Știri
Știri din categoria Securitate cibernetică
Apple a retras din App Store două aplicații cu probleme, iar cazul ridică semne de întrebare despre eficiența filtrării și reacția platformei la alerte timpurii, după ce peste 50 de utilizatori ar fi pierdut în total aproximativ 9,5 milioane de dolari (aprox. 43,7 milioane lei) în criptomonede, potrivit IT之家.
Într-unul dintre cazuri, o aplicație falsă care imita „Ledger Live” ar fi reușit să treacă de mecanismele de verificare ale App Store, conform relatării 9to5Mac, care citează CoinDesk. Între 7 și 13 aprilie, aplicația malițioasă ar fi dus la furtul de active precum Bitcoin și Ethereum de la cel puțin 50 de victime. Publicația notează că cei mai afectați trei utilizatori ar fi pierdut sume de ordinul milioanelor de dolari, iar cea mai mare pierdere într-o singură tranzacție ar fi ajuns la 3,23 milioane de dolari (aprox. 14,9 milioane lei). Apple a eliminat ulterior aplicația, însă nu a comentat public situația, potrivit aceleiași surse.
Anchetatori din zona blockchain au indicat că fondurile furate ar fi fost mutate către o adresă de depozit KuCoin. Aceeași adresă este asociată, potrivit investigației citate, cu un serviciu centralizat de „mixare” (amestecare a tranzacțiilor pentru a ascunde originea banilor), care ar percepe comisioane ridicate pentru a masca traseul fondurilor ilicite.
Investigatorul blockchain ZachXBT a avertizat că incidentul ar putea declanșa o acțiune colectivă în instanță. Rămâne neclar cum a trecut aplicația de procesul de aprobare și de ce Apple nu ar fi intervenit imediat după primele raportări de furt, conform materialului citat de IT之家.
În aceeași zi, Apple a retras și aplicația „Freecash”, după ce TechCrunch a relatat că aceasta s-a promovat pe TikTok cu promisiunea „câștigi bani uitându-te la clipuri”, dar ar fi colectat date personale sensibile, inclusiv informații despre rasă, sănătate și date biometrice.
Un raport Malwarebytes citat în articol susține că aplicația funcționa, în esență, ca intermediar de date, folosind un sistem de recompense pentru a împinge utilizatorii să descarce și să cheltuiască în anumite jocuri mobile.
Investigația menționează și un istoric de schimbări care ar fi facilitat revenirea aplicației în magazin:
Pentru utilizatori și pentru companiile care se bazează pe distribuția prin App Store, cele două episoade readuc în discuție riscul operațional al aplicațiilor care trec de verificare și importanța reacției rapide a platformei atunci când apar semnale timpurii de fraudă sau abuz de date.
Recomandate
Atacatorii nord-coreeni mizează pe „angajări” false pentru a infecta Mac-uri din companii și a fura criptomonede , iar lanțul de infectare se bazează pe inginerie socială și o aplicație care imită Zoom, potrivit TechRadar , care citează o analiză a experților Microsoft. Gruparea descrisă de Microsoft ca Sapphire Sleet (cunoscută și ca APT38) ar viza afaceri din Occident cu malware de tip „infostealer” (care fură date), cu scopul de a obține criptomonede. Analiștii Microsoft susțin că activitatea ar fi în desfășurare „cel puțin din 2020” și că folosește una dintre tehnicile recurente ale grupării: oferte de job false. Cum funcționează atacul: recrutare fictivă și „Zoom” fals Schema pornește de la construirea unei aparențe credibile pe rețele sociale: companii inexistente, „recruiteri”, anunțuri de angajare și alte elemente menite să facă abordarea să pară legitimă. Țintele sunt contactate prin e-mail sau canale sociale și li se propune un job, inclusiv cu promisiuni de compensații atractive. În etapa următoare, „recruiterii” cer victimei să intre într-un apel video, însă aplicația folosită nu ar fi Zoom, ci o versiune falsă, malițioasă, care instalează pe dispozitiv un infostealer. De ce contează pentru companii: perimetrul tehnic e ocolit prin oameni Într-o declarație pentru The Register , Sherrod DeGrippo, director general pentru informații despre amenințări la Microsoft, explică de ce atacatorii preferă să „atace omul”, nu sistemul: „Ingineria socială le permite atacatorilor să ocolească perimetrele întărite convingând utilizatorii să acționeze în numele lor, transformând un om în vulnerabilitate. Este ieftină, greu de „peticit” și se scalează bine.” „Utilizatorii sunt condiționați să accepte interacțiuni de suport la distanță, precum descărcarea de instrumente, urmarea instrucțiunilor, apăsarea de ferestre de confirmare. Atacatorii exploatează această familiaritate pentru a face acțiunile malițioase să pară de rutină, reducând scepticismul victimei în momentul critic al compromiterii.” Din perspectivă operațională, mesajul este că riscul nu se limitează la „un malware pe Mac”, ci la un scenariu în care un angajat poate fi convins să instaleze singur software malițios, în afara fluxurilor standard de aprobare IT. Ce s-a schimbat pe macOS: protecții automate la nivel de platformă Campania ar viza utilizatori macOS, iar Microsoft spune că a contactat Apple, care a adăugat „protecții la nivel de platformă” pentru a detecta și bloca malware-ul și infrastructura asociată. Actualizările ar fi fost livrate automat, astfel încât utilizatorii nu ar trebui să intervină manual. Pentru organizații, asta reduce o parte din risc, dar nu elimină vectorul principal descris în material: convingerea utilizatorilor să instaleze o aplicație „de lucru” care, în realitate, este un fals. Contextul indică faptul că măsurile tehnice trebuie dublate de controale interne privind instalarea de aplicații și de proceduri clare pentru interacțiuni de tip recrutare/colaborare la distanță. [...]
Ocolirea rapidă a noilor avertizări din macOS arată limitele protecțiilor bazate pe „fricțiune” pentru utilizatori : autorii atacurilor de tip ClickFix au găsit deja o metodă prin care evită promptul din Terminal introdus de Apple în macOS Tahoe 26.4, potrivit 9to5Mac . Apple a introdus recent în Terminal un avertisment care apare când utilizatorul lipește comenzi potențial malițioase, măsură menită să perturbe ClickFix – o tehnică de infectare care se bazează pe inginerie socială și care, conform articolului, a devenit principalul mecanism de livrare a malware-ului pe Mac. Doar că, la câteva săptămâni, apar deja „ocoliri” în teren. Ce este ClickFix și de ce contează pentru companii ClickFix nu este o familie de malware în sine, ci o metodă de livrare: utilizatorul este păcălit să lipească și să ruleze cod malițios. „Încărcătura” (payload) livrată este, de regulă, un infostealer (malware care fură date) sau un troian, cum ar fi Atomic Stealer , menționat în material. Contextul important pentru mediul de business este că această tehnică a câștigat tracțiune după ce Apple a îngreunat în 2025 ocolirea Gatekeeper în macOS Sequoia: utilizatorii nu mai puteau deschide simplu aplicații nesemnate/nenotarizate printr-un click dreapta, fiind trimiși în Settings > Privacy pentru pași suplimentari. Consecința: instalatoarele false de tip DMG au fost lovite, iar atacatorii s-au reorientat către metode „mai ieftine și mai rapide”, care evită Gatekeeper fără certificate de semnare. Cum este evitat acum Terminalul în macOS Tahoe 26.4 Conform unui articol publicat de Jamf Threat Labs (citat de 9to5Mac), o variantă nouă ClickFix ocolește complet Terminalul și, implicit, avertizarea de lipire introdusă de Apple. Mecanismul descris: utilizatorul ajunge pe o pagină web falsă cu tematică Apple (exemplu: „Reclaim disk space on your Mac”); pagina include un buton „Execute”; apăsarea butonului declanșează în browser o schemă de URL applescript:// , care cere deschiderea Script Editor cu un script deja precompletat; cu încă un click, scriptul rulează. Pentru că nu mai există pasul de lipire în Terminal, noul prompt din macOS Tahoe 26.4 „nu are ocazia” să apară. Pe 26.4, Script Editor afișează totuși un avertisment de tip „unidentified developer” înainte de salvarea scriptului, dar dacă utilizatorul îl ignoră, scriptul se execută, descarcă o comandă curl ofuscată și livrează o variantă nouă de malware de tip Atomic Stealer, potrivit descrierii din material. Implicații operaționale: „fricțiunea” nu oprește ingineria socială Episodul sugerează o problemă recurentă pentru organizațiile care folosesc Mac la scară: controalele care adaugă pași suplimentari (prompts, avertizări) pot fi eficiente împotriva unor fluxuri standard de infectare, dar sunt vulnerabile când atacatorii mută interacțiunea în alte aplicații sau mecanisme (în acest caz, Script Editor și scheme de URL). Materialul descrie situația ca parte dintr-un „joc” continuu de tip „pisica și șoarecele” între Apple și autorii de malware, în care atacatorii adaptează rapid tehnicile pentru a menține rata de succes a infectărilor. [...]
Un „ocol” de securitate vechi din 2021 ar putea permite extragerea a 10.000 de dolari (aprox. 46.000 lei) de pe un iPhone blocat , într-un scenariu controlat, prin păcălirea telefonului să inițieze o plată NFC ca și cum ar fi vorba de un terminal de transport public, potrivit 9to5Mac . Miza pentru utilizatori și pentru ecosistemul de plăți este că vulnerabilitatea ar fi rămas neadresată până azi, deși a fost expusă inițial în 2021. Cum funcționează metoda și de ce contează Materialul pornește de la un videoclip publicat de canalul YouTube Veritasium , care descrie o breșă „de nișă” ce ar permite inițierea unei plăți NFC de pe un iPhone blocat. Descoperirea este atribuită profesorilor Ioana Boureanu și Tom Chothia. Mecanismul descris se bazează pe inducerea în eroare a iPhone-ului, astfel încât acesta să creadă că un terminal de plată este, de fapt, un terminal de transport în comun care folosește funcția Apple „ Express Transit ” (plată rapidă pentru transport, fără deblocarea telefonului). Videoclipul mai arată cum ar fi depășite și alte măsuri de protecție Apple, pentru a ajunge la o sumă de 10.000 de dolari într-un cadru controlat. Limitări: când se aplică și când nu Conform articolului, vulnerabilitatea ar funcționa doar dacă utilizatorul are setat un card Visa ca opțiune „Express Transit” în setările iPhone-ului. Nu s-ar aplica pentru Mastercard sau alți emitenți. Apple a transmis către Veritasium că problema ar avea la bază o preocupare din partea Visa. La rândul său, Visa a spus că deținătorii de carduri sunt protejați de o promisiune de „răspundere zero” (zero liability), care ar acoperi eventualele pierderi dacă vulnerabilitatea ar fi exploatată, dar a caracterizat scenariul drept „foarte puțin probabil” în condiții reale, chiar dacă este posibil într-un mediu strict controlat. Context: actualizări de securitate, dar o problemă rămasă deschisă 9to5Mac notează că Apple livrează frecvent actualizări de securitate pentru iPhone și le documentează public, însă această vulnerabilitate specifică ar fi persistat din 2021 și ar fi rămas necorectată până în prezent, conform celor prezentate în videoclip. Cei interesați pot vedea demonstrația în materialul video menționat de 9to5Mac: https://youtu.be/PPJ6NJkmDAo?si=svppI45wqbDhV1lu . [...]
O vulnerabilitate din Apple Pay poate permite plăți fără deblocarea iPhone-ului , dar scenariul de abuz rămâne greu de pus în practică și afectează doar o combinație specifică de setări și carduri, potrivit Mobilissimo . Problema este legată de funcția „ Express Transit ”, folosită pentru plăți rapide în transportul public, care permite achitarea fără Face ID sau cod PIN. O demonstrație realizată de YouTuberul Veritasium, în colaborare cu MKBHD, arată că pot fi efectuate plăți prin Apple Pay chiar dacă telefonul este blocat. Cum ar funcționa atacul și de ce contează operațional Conform explicațiilor din material, atacul presupune folosirea unui dispozitiv NFC modificat care interceptează comunicarea dintre iPhone și terminalul de plată. Datele sunt apoi redirecționate către un alt aparat care finalizează tranzacția la un sistem real de plată, „păcălind” telefonul că se află într-un context de transport public. Din perspectiva utilizatorilor și a comercianților, miza este că un mecanism gândit pentru viteză (plată fără autentificare) poate deveni o suprafață de atac în anumite condiții, chiar dacă nu vorbim despre un scenariu ușor de replicat „din mers”. Cine este afectat și cât de mare este riscul Mobilissimo notează că riscul este considerat „foarte scăzut”, pentru că atacul funcționează doar dacă sunt îndeplinite mai multe condiții, inclusiv: funcția Express Transit este activată pe telefon; cardul asociat este Visa ; este necesar contact fizic prelungit cu dispozitivul; atacul implică cel puțin două persoane care acționează coordonat. Alte tipuri de carduri, precum Mastercard sau American Express, nu ar fi afectate, potrivit aceleiași surse. Vulnerabilitatea ar fi cunoscută încă din 2021, dar a fost considerată puțin relevantă în practică. Ce protecție există în caz de tranzacții frauduloase În eventualitatea unor tranzacții neautorizate, utilizatorii ar beneficia de protecția oferită de Visa, care „de regulă” permite recuperarea sumelor pierdute dacă incidentul este raportat la timp, mai arată materialul. [...]
Peste trei sferturi dintre țările europene își sprijină funcții critice de securitate pe cloud american , ceea ce le expune la riscul unei întreruperi de la distanță a accesului la date și servicii („ kill switch ”), potrivit unui raport citat de Digi24 . Miza este operațională: în scenarii de tensiuni politice sau sancțiuni, actualizările și mentenanța pot fi suspendate, iar infrastructura digitală folosită inclusiv în apărare poate deveni vulnerabilă sau indisponibilă. Raportul, realizat de think tank-ul Future of Technology Institute (FOTI) din Bruxelles, arată că sistemele de securitate națională din 23 dintre cele 28 de țări analizate (state UE și Regatul Unit) „par să se bazeze pe tehnologii americane”. Cercetarea se bazează pe informații publice de pe site-uri ale ministerelor Apărării, instituții media naționale și registre de achiziții publice din UE și Marea Britanie, pentru a identifica principalele contracte de cloud atribuite furnizorilor americani. De ce contează pentru securitate și continuitatea operațiunilor În analiza citată, „kill switch” este descris ca un mecanism care poate întrerupe accesul la date și servicii la distanță. Riscul este amplificat de faptul că, potrivit cercetătorilor, furnizorii americani ar putea fi constrânși de legislația SUA să predea date stocate în afara teritoriului american sau să suspende actualizări de întreținere și securitate ca urmare a sancțiunilor. În practică, o astfel de dependență poate afecta: continuitatea serviciilor digitale folosite în domenii sensibile, inclusiv apărare; capacitatea de a aplica rapid patch-uri (actualizări) de securitate; controlul asupra datelor și asupra lanțului de furnizare tehnologic (cine poate opri, modifica sau condiționa accesul). Cine este cel mai expus, potrivit raportului FOTI clasifică 16 dintre țările studiate ca fiind „expuse unui risc ridicat” din cauza unui potențial „kill switch” din partea SUA. Printre acestea sunt menționate Germania, Polonia și Regatul Unit, descrise ca trei dintre principalele puteri militare din Europa. Doar Austria (care nu este membră NATO) este clasificată ca având un risc „atenuat”, potrivit raportului. „Cloud suveran”, dar sub aceleași constrângeri În contextul preocupărilor privind suveranitatea digitală, unele state caută soluții naționale sau europene. Digi24 notează că această tendință a determinat companiile americane să promoveze servicii de cloud „suverane”, despre care susțin că ar reduce controlul Washingtonului. Raportul contestă însă eficiența acestei etichete, argumentând că dependențele rămân, inclusiv prin aplicabilitatea legislației americane asupra companiilor și prin riscul de a opri actualizările de securitate în anumite contexte. Precedentul invocat: Ucraina și accesul la servicii Ca exemplu, articolul amintește că anul trecut SUA au întrerupt accesul Ucrainei la anumite servicii, inclusiv imagini satelitare furnizate de compania americană Maxar, după un schimb tensionat între președinții Donald Trump și Volodimir Zelenski. Katja Bego (Chatham House) a descris acel episod drept „un adevărat semnal de alarmă”. În Franța, ministrul forțelor armate, Catherine Vautrin, a spus că raportul arată că „suveranitatea este o problemă majoră” și a indicat că, în cadrul actualizării legii programării militare (LPM), există finanțare pentru spațiu, argumentând că „spațiul înseamnă informație, comunicare”. „Suveranitatea este o problemă majoră.” [...]
Ransomware-ul Payouts King își crește șansele de a trece de protecțiile endpoint folosind mașini virtuale ascunse. Potrivit BleepingComputer , atacatorii abuzează de emulatorul QEMU ca „reverse SSH backdoor”, rulând mașini virtuale (VM) pe sistemele compromise pentru a ocoli soluțiile de securitate instalate pe gazdă, care nu pot inspecta conținutul din interiorul VM-urilor. Miza operațională pentru companii este că această tehnică mută o parte din activitatea malițioasă „în afara razei” instrumentelor clasice de detecție de pe stații și servere. În VM-uri, atacatorii pot executa încărcături (payload-uri), pot stoca fișiere malițioase și pot crea tuneluri de acces la distanță prin SSH, inclusiv cu redirecționare de porturi, ceea ce complică investigația și răspunsul la incident. Ce au observat cercetătorii și cum este folosit QEMU Cercetătorii Sophos au documentat două campanii în care QEMU a fost folosit ca parte din arsenalul atacatorilor, inclusiv pentru colectarea credențialelor de domeniu, notează publicația, trimițând la analiza Sophos . STAC4713 (observată prima dată în noiembrie 2025) a fost asociată cu operațiunea Payouts King. STAC3725 (observată în februarie) exploatează vulnerabilitatea CitrixBleed 2 (CVE‑2025‑5777) în instanțe NetScaler ADC și Gateway. În campania STAC4713, Sophos indică faptul că actorul malițios creează un task programat numit „TPMProfiler” care pornește o VM QEMU ascunsă cu privilegii SYSTEM. Sunt folosite fișiere de disc virtual camuflate ca baze de date și fișiere DLL, iar accesul este menținut prin tuneluri SSH și port forwarding. VM-ul rulează Alpine Linux 3.22.0 și include un set de unelte menționate de Sophos, precum AdaptixC2, Chisel, BusyBox și Rclone. Pentru acces inițial, cercetătorii au observat utilizarea unor VPN-uri SonicWall expuse, iar în atacuri mai recente exploatarea unei vulnerabilități SolarWinds Web Help Desk (CVE-2025-26399). Vectori de acces inițial: de la VPN expus la inginerie socială în Teams În incidente mai recente atribuite actorului, Sophos descrie și alte căi de intrare: într-un atac din februarie ar fi fost folosit un Cisco SSL VPN expus, iar în martie atacatorii s-au dat drept personal IT și au convins angajați, prin Microsoft Teams, să descarce și să instaleze QuickAssist. „În ambele situații, actorii au folosit binarul legitim ADNotificationManager.exe pentru a încărca lateral un payload Havoc C2 (vcruntime140_1.dll) și apoi au folosit Rclone pentru a exfiltra date către o locație SFTP la distanță”, arată Sophos. Separat, un raport Zscaler publicat în această săptămână susține că Payouts King este probabil legat de foști afiliați BlackBasta, pe baza unor metode similare de acces inițial (spam bombing, phishing prin Microsoft Teams și abuz de Quick Assist), potrivit Zscaler . De ce contează pentru apărarea endpoint: semnale de detecție recomandate Întrucât soluțiile de securitate de pe sistemul gazdă nu pot scana în interiorul VM-urilor, Sophos recomandă organizațiilor să urmărească indicatori care pot trăda prezența QEMU și a tunelurilor folosite pentru control la distanță, inclusiv: instalări neautorizate de QEMU; task-uri programate suspecte care rulează cu privilegii SYSTEM; redirecționări de porturi SSH neobișnuite; tuneluri SSH către exterior pe porturi neuzuale. În campania STAC3725, după compromiterea dispozitivelor NetScaler, atacatorii ar fi livrat o arhivă ZIP cu un executabil malițios care instalează un serviciu („AppMgmt”), creează un utilizator local cu drepturi de administrator (CtxAppVCOMService) și instalează un client ScreenConnect pentru persistență. Ulterior, este descărcat un pachet QEMU care rulează o VM Alpine Linux ascunsă folosind o imagine de disc „custom.qcow2”, iar uneltele sunt instalate și compilate manual în interiorul VM-ului (inclusiv Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute și Metasploit). Pentru echipele IT și de securitate, mesajul practic este că investigarea unui incident de ransomware nu mai poate presupune automat că „totul se vede” la nivelul sistemului de operare gazdă: apar tot mai des scenarii în care activitatea critică se mută într-o mașină virtuală ascunsă, iar detecția trebuie să includă și urme de virtualizare, tunelare și persistență la nivel de sistem. [...]
