29/08/2017

Chi tiết vụ Unikey.vn - Liệu có an toàn?

Mấy hôm nay nhiều trang báo có đưa tin về vụ trang chủ thực sự để download phần mềm gõ tiếng việt Unikey. Theo tác giả Phạm Kim Long thì trang chủ là tên miền unikey.org. Ảnh minh họa chụp từ tinhte.
Bản chất của phần mềm gõ tiếng việt này nó giống như một loại keylog vì có khả năng theo dõi hành vi người dùng nên việc đề phòng và download tại trang chính chủ là cần thiết.

Vấn đề đặt ra là trang unikey.vn có lưu trữ phần mềm unikey nguy hiểm không, chúng ta sẽ làm một bài phân tích đơn giản so sánh 2 bản unikey download từ unikey.org và unikey.vn. Mình làm với phiên bản unikey 32 bit down từ 2 site trên.

Trước tiên cần kiểm tra Virus 2 file down từ 2 site. Đầu tiên là mình thấy việc tìm kiếm và download từ site unikey.vn dễ dàng hơn còn với site unikey.org lại khó khăn hơn vì click vô link sẽ ra 1 trang quảng cáo theo kiểu reflink.

Kết quả phần tích trên Virus total giống nhau với 2 file này thậm chí khi mình download về thì tên file cũng giống nhau.
.
Tiếp theo mình check MD5, SHA1, SHA-256 trên trang onlinemd5.com 2 file từ 2 site trên đều cho kết quả giống nhau.

Mình thử kiểm tra info domain thì thấy unikey.org được đăng ký từ năm 2005 và của unikey.vn reg từ năm 2012.

Nhìn hình các bạn có thể thấy unikey.org sử dụng dịch vụ ẩn danh thông tin còn của unikey.vn cho ra thông tin chủ domain.
.
Cuối trang unikey.vn có ghi nhận thông tin tác giả của phần mềm và có quảng cáo google adsense.
Vậy chúng ta cần đề phòng vấn đề gì, theo mình thì việc download phần mềm unikey từ unikey.vn cũng không có gì nguy hiểm (thời điểm hiện tại) vì bản thân site này lập ra với mục đích kiếm tiền từ quảng cáo google hoặc đầu cơ domain chờ unitkey.vn có giá rùi bán, còn bản thân site unikey.vn được seo tốt lên top tìm kiếm chứ họ không chạy quảng cáo để lên top như bên FPT shop đưa tin:
https://fptshop.com.vn/tin-tuc/tin-moi/chu-y-bo-go-unikey-chinh-chu-chi-co-duy-nhat-tai-unikey-org-59722 
Với sự tôn trọng tác giả mình nghĩ chúng ta nên download ở unikey.org còn việc download ở unikey.vn cũng không có gì nguy hiểm.


Theo: Whitehat

25/08/2017

Một loại mã độc mới lây lan qua Facebook Messenger

Một chiến dịch spam mới đã tấn công Facebook Messenger vài ngày qua. Người Facebook Messenger nhận được các đường link video và được dẫn thới một website lừa đảo, khiến người dùng cài đặt những phần mềm độc hại.

Đợt tấn công lừa đảo này được phát hiện bới các nhà nghiên cứu bảo mật từ Kaspersky và Avira, nhưng làm cách nào để mã đọc có thể lây lan thì vẫn chưa có câu trả lời. Một số nguyên nhân có thể được dự đoán là do trình duyệt bị tấn công, clickjacking, hay credentials bị đánh cắp...

Các attackers đã sử dụng phương pháp khá truyền thống để đánh lừa người dùng. Nội dung message bao gồm "David Video" và sau đó là một đường link bit.ly.

Để an toàn, người dùng chỉ cần tránh click vào những liên kết lạ nếu chưa nhận được phản hồi từ người gửi. Hoặc bạn cũng có thể gửi các tin nhắn đáng ngờ này cho Facebook.


Dịch ThaoPT - Theo: THN vs LTHN

24/08/2017

Tin tặc Trung Quốc tấn công Việt Nam trước APEC?

Một nhóm tin tặc được chính phủ Trung Quốc hậu thuẫn dường như đang tấn công giới chức Việt Nam với các mã độc trong email để giành lợi thế trong các cuộc đàm phán mậu dịch sắp tới, giới quan sát cảnh báo.
Bài của BuzzfeedNews dẫn lời giới chuyên gia nói một nước như Trung Quốc gửi email theo dõi máy tính chính phủ nước ngoài là điều đương nhiên.

Tuy nhiên, cuộc tấn công của Trung Quốc vào giới chức Việt Nam, vốn được nói chi tiết trong một báo cáo của công ty an ninh mạng Mỹ FireEye, là lời nhắc nhở về thực trạng gián điệp mạng đã trở thành một chiến thuật để giành lợi thế trong các mối quan hệ kinh tế và chiến lược trên thế giới.

"Người Trung Quốc, giống như các nước khác, muốn biết về nghị trình đàm phán thương mại và các chủ đề trao đổi ngoại giao trước khi họ phải đối đầu trong vòng đàm phán," Adam Segal, một chuyên gia về chính sách Trung Quốc và là giám đốc chính sách kỹ thuật số và không gian mạng tại Hội đồng Đối ngoại, một tổ chức nghiên cứu đặt tại New York và Washington nói.

Trung Quốc được coi là một trong những quốc gia hung hăng nhất trên thế giới về mảng hoạt động gián điệp kinh tế, với một số nhóm chuyên nghiệp của chính phủ cùng hàng ngàn nhân viên khác chưa thể thống kê hết.
Báo cáo của công ty FireEye tập trung vào một số tài liệu Microsoft Word được cho là để làm "mồi nhử" - file có mã độc đính kèm trong email khuyến khích người nhận tải chúng để tin tặc có thể xâm nhập.

Một trong những tài liệu có mã độc đề cập đến Thỏa thuận đối tác kinh tế Toàn diện Khu vực, (RCEP) giữa 16 quốc gia dọc tại Thái Bình Dương và các file mã độc khác là nhắm tới một kế hoạch chiến lược liên quan tới hội nghị APEC.

Tuy nhiên đó không chỉ là dấu hiệu về mối quan tâm của Trung Quốc đối với Việt Nam, Ben Read, giám đốc phân tích gián điệp mạng của FireEye, nói với BuzzFeed News: "Chúng tôi thấy có một lượng lớn email mồi nhử tấn công Việt Nam," Ben Read nói. "Chúng tôi nhận thấy có hàng loạt cuộc tấn công mỗi tháng."

Cả hai đợt tấn công được cho là đánh vào các lỗ hổng bảo mật của Microsoft Word, một thủ thuật phổ biến đối với các máy tính chạy các phiên bản Microsoft Office không có bản quyền hoặc các phiên bản chưa được cập nhật.
Trước đó hồi tháng Năm, Việt Nam nằm trong 150 quốc gia bị một mã độc tấn công. Cuộc tấn công khai thác một lỗi trong hệ điều hành Microsoft Windows. Nó được cơ quan tình báo Hoa Kỳ phát hiện ra đầu tiên. Trong khi đó hồi tháng Ba, các website sân bay Tân Sơn Nhất, Rạch Giá, Tuy Hòa cũng bị tin tặc tấn công.


Theo: BBC

Quân đội Mỹ đe dọa "hack ngược" lại hacker

Sau một loạt các vụ tấn công mạng có tầm ảnh hưởng toàn cầu, quân đội Mỹ đang lên kế hoạch đáp trả lại những kẻ gây những vụ tấn công ấy một cách mạnh mẽ hơn.
Theo MSN, chính phủ Mỹ đang lên kế hoạch áp dụng một cách tiếp cận mới để ngăn chặn tin tặc và những kẻ phá hoại khỏi tấn công chính phủ và các cơ quan quân đội: sử dụng chính các phần mềm độc hại ấy và gửi ngược lại cho kẻ tấn công.

Chiến lược "hack ngược lại" này đã được đề xuất bởi Trung tướng Vincent Stewart của Cơ quan Tình báo Quốc phòng Mỹ (DIA) – một tổ chức chuyên về phòng thủ và tình báo quân đội – trong hội nghị Bộ Nội Vụ Mỹ về Hệ thống Thông tin Tình báo (DoDIIS) tại Missouri.

Cụ thể, ông phát biểu: "Một khi chúng ta cô lập được phần mềm độc hại ấy, tôi muốn tái thiết kế mã nguồn của nó và sử dụng nó để chống lại kẻ thù, những kẻ đã cố tình tấn công chúng ta. Chúng ta phải đạp lên chúng để tồn tại".

Hội nghị DoDIIS có sự tham dự của các thành viên thuộc FBI, CIA, NSA, Cơ quan Tình báo Địa không gian Quốc gia và Văn phòng Giám đốc Tình báo Quốc gia. Các công ty như Microsoft, Xerox, NFL. FireEye và DataRobot cũng góp mặt.

Có thể thấy rõ trong sự kiện là DIA rất quan tâm đến việc có những động thái trả đũa mạnh mẽ hơn để chống lại những kẻ tấn công. Ngoài lời đề nghị của Stewart rằng tổ chức có thể tái thiết lập mã độc và đáp trả lại người gửi, Giám đốc thông tin của cơ quan này cũng ủng hộ các biện pháp tấn công.

Bà Janice Glover-Jones nhấn mạnh: "Trong quá khứ, chúng ta chỉ chú trọng vào bên trong, vào việc cải tiến quy trình nội bộ, kinh doanh và hội nhập. Giờ chúng ta sẽ nhìn ra ngoài, nhìn thẳng vào mối đe dọa. Kẻ thù đang tiến bộ với tốc độ nhanh hơn bao giờ hết, và chúng ta phải tiếp tục đi trước chúng một bước".

Việc kẻ nào ở phía bên kia của cuộc tấn công là một điều khó nói trước được. Như Tư lệnh William Marks thuộc Hải quân Mỹ đã chỉ ra trong hội nghị, "Các mối đe dọa không còn bị giới hạn bởi đường biên giới, nền kinh tế hay sức mạnh quân sự nữa. Chúng ở khắp mọi nơi, không có bất kì giới hạn nào về độ tuổi hoặc rào cản ngôn ngữ, hay nhân dạng".

Ông Marks cho rằng những cuộc tấn công chống lại quân đội hay chính phủ có thể đến từ bất cứ đâu. Nó có thể bắt nguồn từ "một quốc gia lớn hay một đứa trẻ 12 tuổi tấn công mạng lưới của chúng ta từ một quốc gia nhỏ và biệt lập".

Cách tiếp cận này làm dấy lên một số câu hỏi, bao gồm cả vấn đề của Tư lệnh Marks. Một cuộc tấn công có thể đến từ bất cứ đâu. Liệu lời đáp trả với một đứa bé 12 tuổi tò mò về công nghệ với một quốc gia lớn có giống nhau hay không?
Một đứa trẻ tò mò công nghệ và không có ý đồ xấu có đáng bị trừng phạt?

Ngoài ra, đánh giá cũng là một nhiệm vụ cực kì khó khăn. Trong khi nhiều chuyên gia có thể cam đoan rằng họ biết nơi cuộc tấn công được phát động, nhưng để đạt được sự chuẩn xác 100% là điều gần như bất khả thi. Đánh giá sai một cuộc tấn công và đáp trả một cách mạnh mẽ sai đối tượng có thể tạo ra những vấn đề lớn hơn rất nhiều.

Cũng nên lưu ý rằng một khi luật pháp cho phép các công ty Mỹ chống lại kẻ tấn công, Đô đốc Mike Rogers của Bộ tư lệnh Không gian mạng đã cảnh báo rằng những sáng kiến như thế này có thể tạo ra các hậu quả không mong muốn, gây nên những rủi ro trong nỗ lực tìm kiếm nguồn gốc của cuộc tấn công mạng.

Vào đầu năm nay, ông đã chia sẻ với một tiểu ban của Bộ Nội vụ Hạ viện: "Mối quan tâm của tôi là hãy thận trọng trong việc đưa thêm những tay súng vào vùng miền Tây hoang dã".
Theo Vnreview

23/08/2017

LG Electronics bị mã độc WannaCry tấn công, phải đóng cửa hệ thống

Công ty điện tử tiêu dùng đã xác nhận virus WannaCry có trong một trung tâm phục vụ của hãng ở Hàn Quốc và hệ thống đã phải đóng cửa trong 2 ngày để ngăn chặn sự lây lan của mã độc này.

LG cho biết họ đã phải đóng cửa một số bộ phận trong mạng lưới sau khi hệ thống bị mã độc WannaCry thâm nhập. Mã độc này bị phát hiện có trong một quầy hàng tự phục vụ của LG ở Hàn Quốc.

Với sự giúp đỡ của tổ chức Internet và Bảo mật Hàn Quốc (KISA), chúng tôi đã phân tích mã độc khiến một số trung tâm dịch vụ bị trì hoãn hôm 14/8 và đó chính là WannaCry”, một đại diện LG cho biết.

Ngay khi phát hiện có mã độc trên mạng lưới, LG đã ngăn chặn mọi truy cập vào trung tâm dịch vụ, ngăn ngừa mã độc lây lan sang các bộ phận khác của tổ chức. Công ty cho biết chưa hề bị mất mát dữ liệu, chưa hề nộp khoản tiền chuộc nào.

Theo LG, tất cả các máy tự phục vụ bị nhiễm WannaCry đều đã hoạt động trở lại sau 2 ngày, và “tất cả mọi cập nhật bảo mật đều đã được hoàn thành”.

ZDnet cho rằng thực tế này cho thấy các bản vá chưa được tiến hành vào mạng lưới LG trước khi xảy ra cuộc tấn công này, khiến LG trở thành nạn nhân của WannaCry. LG và KISA vẫn đang cố gắng xác định cách WannaCry đã tấn công mạng lưới tại trung tâm tự phục vụ như thế nào.

Chưa có xác nhận chính thức nào về việc thủ phạm của cuộc tấn công WannaCry đầu tiên hồi tháng 5, nhưng các công ty an ninh mạng tư nhân và các cơ quan chính phủ điều tra đều cho rằng đó là do Triều Tiên gây ra. Điều đáng lo ngại hơn là, sự dễ dãi, chủ quan của người dùng, doanh nghiệp và các tổ chức đối với WannaCry có thể sẽ kích thích những kẻ chuyên tạo mã độc, tạo ra những mã độc giống như WannaCry, thậm chí nguy hiểm hơn trong tương lai.

Mới đây, các chuyên gia an ninh mạng Nhật Bản vừa cho biết mã độc WannaCry đã quay trở lại đe dọa thế giới với phiên bản mới. JPCERT - Trung tâm điều phối đối phó khẩn cấp máy tính Nhật Bản - cho biết phiên bản mới của WannaCry không thực hiện mã hóa tệp tin để đòi tiền chuộc. Hiện chưa rõ mục đích của phiên bản ransomware mới này, tuy nhiên mức độ nguy hiểm của nó vẫn rất cao và thế giới mạng cần cảnh giác cao độ.

Theo ICTnews​

22/08/2017

Mã độc Android Trojan xu hướng tấn công các ứng dụng có thẻ thanh toán

Các nhà nghiên cứu tại Kaspersky Lab đã phát hiện ra một biến thể mã độc ngân hàng mới, có khả năng ghi âm cuộc gọi trên thiết bị và hiển thị giao diện đè lên trên các ứng dụng đặt chỗ xe taxi, vé máy bay nhằm đánh cắp thông tin thẻ thanh toán.

Mã độc có tên Faketoken.q, là một biến thể mới của mã độc ngân hàng được phát tán thông quan tin nhắn rác SMS, yêu cầu người dùng tải về một tệp tin hình ảnh nhưng thực chất là mã độc.

Sau khi đã được tải về, mã độc cài đặt những mô-đun cần thiết và phần điều khiển chính, tự ẩn biểu tượng trên màn hình và bắt đầu theo dõi mọi thứ – từ cuộc goi đến các ứng dụng đang chạy. Khi cuộc gọi được thực hiện, mã độc bắt đầu ghi lại và gửi phần ghi âm đến máy chủ của tin tặc.

Ngoài ra, Faketoken.q còn liên tục kiểm tra các ứng dụng và khi phát hiện thấy ứng dụng có thể giả mạo được, ngay lập tức mã độc sẽ hiển thị đè lên giao diện của người dùng. Để thực hiện điều này, mã độc ngân hàng sử dụng một chuẩn tính năng trên Android, trong đó hiển thị đè lên trên tất cả các ứng dụng khác vốn được triển khai cho các ứng dụng lớn như  Facebook Messenger.


Faketoken.q có khả năng hiển thị đè lên hầu hết các ứng dụng ngân hàng cũng nhưng các ứng dụng:
- Android Pay
- Google Play Store
- Ứng dụng trả phí giao thông
- Ứng dụng đặt vé máy bay và phòng khách sạn
- Ứng dụng đặt xe taxi

Do các thanh toán cần mã xác nhận từ tin nhắn SMS, mã độc sẽ chuyển toàn bộ tin nhắn cho tin tặc. Theo các nhà nghiên cứu, Faketoken.q được thiết kế tấn công người dùng sử dụng giao diện ngôn ngữ Nga.

Các bảo vệ bản thân

Cách tốt nhất để bảo vệ chính mình trước mã độc ngân hàng là không tải về ứng dụng có nguồn gốc không rõ ràng, ứng dụng trong kho bên thứ ba hoặc thông qua đường dẫn trong thư điện tử.

Người dùng có thể truy cập vào Settings → Security và tắt tùy chọn “Unknown sources” giúp chặn cài đặt ứng dụng từ nguồn không xác định. Quan trọng hơn hết, hãy luôn đọc quyền mà ứng dụng yêu cầu trước khi cài đặt, ngay cả khi tải chúng về từ Google Play.


Dịch SecurityDaily - Theo THN

Trung Quốc lập tòa án chuyên xử các vụ kiện liên quan không gian mạng

Nhằm giải quyết các tranh chấp dân sự liên quan đến không gian mạng, mới đây Trung Quốc đã lập mới một Tòa án không gian mạng tại thành phố Hàng Châu.

Tòa án sẽ chấp nhận đơn điện tử và xét xử các vụ kiện qua mạng trực tiếp trên các lĩnh vực tranh chấp sau: tranh chấp hợp đồng phát sinh từ mua sắm trực tuyến, tranh chấp về trách nhiệm sản phẩm phát sinh từ mua sắm trực tuyến, tranh chấp hợp đồng dịch vụ internet, tranh chấp về vi phạm bản quyền trên internet và tranh chấp phát sinh từ các khoản cho vay tài chính thực hiện trực tuyến.

Hàng Châu, cách Thượng Hải khoảng một giờ đi xe, được mệnh danh là "thủ đô thương mại điện tử của Trung Quốc" và là nơi có các công ty như Alibaba và NetEase cũng như khu thí điểm thương mại điện tử qua biên giới cấp quốc gia của Trung Quốc.
Thành phố này đang nỗ lực dẫn đầu việc thiết lập các tiêu chuẩn về thủ tục và giám sát các giao dịch thương mại điện tử.

Theo luật pháp tố tụng dân sự của Trung Quốc, các vụ kiện chống lại các công ty phải được xử lý tại thành phố mà công ty chủ yếu hoạt động hoặc đã đăng ký địa chỉ, và các tòa án ở Hàng Châu đã chứng kiến sự gia tăng đáng kể các vụ kiện tranh chấp thương mại điện tử trong vài năm qua, từ 600 vụ năm 2013 lên tới hơn 10.000 vụ vào năm 2016./.

Theo Vietnam +

21/08/2017

Phát hiện 2 lỗ hổng Zero-Day trong Foxit PDF Reader

Các nhà nghiên cứu mới phát hiện 2 lỗ hổng bảo mật nghiêm trọng trong Foxit Reader, phần mềm chuyên dụng đọc tệp tin PDF, cho phép tin tặc thực thi mã tùy ý trên máy tính nạn nhân.

Lỗ hổng thứ nhất  (CVE-2017-10951) là lỗ hổng cho phép đưa (tiêm) câu lệnh vào phần mềm, được phát hiện bởi nhà nghiên cứu Ariele Caltabiano tại công ty Trend Micro. Lỗ hổng thứ hai (CVE-2017-10952) là lỗ hổng được phát hiện bởi chuyên gia Steven Seeley tại Offensive Security.

Tin tặc có thể khai thác những lỗ hổng này bằng cách gửi một tệp tin PDF giả mạo cho nạn nhân. Foxit từ chối vá cả 2 lỗ hổng do tính năng đọc an toàn “Safe reading mode” được bật mặc định trong Foxit Reader.

“Foxit Reader & PhantomPDF có tính năng Safe Reading Mode mặc định nhằm kiểm soát JavaScript. Tính năng này có thể phòng chống hiệu quả các lỗ hổng phát sinh từ JavaScript” – công ty Foxit cho hay. 
Tuy nhiên, các nhà nghiên cứu tin rằng nếu lỗ hổng không được vá, tin tặc có thể khai thác khi tìm được cách vượt cơ chế đọc an toàn trong tương lai.

CVE-2017-10951: Lỗ hổng chèn lệnh nằm trong hàm xử lý  app.launchURL, thực thi chuỗi kí tự mà tin tặc đưa vào hệ thống, do thiếu cơ chế kiểm tra. Video minh họa về lỗ hổng CVE-2017-10951:

CVE-2017-10952: Lỗ hổng tồn tại trong hàm JavaScript “saveAs” cho phép tin tặc ghi tệp tin tùy ý lên hệ thống tại bất cứ thư mục nào. Video minh họa:
Nếu bạn là người sử dụng Foxit Reader và PhantomPDF, hãy luôn bật tính năng “Safe Reading Mode”. Ngoài ra, bạn cũng có thể bỏ chọn “Enable JavaScript Actions” trong cài đặt Preferences của Foxit (điều này có thể ảnh hưởng tới một số tính năng khác”.

Người dùng luôn được khuyến cáo thận trọng khi mở bất cứ tệp tin nào thông qua email có nguồn gốc không rõ ràng hoặc tải về các tệp tin trên mạng.

Dịch SecurityDaily - Theo THN

17/08/2017

Một loại backdoor nguy hiểm hiểm ẩn nấp trong phần mềm mà nhiều công ty đang sử dụng.

Công nghệ phát triển kéo theo sự tinh vi của các loại virus. WannaCry hay chính Backdoor ShadowPad là một trong những ví dụ điển hình.

Chỉ trong 17 ngày, một loại virus cửa hậu (backdoor) cao cấp đã giúp tin tặc tấn công và kiểm soát hoàn toàn các phần mềm bản quyền kĩ thuật số. Nguy hiểm thay khi đối tượng đang sử dụng phần mềm này lại là hàng trăm ngân hàng, các công ty năng lượng và các nhà sản xuất dược phẩm. Sự việc này xảy ra vào hồi tháng 7 vừa qua.

Virus backdoor, hay còn gọi là ShadowPad đã được gài vào 5 sản phẩm được phân phối bởi NetSarang- công ty phát triển phần mềm có trụ sở tại hàn Quốc và Mỹ. Các sản phẩm độc hại này đã xuất hiện kể từ ngày 17/4- 4/8. Chúng sau đó đã bị phát hiện và được bí mật báo cáo tới các nhà nghiên cứu từ nhà cung cấp sản phẩm diệt virus Kaspersky Lab.

Bất cứ ai đang sử dụng năm phiên bản của NetSarang gồm Xmanager EnterPrise 5.0, Xmanager 5.0, Xshell 5.0, Xftp 5.0 hoặc Xlpd 5.0 đều ngay lập tức xem lại các thông báo từ NetSarang và Kaspersky Lab tại đây.
Vụ tấn công mới nhất của ShadowPad được thực hiện tiếp tục bằng việc sử dụng chuỗi cung ứng nhằm lây nhiễm đến toàn bộ các đối tượng có liên quan. Virus NotPetya trước đó cũng đã đánh sập nhiều hệ thống máy tính trên thế giới vào hồi tháng 6. Chúng đều có chung cách thức hoạt động đã được nâng cấp mới và được sử dụng rộng rãi ở Ukraina.

Hãy nhớ lại hai loại virus tiêu biểu cho các vụ tấn công bằng chuỗi cung ứng này là Plugx 2015 và WinNTi 2013. Cả hai đều nhắm vào các game thủ trực tuyến, đặc biệt những người dùng có tài khoản game giá trị. Chúng có khả năng tận dụng các lỗ hổng bảo mật trên trình duyệt và nhanh chóng chiếm quyền kiểm soát tài khoản của người chơi và sau đó yêu cầu tiền chuộc.

Các nhà nghiên cứu của Kaspersky Lab chia sẻ trên blog: “Với cơ hội thu thập dữ kiệu bí mật, tin tặc có thể áp dụng cách này lần nữa đối với các thành phần phần mềm được sử dụng rộng rãi khác. Thật may mắn khi NetSarang đã kịp thời phản hồi với các thông báo của chúng tôi và tung ra bản cập nhật phần mềm mới. Bản cập nhật này sẽ giúp khách hàng của họ yên tâm hơn trước hàng trăm cuộc tấn công ăn cắp dữ liệu đang hoành hành."

Đoạn mã backdoor được đặt trong một phiên bản của tệp nssock2.ddl. Tệp này đã được đăng lên trang chủ của NetSarang vào ngày 17/7 vừa qua. Theo đó các tệp tin độc hại đã được xác nhận hợp pháp và không hề bị phát hiện. Điều này chỉ xảy ra khi các nhà nghiên cứu của Kaspersky Lab thông báo với công ty về vụ giả mạo này. Trong bài phát biểu mới đây, công ty đã chính thức thừa nhận vấn đề:

Chúng tôi xác nhận cơ sở hạ tầng của công ty đang bị phá hoại. Vì thế chúng tôi đã tạo ra một cơ sở hạ tầng hoàn toàn mới riêng biệt. Tất cả các thiết bị khi trước khi được đặt vào trong hệ thống mới này sẽ phải trải qua quá trình kiểm tra, quét bảo mật kĩ càng từng lượt một. Chính vì thế nên công ty sẽ mất nhiều thời gian để hoàn thành công việc này. Tuy nhiên chúng tôi vẫn chấp nhận vì sự an toàn của người dùng chính là thứ chúng tôi ưu tiên hàng đầu”.

Các nhà nghiên cứu của Kaspersky Lab tiếp tục phân tích:

Module này có thể nhanh chóng trao đổi với máy chủ DNS kiểm soát và cung cấp thông tin đích cơ bản (tên miền và tên người dùng, ngày hệ thống, cấu hình mạng) tới máy chủ. Máy chủ DNS C&C sau đó sẽ gửi lại chìa khoá giải mã cho giai đoạn tiếp theo của mã. Dữ liệu trao đổi giữa mô-đun và C&C được mã hóa bằng một thuật toán độc quyền và sau đó được mã hoá bằng các ký tự Latin có thể đọc được. Mỗi gói tin cũng chứa một giá trị DWORD ma thuật được mã hóa "52 4F 4F 44" ('DOOR' nếu được đọc dưới dạng giá trị nhỏ).

Theo phân tích của chúng tôi, các mã nhúng đóng vai trò quan trọng như một nền tảng của mô đun backdoor. Nó có khả năng tải về và thực thu các mã tuỳ ý được cung cấp từ máy chủ C&C cũng như duy trì một hệ thống tập tin ảo VPS bên trong file registry. VFS và bật kì tệp bổ sung nào được tạo ra bởi mã sẽ được mã hoá và lưu trữ tại một vị trí duy nhất cho từng nạn nhân”.
Các nhà nghiên cứu cũng cho biết họ đã phát hiện ra backdoor nhờ một đối tác của Kasspersky Lab làm trong ngành tài chính. Anh đã vô tình quan sát thấy một máy tính được sử dụng để thực hiện các yêu cầu tra cứu tên miền đáng ngờ. Kết quả là họ đã tìm ra mô đun độc hại được bổ sung vào trong các sản phẩm của NetSarang.

Kể từ ngày 4/8, bất cứ người dùng nào cài đặt bản cập nhật mới sẽ được an toàn trước mối đe doạ này. Sự lây nhiễm cũng sẽ được kiểm tra và phát hiện bởi phần mềm chống virus của Kaspersky Lab. Để chắc chắn được an toàn, người dùng cần cẩn thận dành thời gian để xem xét các nhật kí trên các máy tính để biết được các dấu hiệu lây nhiễm.
Hiện vẫn chưa rõ ai là người đã tạo ra virus backdoor hay chính xác hơn là người đang phá hoại NetSarang. Theo nhận định ban đầu, nó có những điểm tương đồng với những cuộc tấn công được sử dụng trên virus WinNTi và PlugX được đề cấp ở phần đầu bài viết. Các nhà nghiên cứu đã tổng hợp lại và đưa ra nhận định chủ mưu của những cuộc tấn công này có thể là những đối tượng thuộc nhóm nói tiếng Hoa.

Các cuộc tấn công bằng chuỗi cung ứng thực sự đáng báo động bởi khả năng lan truyền cực kì nhanh của chúng. Nạn nhân là có thể là những đối tượng chỉ thực hiện cập nhật phần mềm mà họ đã sử dụng trong nhiều năm qua mà không hề làm gì khác. Vụ ShadowPad này nhấn mạnh tầm quan trọng của việc kiểm tra kĩ lưỡng hành vi mạng và sự hợp tác cùng các đối tác. Chỉ có như vậy, chúng ta mới có thể kiểm soát và phát hiện các hành vi đáng ngờ và có những phương án kịp thời trước khi quá muộn.


Theo Arstechnica - Dịch GenK

Hãy thận trọng, tải ứng dụng từ Google Play Store chưa chắc đã an toàn tuyệt đối.

Tin tặc nặc danh đã thực hiện đưa hơn 1000 ứng dụng độc hại lên các chợ ứng dụng bên thứ ba và chợ ứng dụng chính thức Google Play Store. Các ứng dụng này có thể theo dõi hầu hết hành vi của người dùng và ghi lén cuộc gọi.

Mã độc gián điệp có tên SonicSpy có khả năng phát tán mạnh mẽ thông qua các chợ ứng dụng và giả mạo dưới dạng các phần mềm nhắn tin. Ở thời điểm hiện tại, mã độc Sonic có thể thực hiện các hành vi như nghe lén cuộc gọi, âm thanh từ microphone, chiếm kiểm soát máy ảnh và ảnh chụp màn hình, thực hiện cuộc gọi và gửi tin nhắn ra ngoài. Bên cạnh đó, phần mềm gián điệp này còn có thể đánh cắp thông tin từ lịch sử cuộc gọi, danh bạ và thông tin điểm truy cập Wi-Fi mà thiết bị kết nối.
Các nhà nghiên cứu tại Lookout đã phát hiện ba phiên bản khác nhau của SonicSpy trên Google Play Store. Mặc dùng các ứng dụng độc hại (có tên Soniac, Hulk Messenger  và Troy Chat) đã bị xóa khỏi Google Play Store, nhưng chúng vẫn tồn tại trong máy người dùng tải về và trên các chợ ứng dụng bên thứ ba.

Các chuyên gia bảo mật tin rằng có sự liên hệ giữa Iraq và dòng mã độc SonicSpy. Trước đó Iraq đã sử dụng một loại mã độc Android có tên SpyNote có chung công nghệ giống như SonicSpy. Sau khi lây nhiễm và thiết bị người dùng, ứng dụng sẽ tự động loại bỏ biểu tượng hiển thị và tự động kết nối đến máy chủ điều khiển nhằm cài đặt một ứng dụng khác.

Các đơn giản nhất để bảo vệ chính mình đó là thận trọng với các ứng dụng lừa đảo, có dấu hiệu mạo danh các thương hiệu khác, ngay cả khi tải chúng về từ Google Play Store. Không tải ứng dụng từ nguồn bên thứ ba, cài đặt phần mềm diệt virus và luôn cập nhật ứng dụng trong thiết bị.


Dịch SecurityDaily - theo THN

14/08/2017

Smartphone Xiaomi gặp nguy vì lỗ hổng bảo mật trong MIUI

Lỗ hổng bảo mật nghiêm trọng trong MIUI vừa được phát hiện có thể sẽ trở thành miếng mồi ngon cho tin tặc.
Theo Android Authority, eScan Antivirus, một công ty an ninh mạng Ấn Độ, vừa phát hiện ra một số lỗ hổng nghiêm trọng trên giao diện MIUI của Xiaomi (Trung Quốc).

Những lỗ hổng mới xuất phát từ một số ứng dụng và tính năng nhất định trên các model smartphone của Xiaomi. Đầu tiên là Mi Mover, ứng dụng cho phép chuyển mọi thiết lập và dữ liệu từ các thiết bị Android khác sang điện thoại Xiaomi.

Theo quy tắc thông thường, để bảo vệ dữ liệu người dùng trước khi chuyển dữ liệu, các hãng sẽ yêu cầu người dùng phải cung cấp mật khẩu trước khi bật Mi Mover. Mặc dù vậy, lỗ hổng bảo mật đã bất ngờ xuất hiện khi các chuyên gia thử nghiệm chuyển dữ liệu giữa hai chiếc Mi Max 2 và Redmi 4A.

Ứng dụng Mi Mover gần như không không yêu cầu mật khẩu hay các hình thức bảo mật khác như vân tay từ người dùng trước khi chuyển đổi.

Nguy hiểm hơn, lỗ hổng này sẽ tạo điều kiện cho tin tặc có thể khai thác để nhân bản hệ thống, lấy cắp dữ liệu ứng dụng dễ dàng. Kết hợp với đó, do Xiaomi hiện chưa trang bị tính năng bảo vệ Sandbox cho đa số smartphone nên người dùng càng dễ có nguy cơ bị tin tặc tấn công bằng hình thức tinh vi này.


Lỗ hổng bảo mật thứ hai trên MIUI đến từ tính năng quản trị thiết bị. Đa số các mẫu Android sẽ yêu cầu xác nhận quyền quản trị mỗi khi cài mới hoặc kích hoạt một ứng dụng vừa cài đặt. Tính năng này cũng yêu cầu người dùng phải nhập mật khẩu trước khi cấp quyền quản trị.

Tuy vậy, lỗ hổng phát hiện trên chiếc Mi Max 2 đã tắt yêu cầu nhập mật khẩu để cấp quyền truy cập quản trị cho thiết bị. Trong thử nghiệm khi gỡ ứng dụng chống trộm Cerberus (ứng dụng yêu cầu cấp quyền quản trị) trên Mi Max 2, máy không yêu cầu người dùng phải nhập mật khẩu để gỡ.

Như vậy đây là một lỗ hổng khá nguy hiểm nếu như tin tặc có thể chiếm quyền quản trị thiết bị và đánh cắp dữ liệu.

Xiaomi hiện đã đưa ra phản hồi "không đồng tình" với thông tin từ công ty eScan Antivirus. Xiaomi tái khẳng định đang tuân thủ đầy đủ các quy trình bảo vệ thiết bị và chính sách bảo mật do hãng đặt ra. Công ty Trung Quốc cũng đề nghị phía người dùng nên sử dụng mã PIN, cảm biến vân tay hay khóa mẫu để bảo mật thiết bị an toàn hơn.

Nguồn: Vnreview.vn

11/08/2017

Google trao thưởng 10.000 USD cho học sinh trung học

Ezequiel Pereira, một học sinh trung học đã được trao thưởng 10.000 USD vì phát hiện và báo cáo một lỗ hổng trong máy chủ App Engine của Google.

Trong khi ‘khám phá’ App Engine bằng cách thay đổi Host header trong yêu cầu gửi đến máy chủ (*.appspot.com) nhằm truy cập vào các ứng dụng App Engine nội bộ (*.googleplex.com), Pereira tình cờ phát hiện một website không được trang bị biện pháp an ninh.

Người dùng truy cập các ứng dụng trên googleplex.com thường phải đi qua một trang đăng nhập MOMA có chức năng giống một “ÜberProxy”.

Pereira sử dụng Burp vì công cụ này cho phép thay đổi dễ dàng Host header, kết quả là hầu hết những lần truy cập App Engine đều thất bại. Máy chủ hoặc trả lỗi 404 Not Found hoặc đang kiểm tra xem liệu yêu cầu này có đến từ một tài khoản Google ("[email protected]") thay vì một tài khoản Google bình thường.

Cuối cùng, Pereira vô tình truy cập yaqs.googleplex.com và trang này không thực hiện kiểm tra tên người dùng và không hề được trang bị một biện pháp an ninh nào.
Ngay sau khi phát hiện ra lỗi, Pereira đã thực hành lại các bước để sao chép và báo cho Google về lỗ hổng.

Để thực hành lại lỗ hổng sử dụng Burp, bạn phải đi đến tab Repeater, đặt máy chủ mục tiêu đến "www.appspot.com" cổng mục tiêu "443", sau đó tick vào lựa chọn "Use HTTPS", viết một yêu cầu: GET /eng HTTP/1.1
Host: yaqs.googleplex.com

Nếu khai thác được lỗ hổng này, kẻ tấn công có thể truy cập đến website nội bộ của Google.
Google đã xác nhận lỗ hổng này, bên cạnh đó còn phát hiện được một vài biến thể của quá trình khai thác cho phép kẻ tấn công truy cập các dữ liệu nhạy cảm.


Dịch Whitehat.vn - Theo: THN

09/08/2017

Hotspot Shield VPN bị cáo buộc theo dõi lưu lượng Web của người dùng

Virtual Private Network (Mạng riêng ảo – VPN) là một giải pháp tốt nhất hiện nay bảo vệ quyền riêng tư và dữ liệu trên Internet. Nhưng hãy thận trọng khi lựa chọn nhà cung cấp dich vụ VPN bởi chính họ có thể là người thu thập dữ liệu của bạn.

Một tổ chức độc lập về quyền riêng tư đã đệ trình lên Ủy ban thương mại liên bang Hoa Kỳ (FTC) về việc nhà cung cấp dịch vụ Hotspot Shield liên tục vi phạm cam kết với người dùng.

Bản đệ trình 14 trang được tổ chức phi lợi nhuận bảo vệ bản quyền kĩ thuật số CDT cáo buộc Hotspot Shield theo dõi, can thiệp và thu thập thông tin của người dùng.  Hotspot Shield là một mạng riêng ảo được phát triển bởi Anchorfree GmbH, phát hành miễn phí trên Google Play Store và Apple Store với khoảng 500 triệu người dùng trên toàn thế giới.

Mạng riêng ảo là tập hợp các mạng kết nối với nhau để thiết lập nên kết nối an toàn trên Internet và mã hóa dữ liệu, do đó bảo vệ danh tính và quyền riêng tư của người dùng. Dịch vụ VPN thường được sử dụng bởi các tổ chức độc lập, nhà báo, các nhà hoạt động kĩ thuật số và người biểu tình nhằm vượt sự kiểm duyệt nội dung hoặc kiểm duyệt địa lý.

Hotspot Shield VPN  cam kết “bảo  mật toàn bộ hoạt động trực tuyến”, ẩn địa chỉ IP và danh tính của người dùng, không lưu lại lịch sử kết ối khi người dùng sử dụng kênh kết nối mã hóa. Tuy nhiên, nghiên cứu mới được thực hiện bởi CDT cùng bới đại học Carnegie Mellon cho thấy Hotspot Shield đã đi ngược lại cam kết của mình như ghi lại nhật kí kết nối, theo dõi thói quen duyệt web của người dùng, điều hướng  lưu lượng trực tuyến và bán thông tin người dùng cho bên thứ ba.

Hotspot Shield cũng bị phát hiện đưa mã JavaScript sử dụng iframe để phục vụ quảng cáo và theo dõi người dùng. Kĩ thuật dịch ngược mã nguồn còn tiết lộ Hotspot Shield sử dụng hơn 5 thư viện theo dõi. Dữ liệu bị theo dõi chứa thông tin nhạy cảm bao gồm tên của mạng không dây (SSID/BSSID) cùng với định danh như địa chỉ Media Access Controll và số IMEI của thiết bị.

CDT muốn Ủy ban thương mại liên bang mở một cuộc điều tra về Hotspot Shield trong tương lai.


Dịch SecurityDaily - Theo THN

08/08/2017

Tin tặc dọa mỗi tuần công bố một dữ liệu đã đánh cắp của HBO

Các tin tặc (hacker) đe dọa sẽ tiết lộ thêm những dữ liệu quan trọng chúng đã đánh cắp từ công ty giải trí HBO tại Hollywood hôm 31/7 vừa qua.

Theo Entertainment Weekly, trong một thư điện tử tự động, các hacker cho biết: "Sẽ tiết lộ những dữ liệu bí mật này mỗi tuần 1 lần," và các thông tin tiết lộ tới đây sẽ vào "Sunday 12 GMT" (Chủ nhật 12 giờ GMT) - cũng là tên một sản phẩm mới đang gây tiếng vang cho HBO.

Entertainment Weekly cũng cho hay các tin tặc nặc danh đã gửi thư tới một số phóng viên về vụ tấn công trong ngày 6/8 tới và nêu rõ: "Tiết lộ thông tin bí mật lớn nhất trong kỷ nguyên không gian mạng đang diễn ra."

Liên quan đến vụ tin tặc tấn công HBO ngày 31/7, mặc dù HBO không nói rõ chính xác nội dung của những dữ liệu bị mất, nhưng các hãng truyền thông cho biết tin tặc đã đánh cắp khoảng 1,5 TB dữ liệu từ HBO và chúng sẽ tiết lộ những dữ liệu mới sau khi công bố kịch bản của phần mới serie "Game of Thrones", cũng như những tập chưa phát sóng của 2 chương trình là "Ballers"và "Room 104."

Trong một tuyên bố, Tập đoàn giải trí Time Warrner, đơn vị sở hữu phần lớn cổ phiếu tại HBO, cũng đã xác nhận tin tặc đã tấn công HBO và cho biết, trong thời gian qua, HBO đang phải đối mặt với cuộc tấn công mạng với mục đích nhằm thỏa hiệp những thông tin độc quyền.

HBO nhấn mạnh việc bảo vệ dữ liệu là ưu tiên hàng đầu và cho biết hiện đang phối hợp với các cơ quan thực thi pháp luật và các cơ quan an ninh mạng để tiến hành điều tra vụ tấn công trên.

Trong nhiều năm qua, hãng giải trí HBO luôn phải đối mặt với nguy cơ bị đánh cắp kịch bản của seri phim ăn khách "Game of Thrones." Năm 2015, những tập đầu của phần 5 cũng đã bị tiết lộ trước khi công chiếu.

Không chỉ HBO là mục tiêu tấn công của tội phạm mạng, hồi tháng Tư, tin tặc cũng đã nhắm vào Netflix, và đăng tải một số tập của phần mới trong serie phim "Orange Is the New Black."

Trong khi đó, hãng giải trí Sony Pictures Entertainment cũng từng bị đánh cắp gần 100 TB dữ liệu hồi năm 2014./.


Theo Vietnam+

07/08/2017

Phát hiện các lỗi có thể khai thác từ xa trên các camera IP phổ biến

Hai hãng an ninh Bitdefender và Checkmarx vừa công bố các báo cáo riêng mô tả những lỗ hổng có thể khai thác từ xa trên các camera phổ biến VStarcam, Loftek và Neo IP.
Bitdefender đã phát hiện nhiều lỗi tràn bộ đệm ảnh hưởng tới dịch vụ máy chủ web và máy chủ giao thức streaming thời gian thực (RTSP) trên các camera iDoorbell và Neo Coolcam NIP-22 của công ty Trung Quốc Neo Electronics.

Hacker không cần xác thực có thể khai thác từ xa các lỗ hổng trên để thực thi mã tùy ý và kiểm soát các thiết bị có lỗ hổng. Theo nhận định của các chuyên gia, ngoài iDoorbell và Neo Coolcam NIP-22, các sản phẩm khác của Neo Electronics cũng có thể bị ảnh hưởng.
Dựa vào kết quả quét công cụ tìm kiếm Shodan, hãng an ninh Bitdefender cho rằng khoảng 175.000 thiết bị có thể bị khai thác trực tiếp từ Internet do sử dụng UPnP để mở cổng.

Sau khi phân tích một số camera IP từ các công ty Loftek và VStarcam, hãng Checkmarx đã phát hiện nhiều lỗ hổng mới và các biến thể của các lỗ hổng đã được tìm thấy trước đó.
Trong máy ảnh CXS 2200 của Loftek, các chuyên gia đã tìm thấy những lỗ hổng CSRF có thể khai thác để thêm người dùng quản trị mới, lỗ hổng SSRF có thể phục vụ cho tấn công từ chối dịch vụ DoS và tìm các thiết bị khác trên mạng nội bộ hoặc Internet, lỗi stored-XSS có thể khai thác để thực thi mã tùy ý, và các lỗ hổng tiết lộ file.

Camera VStarcam C7837WIP tồn tại lỗi stored-XSS, chuyển hướng mở (open redirect), và cài đặt lại thiết bị ở chế độ nhà sản xuất. Cả hai camera trên đều cho phép hacker kiểm soát được các phản hồi HTTP, từ đó có thể thực hiện tấn công XSS, thay đổi giao diện cross-user, tấn công chiếm quyền điều khiển page và giả mạo cache.

Theo phân tích của Checkmarx, các camera từ nhiều nhà sản xuất sử dụng phần cứng và phần mềm giống nhau. Việc quét trên Internet qua Shodan cho thấy hơn 1,2 triệu thiết bị có thể tồn tại các lỗ hổng.

Hãng này cũng khẳng định: “Sau những lần quét đầu tiên, chúng tôi đi đến kết luận nếu camera của bạn được kết nối - chắc chắn sẽ có nguy cơ bạn bị tấn công. Hacker có thể khai thác thiết bị để theo dõi người dùng hàng ngày, biết rõ khi nào bạn về nhà hoặc ra ngoài, ăn cắp thông tin email, thông tin mạng không dây, kiểm soát các thiết bị được kết nối khác, sử dụng camera của bạn như một bot, theo dõi các cuộc trò chuyện, ghi lại video và còn có thể làm nhiều việc hơn thế nữa”.

Cả hai hãng an ninh đều cảnh báo các camera chứa lỗ hổng trên có thể bị chiếm quyền điều khiển và đóng vai trò là một mạng botnet khổng lồ như Mirai. Không may là hầu hết các lỗ hổng trên vẫn chưa được cập nhật bản vá.
Dịch Whitehat - Theo Securityweek​

04/08/2017

Marcus Hutchins - người góp công chặn đứng WannaCry bị FBI bắt, tình nghi tạo ra Trojan Kronos

Marcus Hutchins - người được xem là anh hùng khi nhanh chóng phát hiện và mua lại tên miền kill-switch vốn được WannaCry sử dụng để lây nhiễm, đã vừa bị FBI bắt giữ khi đang trên đường trở về nhà từ hội nghị bảo mật DEFCON diễn ra ở Las Vegas hồi tuần qua.

Hutchins trước đó đã được mời đến Hoa Kỳ để tham dự DEFCON 2017 và anh cũng đã ở lại Las Vegas, Nevada vài ngày để ghé thăm các điểm du lịch, theo kế hoạch thì anh đã lên chuyến bay trở về Anh hôm qua. Tuy nhiên, khi anh đang chuẩn bị làm thủ tục lên máy bay tại sân bay Sin City thì các đặc vụ FBI bất ngờ ập đến bắt giữ và dẫn đi. Cơ quan điều tra tội phạm quốc gia (NCA) của Anh đã xác nhận về vụ việc nhưng chưa rõ vì Hutchins bị bắt vì tội danh gì.

Bạn đi cùng Hutchins là Andrew Mabbitt - nhà sáng lập công ty bảo mật Fidus Information Security cũng đã xác nhận Hutchins đã bị bắt và cho biết: "Tôi đang tìm luật sư cho MalwareTech (Hutchins là chủ trang này) bởi anh ấy không có người đại diện pháp lý và cũng không có ai đến thăm. Tôi cũng sẽ sớm thực hiện chiến dịch gây quỹ để hỗ trợ cho Hutchins."

Hutchins hiện đang làm việc cho một trang tin bảo mật của Mỹ từ xa và tại hội nghị DEFCON, anh đã nhận được rất nhiều sự quan tâm và khen ngợi từ những nhân vật nổi tiếng trong giới bảo mật, điển hình như hacker kỳ cựu Charlie Miller - người chuyên hack các sản phẩm của Apple. Đáng tiếc là Hutchins không được trao giải thưởng Pwnie cho những cống hiển của mình trước đại dịch WannaCry.

Tin mới từ Andrew Mabbitt là Hutchins hiện đang bị tạm giữ tại văn phòng FBI ở Las Vegas. 

Theo một bản cáo trạng được bồi thẩm đoàn thuộc tòa án quận phía đông bang Wisconsin đưa ra hôm nay thì Hutchins bị tình nghi phát triển, chia sẻ và là chủ mưu phát tán loại Trojan Kronos từng tấn công các tài khoản ngân hàng từ giữa tháng 7, 2014 đến tháng 7, 2015. Tài liệu được toàn án biên soạn cáo buộc Hutchins là người đã góp phần tạo ra Kronos và sau đó cập nhật mã độc này vào tháng 2 2015 với một hacker khác - người này cũng đã đăng một đoạn video hướng dẫn cách sử dụng Kronos. Sau khi được tung lên YouTube thì video này đã bị gỡ bỏ.

Người cộng sự của Hutchins cũng bị cáo buộc là đã quảng cáo Kronos trên nhiều diễn đàn hacker, kiếm được ít nhất là $2000 khi bán một bản sao của loại Trojan này và sau đó bán thêm một bản khác cho một tổ chức với giá đến $3000. Chính phủ Mỹ còn cho rằng vào ngày 11 tháng 6, 2015, bản thân Hutchins đã chủ động bán mã tấn công tại Mỹ. Tổng cộng có 6 bản cáo trạng đã được đệ trình lên tòa án phía đông bang Wisconsin vào ngày 12 tháng 7 năm nay.

Kronos là một biến thể nguy hiểm hơn của malware Zeus, nó âm thầm lây nhiễm trên máy tính và "chôm" tài khoản ngân hàng trực tuyến của người dùng trên khắp thế giới. Kẻ tấn công sẽ phải mua các bản sao của Trojan Kronos và phát tán nó qua Internet bằng hình thức dẫn link tải gài bẫy và khi đã có được tài khoản thì tiền gởi của nạn nhân bị rút dần. Kronos từng được bán với giá đến $7000 với lời quảng cáo rằng: nó có thể lấy toàn bộ các tài khoản ngân hàng trực tuyến thông qua trình duyệt IE, Firefox và Chrome trên Windows; có cơ chế chống lại các Trojan cùng chức năng khác và có thể lẩn tránh trước sự phát hiện của các phần mềm bảo mật nhờ rootkit 32 hoặc 64-bit; có thể vượt qua cơ chế cách ly của phần mềm diệt virus và cho phép kẻ tấn công điều khiển và ra lệnh được mã hóa.

Cách Kronos được đóng gói và trao đổi cũng rất tinh vi. Khi đặt cọc trước $1000, người mua có thể dùng thử một phiên bản của Kronos trước khi mua đứt và người bán sẽ cung cấp một mô-đun chứa các phần phụ bổ sung cho Trojan cũng như hỗ trợ dịch vụ.



Điều lạ kỳ là vào ngày 13 tháng 7 năm 2014 - cùng ngày khi đoạn video hướng dẫn sử dụng Kronos được đăng tải thì Hutchins cũng đăng một dòng tweet trên tài khoản MalwareTech hỏi về Kronos. Thông tin này càng củng cố cho cáo buộc anh ta có dính líu tới Kronos.

Theo luật pháp Mỹ thì Hutchins hiện vẫn coi như vô tội cho đến khi bị kết tội. Nếu những lời cáo buộc nói trên là đúng thì thật sự trường hợp này thật tréo nghoe bởi Hutchins vừa mới được ca tụng là người hùng khi góp công lớn chặn đứng sự lây lan của WannaCry thì giờ đây đã trở thành tội đồ.

Ngoài ra, việc anh bị bắt giữ ngay tại sân bay cũng rất lạ. Anh và Mỹ có hiệp ước dẫn độ tội phạm rất chặt chẽ kể từ thời Tony Blair và George Bush nhưng có vẻ như các đặc vụ FBI không chọn giải pháp này. Thay vào đó họ bắt giữ và dẫn Hutchins đi vào đúng ngày cuối cùng anh ta ở trên đất Mỹ - thời điểm mà những thiết bị điện tử của Hutchins đã được nạp đầy những thông tin mà anh ta thu thập được trong suốt chuyến đi (Hutchins cũng đã dự nhiều buổi tiệc và chụp lại nhiều hình ảnh khi ở Nevada). Ngoài ra việc bắt giữ ngay tại sân bay cũng hợp lý bởi sân bay là môi trường được kiểm soát an ninh tốt và các đặc vụ có thể dễ dàng thực hiện công việc của mình.

Hutchins hiện sống ở Anh nhưng làm việc cho Kryptos Logic ở California. Vụ bắt bớ này xảy ra ngay sau khi FBI đánh sập chợ giao dịch dark web Alphabay nơi Kronos từng được rao bán. Hutchins sẽ trở thành mảnh ghép quan trọng giúp các nhà điều tra lần ra những hacker đứng đằng sau Kronos vốn được cho là sống tại Anh và là công dân Anh.


Dịch TinhTe - Theo The Register & The Register

03/08/2017

Mã độc ngân hàng bổ sung tính năng tự động phát tán giống WannaCry

Mặc dù làn sóng mã độc tống tiền WannaCry và Petya đã dần chậm lại, tin tặc vẫn đang ngày càng biến đổi mã độc để chúng trở nên mạnh mẽ hơn.

Mới đây các nhà nghiên cứu đã tìm ra ít nhất một nhóm tin tặc bổ sung tính năng tự động phát tán vào mã độc ngân hàng giống như WannaCry đã từng làm. Phiên bản mới của mã độc ngân hàng TrickBot sử dụng lỗ hổng Windows Server Message Block (SMB) – đây là lỗ hống giúp WannaCry và Petya phát tán nhanh chóng trên toàn cầu.

TrickBot là mã độc ngân hàng tấn công các tổ chức tài chính trên khắp thế giới trong vòng một năm qua. Mã độc phát tán thông qua tệp tin đính kèm giả mạo hóa đơn tài chính đến từ một tổ chức quốc tế, thực chất đánh lừa nạn nhân đăng nhập để lấy cắp thông tin.

TrickBot có khả năng rà quét các tên miền dành cho các máy chủ chứa lỗ hổng SMB thông qua  NetServerEnum Windows API và liệt kê các máy tính trong mạng thông qua Lightweight Directory Access Protocol (LDAP). Mã độc giả dạng thành tệp tin ‘setup.exe’ và phát tán bằng PowerShell script để tạo kết nối tới máy chủ độc hại.

Để bảo vệ trước những lây nhiễm độc hại, người dùng cần luôn đặt thái độ nghi ngờ với các tệp tin và tài liệu được gửi thông qua email. Không bao giờ nhân vào đường dẫn nếu chưa kiểm tra kĩ nguồn. Luôn giữ tài liệu có giá trị ở nơi an toàn, tạo bản sao lưu thường xuyên và lưu trữ ở ổ đĩa rời, ít kết nối với máy tính.

Mã độc đang ngày càng phát triển tinh vi hơn bao giờ hết. Đảm bảo máy tính của bạn có cài đặt phần mềm diệt virus và cập nhật thường xuyên.


Dịch SecurityDaily - Theo THN

02/08/2017

[Tải về] Slide trình diễn tại hai hội nghị bảo mật hàng đầu thế giới: BlackHat USA 2017 & DEFCON 25

BlackHat USA và DEFCON là hai hội nghị về bảo mật, an ninh mạng hàng đầu thế giới. Hai hội nghị này được tổ chức thường niên hàng năm tại Mỹ. 

Để được diễn thuyết các nghiên cứu của mình tại hai hội nghị này, các nghiên cứu của họ sẽ được kiểm duyệt kỹ lưỡng, sau đó mới được xét duyệt. Tại đây, các công nghệ hacking mới nhất, các lỗ hổng nguy hiểm nhất, các công cụ hacking mới... sẽ được ra mắt. Đây có thể coi là nguồn tư liệu quý cho tất cả những ai đã, đang và sẽ nghiên cứu, học tập về an ninh mạng.

Để tải về các slide của BlackHat USA 2017, các bạn có thể truy cập và tải về tại đây. Để có thể nhah chóng tải về tất cả các slide này, các bạn dùng script này nhé.
Để tải về các slide của DEFCON 25, các bạn truy cập link tại đây.


Theo DDoS - WH

01/08/2017

Tin tặc đánh cắp toàn bộ thông tin từ chuyên gia bảo mật cao cấp FireEye

Ít nhất một chuyên gia phân tích an ninh mạng cao cấp làm việc tại công ty bảo mật FireEye đã bị tin tặc xâm nhập vào hệ thống, rò rỉ thông tin nhạy cảm trên Internet.

Một nhóm tin tặc nặc danh đã đăng tải thông tin nhạy cảm thuộc về Adi Peretz, một chuyên gia cao cấp phân tích mối đe dọa tình báo tại Mandiant (thuộc FireEye). Tin tặc cho biết chúng có thể toàn quyền truy cập vào mạng nội bộ của công ty từ năm 2016.

Tin tặc đã tiết lộ gần 32Mb dữ liệu – bao gồm cả thông tin cá nhân và chuyên môn – thuộc về Peretz trên trang Pastebin nhằm minh chứng cho việc còn nhiều dữ liệu thuộc công ty Mandiant sẽ tiếp tục bị rò rỉ trong tương lai.

“Rất thú vị khi nằm trong một công ty lớn có tên “Mandiant”, chúng tôi theo dõi họ bảo vệ khách hành như thế nào và những nhân viên đang cố gắng dịch ngược mã độc  … Bài viết này là minh chứng cho việc chúng tôi đã xâm nhập sâu vào Mandiant và có thể sẽ tiếp tục công bố nhiều tài liệu quan trọng trong tương lai” – Bài đăng của tin tặc trên Pastebin.

Dữ liệu bị rò rỉ của chuyên gia Peretz bao gồm:
- Tài khoản Microsoft.
- Danh bạ.
- Ảnh chụp mà hình Windows Find My Device Geolocator liên kết với máy tính Surface Pro của Peretz.
- Trao đổi với khách hàng.
- Các bài thuyết trình.
- Nội dung trong hòm mail.
- Một sì thông tin nội bộ của Mandiant và tài liệu FireEye.
- Thông tin về mối đe dọa tình báo dành cho quân đội Israel.

Bên cạnh rò rỉ dữ liệu, tin tặc còn thay đổi giao diện trang LinkedIn của Peretz. Tài khoản này sau đó đã bị xóa khỏi mạng xã hội LinkedIn. Công ty cha của Mandiant, FireEye cho biết đã được báo cáo về việc tài khoản mạng xã hội của nhân viên bị xâm nhập nhưng không có bằng chứng cho thấy hệ thống của FireEye hay Maniant bị xâm hại.


Dịch SecurityDaily - Theo THN