Починал е най-известния хакер Кевин Митник само на 59 години! Лека му пръст!

https://gizmodo.com.au/2023/07/rip-kevin-mitnick-worlds-most-famous-hacker/

HotRat: New Variant of AsyncRAT Malware Spreading Through Pirated Software

HotRat е новия RAT (троянец за отдалечен контрол) се разпространява чрез пиратски софтуер:

Схемата за разпространение е интересна:

 

https://thehackernews.com/2023/07/hotrat-new-variant-of-asyncrat-malware.html

 

И малко по-стари новини, но съм ги подбрал заради интересните модели на поведение:

New Horabot campaign targets the Americas

Нова кампания на Horabot се прицелва в американците.

https://blog.talosintelligence.com/new-horabot-targets-americas/

 

 

И нещо от миналата година, но анализа е интересен.

Magniber Ransomware Targets Users with Fake Software Updates

Magniber Ransomware-a (Изнудвача) подлъгва потребителите с фалшиви актуализации.

https://threatresearch.ext.hp.com/magniber-ransomware-switches-to-javascript-targeting-home-users-with-fake-software-updates/

Едно интересно клипче за затягане на PowerShell като вектор на атака.

Желателно е всички да обновяват браузърите си ако вече не сте го сторили.

CVE-2023-4863 е доста сериозна:

https://stackdiary.com/critical-vulnerability-in-webp-codec-cve-2023-4863/

https://www.helpnetsecurity.com/2023/09/12/cve-2023-4863/

Няколко cveтета изгряха тоя месец. И при браузърите, и в M$ офиса.

https://thehackernews.com/2023/09/russian-journalists-iphone-compromised.html

Ghacks е бил компрометиран и е разпространявал malware.

https://www.wilderssecurity.com/threads/ghacks-website-delivering-malware.452463/

https://malwaretips.com/threads/ghacks-net-website-delivering-malware-via-fake-browser-update-messages.125969/

Вече проблема е отстранен:

https://www.ghacks.net/2023/09/22/notification-of-security-issue/

Все пак забелязах, че са използвали подобна уязвимост:

https://portswigger.net/research/ublock-i-exfiltrate-exploiting-ad-blockers-with-css

Проблема може да се реши с правила за Ublock Origin, Adguard, NoScript и т.н.

Разбира се това може да доведе до счупване на функционалността на даден сайт и тези, които са доверени се добавят в изключенията (което пък ни връща в изходна позиция, защото и Ghacks като цяло е доверен такъв).

Дискусия по темата има тук:

https://malwaretips.com/threads/ublock-i-exfiltrate-exploiting-ad-blockers-with-css.111338/

Има и специална добавка за този проблем, но според коментарите не е доверена. А и не се наблюдава от Mozilla според сайта им:

https://addons.mozilla.org/en-US/firefox/addon/css-exfil-protection/

Тестовата страница е тук:

https://www.mike-gualtieri.com/css-exfil-vulnerability-tester

Ако виждате картинките не сте защитени, ако не ги виждате сте (но не за сметка на спиране на Java, защото тогава пак не ги виждате, но теста ще се провали с червено съобщение), но пак ще сте защитени дори да не се е извършил. Коректно е да не видите картинките и при пуснат JS.

Аз тествах правилата в коментарите в MT, но при мен не сработиха правилно. Най-сработи това:

* * 1p-script block

И премахване на отметките пред Script и Noscript в Custom в настройките на самия Noscript за тестовата страница.

И GPU-тата са с възможни side-channel атаки:

Researchers Uncover New GPU Side-Channel Vulnerability Leaking Sensitive Data

Цитат

Chrome and Microsoft Edge are particularly vulnerable to the attack because they allow cross-origin iframes to be loaded with cookies, permit rendering SVG filters on iframes, and delegate rendering tasks to the GPU. However, Mozilla Firefox and Apple Safari are not impacted.

Affected GPUs include those from AMD, Apple, Arm, Intel, Nvidia, and Qualcomm. That said, websites that already deny being embedded by cross-origin websites via X-Frame-Options and Content Security Policy (CSP) rules are not susceptible to the pixel-stealing attack.

The findings come on the back of a related side-channel attack called Hot Pixels that leverages a similar approach to conduct "browser-based pixel stealing and history sniffing attacks" against Chrome and Safari web browsers.

Chrome и Edge са частично уязвими, докато Firefox не е.

https://thehackernews.com/2023/09/researchers-uncover-new-gpu-side.html

 

 

Пазате се и от фишинг измамите, които в последно време атакуват купувачите:

https://novini247.com/novini/nov-vid-izmama-nabira-skorost-u-nas-stava-vapros-za_6813372.html

https://novini247.com/novini/fishing-izmama-hvashta-vse-poveche-jertvi-v-stranataizmamnikat-se-pravi_6851917.html

 

Зачетох се колко много сигнали зачестили има за този вид измами.

https://signali.obshtestvo.bg/contact-points/gdbop-mvr-navsiakde-v-blgariia/

 

https://thehackernews.com/2023/10/http2-rapid-reset-zero-day.html

 

https://adguard.com/en/blog/adguard-v7-15-for-windows.html

"Размрънках" се тук и пуснаха кръпката за безплатната версия.

https://www.wilderssecurity.com/threads/macrium-reflect.356309/page-419#post-3166550

Macrium Reflect v8.0.7690
Date 11th October 2023

Промените:

Цитат

Bug fixes and Security Updates v8.0.7690 - 11th October 2023

Security Update - CVE-2023-43896

This update applies a security patch to psmounterex.sys. We advise you to install this release to ensure the security of your system.

Rescue Media Builder
If the Rescue Media drivers override settings were modified in a particular sequence, then the Rescue Media Builder could delete drivers from the host system C:\Windows\Inf folder. This has been resolved.

Описание на "пробива":

https://northwave-cybersecurity.com/vulnerability-notice/macrium-reflect-driver-out-of-bounds-write

Желателно е всички, които ползват Macrium Reflect Free да актуализат по-скоро.

Желателно е да си обновите и Boot меню-то ако ползвате такова.

преди 6 часа, B-boy/StyLe/ написа:

Желателно е всички, които ползват Macrium Reflect Free да актуализат по-скоро.

Желателно е да си обновите и Boot меню-то ако ползвате такова.

Само за 8-ма версия ли или и за предишните?

Аз съм със 7-ца.

 

преди 1 час, M.Николов написа:

Само за 8-ма версия ли или и за предишните?

Аз съм със 7-ца.

Идея си нямам дали 7-мицата използва този драйвер, защото няма как да проверя в момента, но кръпката по сигурността е за 8.0 безплатната и за 8.1 платената версии.

Провери през вътрешния актуализатор дали имаш кръпка. Виж и с търсачката в C:\Windows дали въобще имаш този драйвер - psmounterex.sys

А иначе, защо не минеш на последната безплатна 8-ца? Тя е повече от стабилна. Все пак е на няколко години вече, не е някоя нова бета версия.

Благодаря, ще проверя.

Стоя си на 7-цата, защото досега не съм имал никакви проблеми с нея.

преди 13 часа, B-boy/StyLe/ написа:

psmounterex.sys

Във Win7 няма такъв файл.

преди 2 минути, Филипов написа:

Във Win7 няма такъв файл.

Не си прочел добре!!! Не става въпрос за WINDOWS 7, а за MACRIUM REFLECT 7.

Java се обнови днес до Java 8 Update "391".

Промените:

https://www.oracle.com/java/technologies/javase/8all-relnotes.html

Защо се ползва това JDK 8 като има JDK 21?

https://www.oracle.com/cis/java/technologies/downloads/#java21

За феновете на iOS:

https://thehackernews.com/2023/10/operation-triangulation-experts-uncover.html

Внимавайте с фалшиви актуализации на Chrome, които реално са зловреден софтуер:

 

Всичко ми е ъпдейтнато.  Кихчо и Варанчо се надпреварват да го охраняват.  Вероятно трябва да ги деинсталирам - за да си закача някакви нови буби???

За ползвателите на  програмата CCleaner :

Цитат

CCleaner, популярен софтуер за почистване на файлове и записи в системния регистър на Windows, потвърди, че нападателите са получили достъп до някои от клиентските данни

Цитат

„Наскоро открихме, че като клиент на CCleaner, част от ограничената ви лична информация е била изложена в тъмната мрежа“, гласи съобщение, споделено от потребител на форума.

Източник:

CCleaner confirms data breach via MOVEit attack | Cybernews

Информация от Wilders:

CCleaner confirms data breach via MOVEit attack | Wilders Security Forums

..изглежда не само CCleaner е изпуснала лични данни..!?! 🙂

Microsoft Authenticator вече блокира подозрителни телефонни известия на MFA по подразбиране..!

 

Цитат

През май Microsoft Authenticator добави нова функция, която изисква всички потребители да отговарят на номера, изпратен от Microsoft, преди да могат да отговорят на ново MFA известие на телефона си с приложението Authenticator. Това беше направено, за да се предотврати спамът на тези видове известия от хакери.

 

Източник:

Microsoft Authenticator is now blocking suspicious MFA phone notifications by default - Neowin

New Update - Microsoft Authenticator - Advanced Security Features | MalwareTips Forums

 

Google will begin deleting millions of inactive Gmail and Drive accounts in December

Накратко: От 1 декември Google започва да изтрива неизползваните през последните две години акаунти. Така че хората, които използват Google-ски акаунти за архиви да имат предвид, че вече трябва периодично да се вписват в някоя от Google-ските услуги, за да не си изгубят файловете. Това не важи за хората, които са качили поне едно видео в YouTube.

Уязвимости на UEFI излагат устройствата на стелт атаки на зловреден софтуер
https://thehackernews.com/2023/12/logofail-uefi-vulnerabilities-expose.html?_m=3n.009a.3217.ai0ao0ctey.27k6