Днес Windows Defender масово по света отчита някакъв вирус "Behavior:Win32/Hive.ZY", когато се отваря браузъра и други онлайн приложения. Според Microsoft това е някакъв фалшив вирус и се очаква скоро да оправят проблема.
За повече инфо https://answers.microsoft.com/en-us/protect/forum/all/win32hivezy-removal-notification-every-time-i-run/db598180-4b74-4f19-8c1f-117d688caf91
https://www.reddit.com/r/computerviruses/comments/x5idjw/help_behaviorwin32hivezy/

 

Интересно видео за инструмент помагащ в анализа на kernelmode драйвери и usermode зловреден софтуер:

Като цяло канала е доста интересен и полезен. Има и обяснение за използването на Hybrid-Analysis и т.н.

BRONZE PRESIDENT Targets Government Officials

(една интересна DLL hijacking атака):

https://www.secureworks.com/blog/bronze-president-targets-government-officials

 

 

Засилени кампании за кражбата на Steam данни с фишинг атаки (браузър-в-браузъра).

This Steam phish baits you with free Discord Nitro

https://www.malwarebytes.com/blog/news/2021/11/this-steam-phish-baits-you-with-free-discord-nitro

 

Letting off steam Hackers use the browser-in-the-browser technique to steal Steam accounts

https://blog.group-ib.com/steam

 

Лично аз за всеки случай си смених паролата. Имах обаче малко ядове при логването (можех да се логна в браузъра или през мобилното приложение, но не и през десктоп клиента). Оказа се, че десктоп клиента (последната бета, на която бях тестер) е бъгава и е от нея. Преинсталирах Steam до предходната стабилна и успях да се логна.

Невиждан досега компютърен вирус заразява както Windows, така и Linux устройства - kaldata.com

https://www.zdnet.com/article/this-unusual-ransomware-attack-targets-home-pcs-so-beware

Exploited Windows zero-day lets JavaScript files bypass security warnings

https://www.bleepingcomputer.com/news/security/exploited-windows-zero-day-lets-javascript-files-bypass-security-warnings/

Време е да спрете Windows Scripting Host ако не сте го сторили и не ви се налага да работите често със скриптове. Magniber е доста коварен ransomware.

Може и със следните команди за CMD.exe

За 32 битов Windows:

reg add "HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings" /v "Enabled" /t REG_DWORD /d "0" /f

За 64 битов Windows

reg add "HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows Script Host\Settings" /v "Enabled" /t REG_DWORD /d "0" /f

За 32 и 64 битов Windows за текущия потребителско профил:

reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v "Enabled" /t REG_DWORD /d "0" /f

Команди за спиране на изпълнението на самите интерпретатори:

Reg: reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "DisallowRun" /t REG_DWORD /d "1" /f
Reg: reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "1" /t REG_SZ /d "wscript.exe" /f
Reg: reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "2" /t REG_SZ /d "cscript.exe" /f

Или може да смените действието следните файлови типове да се отварят например с notepad:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\VBSFile\Shell]
@="Edit"
[HKEY_CLASSES_ROOT\VBSFile\Shell\Edit]
@="&Edit"
[HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command]
@="Notepad.exe %1"
[HKEY_CLASSES_ROOT\vbefile\shell]
@="Edit"
[HKEY_CLASSES_ROOT\vbefile\Shell\Edit]
@="&Edit"
[HKEY_CLASSES_ROOT\vbefile\Shell\Edit\Command]
@="Notepad.exe %1"
[HKEY_CLASSES_ROOT\wsfile\shell]
@="Edit"
[HKEY_CLASSES_ROOT\wsfile\Shell\Edit]
@="&Edit"
[HKEY_CLASSES_ROOT\wsfile\Shell\Edit\Command]
@="Notepad.exe %1"
[HKEY_CLASSES_ROOT\wshfile\shell]
@="Edit"
[HKEY_CLASSES_ROOT\wshfile\Shell\Edit]
@="&Edit"
[HKEY_CLASSES_ROOT\wshfile\Shell\Edit\Command]
@="Notepad.exe %1"
[HKEY_CLASSES_ROOT\jsfile\shell]
@="Edit"
[HKEY_CLASSES_ROOT\jsfile\Shell\Edit]
@="&Edit"
[HKEY_CLASSES_ROOT\jsfile\Shell\Edit\Command]
@="Notepad.exe %1"
[HKEY_CLASSES_ROOT\jsefile\shell]
@="Edit"
[HKEY_CLASSES_ROOT\jsefile\Shell\Edit]
@="&Edit"
[HKEY_CLASSES_ROOT\jsefile\Shell\Edit\Command]
@="Notepad.exe %1"

Макар че това би спряло само скриптови атаки, които се използват и от други гадини. Специално при тази уязвимост тя може да се приложи и за други файлови типове и дори за EXE файлове... Така че бъдете нащрек.

И освен препоръката ми в другия пост за спиране на Windows Scripting Host, може би е добре потребителите на 10 да направят и следните неща:

  Цитат

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download]
"CheckExeSignatures"="no"
"RunInvalidSignatures"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]
"SaveZoneInformation"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]
"LowRiskFileTypes"=".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.msu;.wav;.img;"

или:

  Цитат

rem 1808 - Disable the warning The Publisher could not be verified
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations" /v "DefaultFileTypeRisk" /t REG_DWORD /d "1808" /f

rem Disable Security warning to unblock the downloaded file
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments" /v "SaveZoneInformation" /t REG_DWORD /d "1" /f

от следната дискусия:

https://www.wilderssecurity.com/threads/windows-defender-is-becoming-the-powerful-antivirus-that-windows-10-needs.383448/page-163

Малко е от трън на глок, защото се спира SmartScreen, който проверява за зловреден софтуер, но пък ако не е спрян после самите зловредни файлове може да се възползват от поведението на филтъра и реално системата ще е по-малко защитена, отколкото с него (поне докато не го оправят това):

  Цитат

"This issue is in the new-as-of-Win10 SmartScreen feature.  And disabling "Check apps and files" reverts Windows to the legacy behavior, where MotW prompts are unrelated to Authenticode signatures," Dormann told BleepingComputer.

"So that whole setting is unfortunately currently a tradeoff.  On one hand, it does scan for baddies that are downloaded."

"On the other, baddies that take advantage of this bug can get a LESS-SECURE behavior from Windows compared to when the feature is disabled."

 

Следната новина е от Юни, но "едно птиченце" ми каза, че има нова версия на въпросния Quantum Builder с нови "екстри". Затова е добре освен стандартните средства за затягане (като OSArmor или Hard_Configurator или там разните му HIPS, sandbox и прочие) да направите Windows ВИНАГИ да показва файловите разширения.

New 'Quantum' Builder Lets Attackers Easily Create Malicious Windows Shortcuts

https://thehackernews.com/2022/06/new-quantum-builder-lets-attackers.html

Early evidence of malware samples using Quantum Builder in the wild is said to date back to May 24, with them masquerading as harmless-looking text files ("test.txt.lnk").

"By default, Windows hides the .LNK extension, so if a file is named as file_name.txt.lnk, then only file_name.txt will be visible to the user even if the show file extension option is enabled," the researchers said. "For such reasons, this might be an attractive option for TAs, using the .LNK files as a disguise or smokescreen."

 

От няколко дена наблюдавам вълна от зарибени с псевдо-игра на Кауфланд, на адрес: http://creativeturnover.cn/27c5e0lUeUdAZQABakF0Qi5WQQ13d3g2A2khYzQzFRc9NVEhXj47TSsPCi8POlEWJy8CC00lJ0IBE0k1Pk8FVzEf&p=mfqwvb

Разпространява се предимно чрез Viber. Получилите линка започват да го разпространяват на контактите си и мнозина ще изгорят!

 

https://www.bleepingcomputer.com/news/security/raspberry-robin-worm-drops-fake-malware-to-confuse-researchers/

 

Това ескалира доста последно време.  

Гледам, че освен MSIExec ползва и wmic в някои от вариантите:

https://www.trendmicro.com/en_us/research/22/l/raspberry-robin-malware-targets-telecom-governments.html

Те затова MS вече се канят да изкоренят WMIC от Windows 11 и евентуалните бъдещи версии на Windows.

https://www.bleepingcomputer.com/news/microsoft/microsoft-starts-killing-off-wmic-in-windows-will-thwart-attacks/

Иначе стандартно добрите средства за превенция си остава или HIPS, sandbox, VirtualBox, ShadowDefender и средства като OSarmor, VoodooShield, SysHardener, Hard_Configurator (за спиране на потенциалните вектори на атака, ако потребителя не използва CMD, PowerShell, WMIC и прочие). Специално за иконите или трябва да се преглежда пътя ръчно докъде води или за мързеливите има и LNK File Guard (от novirusthanks, но е платена, пък и още една програма за окичване не мисля, че е много удачно само за 1 вектор на атака).

Прекратили са поддръжката на Cybereason antiransomware и SBGuard antiransomware. Последните версии са от 2017г.

преди 17 часа, shishmanovp861 написа:

Прекратили са поддръжката на Cybereason antiransomware и SBGuard antiransomware. Последните версии са от 2017г.

Явно имат малка база от фенове.

на 23.12.2022 г. в 20:53, shishmanovp861 написа:

Прекратили са поддръжката на Cybereason antiransomware и SBGuard antiransomware. Последните версии са от 2017г.

То това отдавна. То да бяха прекратили само тях. Спряха и RansomOff, RanStop и още куп други приложения, които дори бяха по-читави от горните, защото освен правилата за пасивна защита имаха и нещо като (мини-хипс) + rollback. Горните 2 бяха на принципа на CryptoPrevent, който не бе много ефективен срещу ransomware честно казано дори след добавянето на Honey Pot.

Весела Коледа!

Фалшиви сайтове за OSB Studio водят до крадци на данни:

Fake OBS Studio Websites Advertised on Google Lead to Infostealer

https://blog.osarmor.com/67/fake-obs-studio-websites-advertised-on-google-lead-to-infostealer/

 

https://siliconangle.com/2023/01/01/lockbit-releases-free-decryptor-apologizes-ransomware-attack-childrens-hospital/

LockBit releases free decryptor, apologizes for ransomware attack on children’s hospital

Ако имате акаунт в Deezer (подобен е на Spotiy и Spool.fm) си сменете паролата.

При мен Mozilla алармира, че има теч на данни там.

https://monitor.firefox.com/breach-details/Deezer#delayed-reporting

Сега проверих и се оказа истина. Интересно защо при логване в Deezer на самия им сайт не се споменава това.

Deezer admits data breach that potentially exposed over 220 million users’ info

https://www.musicbusinessworldwide.com/deezer-admits-data-breach-that-potentially-exposed-over-220-million-users-info/

PS: Изглежда, че всъщност пробива е бил през 2019-та, но чак сега е бил добавен в базата данни. Най-вероятно съм го сменил още тогава, но все пак си смених паролата отново.

Може би затова нямаше информация на страницата на Deezer...

 

https://www.kaldata.com/it-новини/ъпдейт-на-windows-defender-трие-start-менюто-приложения-404307.html

 

преди 21 минути, цър-вул написа:

https://www.kaldata.com/it-новини/ъпдейт-на-windows-defender-трие-start-менюто-приложения-404307.html

Да, споменах го тук:

https://www.kaldata.com/forums/topic/217349-пълни-приказкиспам-и-бира-на-тема-сигурност-втора-част/?do=findComment&comment=5435908

Двоен дикиш по-здраво държи...  

Интересно, MS мисли да засили защита при Excel файловете:

Microsoft plans to kill malware delivery via Excel XLL add-ins

https://www.bleepingcomputer.com/news/microsoft/microsoft-plans-to-kill-malware-delivery-via-excel-xll-add-ins/

Брей...нов ransomware (изнудвач) използва програмния интерфейс (API) на Everything (от VoidTools) за да криптира файловете:

New Mimic Ransomware Abuses Everything APIs for its Encryption Process

https://www.trendmicro.com/en_us/research/23/a/new-mimic-ransomware-abuses-everything-apis-for-its-encryption-p.html

Изглежда обаче този анализ макар и пресен идва 6 месеца след появата на този ransomware.

https://id-ransomware.blogspot.com/2022/08/n3ww4v3-ransomware.html

Анализ на еволюцията на банковия троянец GootKit (наричан още Gootloader).

Welcome to Goot Camp: Tracking the Evolution of GOOTLOADER Operations

 

https://www.mandiant.com/resources/blog/tracking-evolution-gootloader-operations

Titan Stealer - нов крадец на данни базиран на GoLand на хоризонта:

Titan Stealer: A New Golang-Based Information Stealer Malware Emerges

https://thehackernews.com/2023/01/titan-stealer-new-golang-based.html

 

Titan Stealer: The Growing Use of GoLang Among Threat Actors

Краде данни от Telegram, Steam и други приложения.

https://blog.cyble.com/2023/01/25/titan-stealer-the-growing-use-of-golang-among-threat-actors/

 

 

 

Като цяло интересен блог. Още 1 интересна статия. Гадина маскирана като cheats за Valorant:

The Rise of Amadey Bot: A Growing Concern for Internet Security

https://blog.cyble.com/2023/01/25/the-rise-of-amadey-bot-a-growing-concern-for-internet-security/

https://www.bleepingcomputer.com/news/security/new-whiskerspy-malware-delivered-via-trojanized-codec-installer/