wheres-the-macro-malware-author-are-now-using-ole-embedding-to-deliver-malicious-files/

Ето как се справя и Simple Windows Hardening с тази атака:

https://malwaretips.com/threads/simple-windows-hardening.102265/post-995210

 

на 2.07.2022 г. в 20:48, B-boy/StyLe/ написа:

AstraLocker 2.0 ransomware сега използва стари техники на заразяване, чрез OLE обекти в офис приложенията.

https://blog.reversinglabs.com/blog/smash-and-grab-astralocker-2-pushes-ransomware-direct-from-office-docs

От Emsisoft пуснаха декриптори за версия 2.0:

https://www.emsisoft.com/ransomware-decryption-tools/astralocker
https://www.emsisoft.com/ransomware-decryption-tools/yashma

Троянски софтуер за разбиване на пароли атакува индустриални цели:

The Trojan Horse Malware & Password “Cracking” Ecosystem Targeting Industrial Operators

https://www.dragos.com/blog/the-trojan-horse-malware-password-cracking-ecosystem-targeting-industrial-operators/

 

 

Увеличава се риска от зловреден софтуер през шорткъти (напомня ми на Stuxnet от преди години).

Shortcut-based (LNK) attacks delivering malicious code on the rise

https://resecurity.com/blog/article/shortcut-based-lnk-attacks-delivering-malicious-code-on-the-rise

За съжаление явно успешно заобикаля Windows Defender на този етап;

The features of the mLNK builder include bypassing the following solutions:

Windows Defender
Windows Defender Memory
Windows Defender Cloud Scanner
Smart Screen Alert
AMSI and MUCH MORE!

 

 

 

Открита е нова версия на UEFI рууткита CosmicStrand от специалистите на Kaspersky:

CosmicStrand: a UEFI rootkit

https://www.kaspersky.com/blog/cosmicstrand-uefi-rootkit/45017/?utm_source=newsletter&utm_medium=Email&utm_campaign=kd weekly digest

https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/

Според статиите се засича от продуктите на Kaspersky.

Начина на почистването е стандартен - префлашване на БИОС-а или смяна на дъното и преинсталиране на Windows:

Цитат

The only way to remove the infection for good is to re-flash the firmware of the motherboard, a delicate operation that can be performed via the BIOS (advanced users only) or using utilities provided by the hardware vendor. The alternative (hardcore) way of removing this infection would be to replace the computer’s motherboard, then reinstall Windows.

https://digitalk.bg/security/2022/07/29/4375010_vsiaka_sedmica_edna_ot_40_organizacii_e_zasegnata_ot/

Cyber Ratings: Защитата на Microsoft Edge от вредони ПО и фишинг е по-ефективна, от тази на Chrome и Firefox
https://www.comss.ru/page.php?id=9984
https://www.cyberratings.org/news/pr/cyberratingsorg-announces-new-web-browser-test-results/
Тествани са:

• Google Chrome: 90.0.4430.212 – 91.0.4472.19
• Microsoft Edge: 91.0.864.19 – 91.0.864.37
• Mozilla Firefox: 88.0.1 – 88.0.1

Може би не си обърнал внимание, че става дума за новина на 8-13 месеца.

2021-12-17

2021-7-13

Иначе съвсем нормални резултати, защото при Edge работи и SmartScreen-a, при другите не. При drive-by-downloads атаки Edge води в повечето тестове, но при Privacy (без добавките говорим) Mozilla-та има преимущество.

Като цяло всеки си има плюсове и минуси и е добре да има бекъп от поне 2 браузъра, защото я единия не отваря даден клип или няма някоя добавка, я другия има по-добър мениджър на пароли, я друго. Аз лично ползвам и Mozilla и Edge и засега ми стигат. Преди време ползвах и Opera GX, защото те последни разкараха флаша, но вече като има Ruffle това не е необходимо особено. 

преди 34 минути, B-boy/StyLe/ написа:

Може би не си обърнал внимание

Жега - очи тъмнеят, мисълта друг.

https://www.bleepingcomputer.com/news/security/new-linux-malware-brute-forces-ssh-servers-to-breach-networks/

не знам дали има писано нещо в калдата, за това постнах линк тук

Цитат

Нов злонамерен софтуер за Linux принуждава SSH сървъри да пробият мрежи

Нов ботнет, наречен „RapperBot“, се използва при атаки от средата на юни 2022 г., като се фокусира върху грубо проникване в SSH сървърите на Linux, за да установи опорна точка на устройството.

Изследователите показват, че RapperBot е базиран на троянския кон Mirai, но се отклонява от нормалното поведение на оригиналния зловреден софтуер, което е неконтролирано разпространение до възможно най-много устройства.

Вместо това RapperBot е по-строго контролиран, има ограничени възможности за DDoS и работата му изглежда насочена към първоначален достъп до сървъра, който вероятно ще бъде използван като стъпало за странично движение в мрежата.

През последните 1,5 месеца от откриването си новият ботнет използва над 3500 уникални IP адреси по целия свят, за да сканира и да направи опити за грубо форсиране на Linux SSH сървъри.

 

Статистиката на Avira за популярните заплахи в момента:

https://www.avira.com/en/blog/avira-cyber-threat-report

преди 3 часа, B-boy/StyLe/ написа:

Статистиката на Avira за популярните заплахи в момента:

https://www.avira.com/en/blog/avira-cyber-threat-report

Няма лошо -обаче е недостатъчно нивото на преценка!   

преди 3 минути, attj написа:

Няма лошо -обаче е недостатъчно нивото на преценка!   

И все пак ще имат по-добра представа от теб и мен... С това се занимават хората.

преди 21 минути, B-boy/StyLe/ написа:

И все пак ще имат по-добра представа от теб и мен... С това се занимават хората.

Не сравнявай моята преценка с тяхната, моля.     В недостиг на данни - няма смисъл.

преди 3 часа, attj написа:

Не сравнявай моята преценка с тяхната, моля.     В недостиг на данни - няма смисъл.

Баш тия като тебе къде най-се фукат, нищо не знаят. Или казано по друг начин -  въздух под налягане. Няма смисъл да се оправдаваш.  Приятна вечер.

ModernLoader "доставя" множество крадци на пароли, миньори и троянци за отдалечен достъп.

ModernLoader delivers multiple stealers, cryptominers and RATs

https://blog.talosintelligence.com/2022/08/modernloader-delivers-multiple-stealers.html

 

 

Ще публикувам и една новина на четири месеца, защото в момента има засилени атаки от тази твар в чуждестранните форуми:

Threat Spotlight: "Haskers Gang" Introduces New ZingoStealer

Използва Base64 за да криптира изпълнението на командите си в PowerShell.

https://blog.talosintelligence.com/2022/04/haskers-gang-zingostealer.html

Интересно четиво:

https://www.mdpi.com/2076-3417/12/17/8482/pdf?version=1661418119