Semana 08 de segurança: retorno de vírus

Ao discutir ameaças de computador, "malware" costuma ser chamado de malware, mas isso não está totalmente correto. O vírus clássico é um fenômeno da era anterior à Internet, quando as informações eram transferidas entre computadores, principalmente em disquetes, e para a distribuição de códigos maliciosos era necessário "anexá-los" a arquivos executáveis. Na semana passada, os especialistas da Kaspersky Lab publicaram um estudo sobre o vírus KBOT. Ele se espalha infectando arquivos executáveis ​​e é o primeiro vírus vivo visto em estado selvagem nos últimos anos.

Apesar do método de infecção testado pelo tempo, a funcionalidade desse malware é bastante atualizada: roubando dados e senhas de pagamento e baixando-os para um servidor de comando, fornecendo acesso remoto ao computador infectado usando o protocolo RDP padrão. Se necessário, o KBOT pode baixar módulos adicionais do servidor, ou seja, fornece controle total sobre o sistema. Tudo isso é o conjunto padrão de qualquer ataque cibernético moderno para cavalheiros, mas aqui também estamos lidando com infecções destrutivas de arquivos exe.

Após o lançamento do arquivo infectado, o KBOT é corrigido no sistema, registrando-se na inicialização e no agendador de tarefas. O estudo descreve em detalhes o processo de infecção de arquivos executáveis: o vírus os modifica para que a funcionalidade original do programa não seja preservada. Por esse motivo, os arquivos são modificados apenas em unidades lógicas de plug-in: mídia externa, unidades de rede e assim por diante, mas não na partição do sistema; caso contrário, em vez de roubo de dados, o sistema operacional ficará completamente inoperante. Entre outras coisas, o KBOT é um vírus polimórfico, ou seja, altera seu código toda vez que um arquivo é infectado.

O vírus é mais frequentemente encontrado na Rússia e na Alemanha, mas o número total de ataques é relativamente pequeno. O KBOT e seus módulos são detectados pelas soluções da Kaspersky Lab como Virus.Win32.Kpot.a, Virus.Win64.Kpot.a, Virus.Win32.Kpot.b, Virus.Win64.Kpot.be Trojan-PSW.Win32.Coins .nav. A abordagem de distribuição tradicional nesse malware é interessante, mas não necessariamente eficaz. Primeiro, armazenar arquivos executáveis ​​em mídia externa agora é a exceção e não a regra. Em segundo lugar, se o dano aos dados no disco rígido era normal para vírus há 30 anos, agora a tarefa de um cibercriminoso é obter acesso a dados pessoais sem ser notado pelo maior tempo possível. A quebra de executáveis ​​não contribui para ocultar.

O que mais aconteceu

Uma vulnerabilidade crítica foi descoberta no plug-in de consentimento de cookies do GDPR para Wordpress, um complemento simples para a exibição de uma mensagem como "usamos cookies em nosso site". O bug permite que qualquer usuário registrado no Wordpress obtenha direitos de administrador. O problema é especialmente perigoso em sites com registro aberto, por exemplo, para comentar em publicações. Aproximadamente 700 mil sites estão expostos.

Publicado o estudo da F-Secure sobre hackers de alto-falante inteligente Amazon Alexa. Os especialistas se conectaram à interface de depuração regular da coluna, inicializados a partir da mídia externa (um cartão SD conectado aos pinos na mesma interface para depuração) e obtiveram acesso ao sistema de arquivos no dispositivo. Este cenário permite instalar malware em uma coluna.

A versão do navegador Firefox 73 fechou várias vulnerabilidades sérias, incluindo pelo menos uma com a capacidade de executar código arbitrário ao visitar um site "preparado".

A Palo Alto Networks investigou exemplos de configurações inseguras do Docker. Por meio do Shodan, foram descobertos exemplos de servidores inseguros do Docker Registry. Consequentemente, as próprias imagens do Docker e os aplicativos armazenados nelas estavam disponíveis. Quinhentos malwares foram removidos

do repositório de extensões do navegador Google Chrome : todos eles coletaram dados do usuário e redirecionaram as vítimas para sites para posterior infecção do computador. Malwarebytes disse

sobre um exemplo interessante de um programa malicioso para Android, restaurado após a redefinição do dispositivo.