Știri
Știri din categoria Securitate cibernetică
Atacatorii nord-coreeni mizează pe „angajări” false pentru a infecta Mac-uri din companii și a fura criptomonede, iar lanțul de infectare se bazează pe inginerie socială și o aplicație care imită Zoom, potrivit TechRadar, care citează o analiză a experților Microsoft.
Gruparea descrisă de Microsoft ca Sapphire Sleet (cunoscută și ca APT38) ar viza afaceri din Occident cu malware de tip „infostealer” (care fură date), cu scopul de a obține criptomonede. Analiștii Microsoft susțin că activitatea ar fi în desfășurare „cel puțin din 2020” și că folosește una dintre tehnicile recurente ale grupării: oferte de job false.
Schema pornește de la construirea unei aparențe credibile pe rețele sociale: companii inexistente, „recruiteri”, anunțuri de angajare și alte elemente menite să facă abordarea să pară legitimă. Țintele sunt contactate prin e-mail sau canale sociale și li se propune un job, inclusiv cu promisiuni de compensații atractive.
În etapa următoare, „recruiterii” cer victimei să intre într-un apel video, însă aplicația folosită nu ar fi Zoom, ci o versiune falsă, malițioasă, care instalează pe dispozitiv un infostealer.
Într-o declarație pentru The Register, Sherrod DeGrippo, director general pentru informații despre amenințări la Microsoft, explică de ce atacatorii preferă să „atace omul”, nu sistemul:
„Ingineria socială le permite atacatorilor să ocolească perimetrele întărite convingând utilizatorii să acționeze în numele lor, transformând un om în vulnerabilitate. Este ieftină, greu de „peticit” și se scalează bine.”
„Utilizatorii sunt condiționați să accepte interacțiuni de suport la distanță, precum descărcarea de instrumente, urmarea instrucțiunilor, apăsarea de ferestre de confirmare. Atacatorii exploatează această familiaritate pentru a face acțiunile malițioase să pară de rutină, reducând scepticismul victimei în momentul critic al compromiterii.”
Din perspectivă operațională, mesajul este că riscul nu se limitează la „un malware pe Mac”, ci la un scenariu în care un angajat poate fi convins să instaleze singur software malițios, în afara fluxurilor standard de aprobare IT.
Campania ar viza utilizatori macOS, iar Microsoft spune că a contactat Apple, care a adăugat „protecții la nivel de platformă” pentru a detecta și bloca malware-ul și infrastructura asociată. Actualizările ar fi fost livrate automat, astfel încât utilizatorii nu ar trebui să intervină manual.
Pentru organizații, asta reduce o parte din risc, dar nu elimină vectorul principal descris în material: convingerea utilizatorilor să instaleze o aplicație „de lucru” care, în realitate, este un fals. Contextul indică faptul că măsurile tehnice trebuie dublate de controale interne privind instalarea de aplicații și de proceduri clare pentru interacțiuni de tip recrutare/colaborare la distanță.
Recomandate
Apple a retras din App Store două aplicații cu probleme, iar cazul ridică semne de întrebare despre eficiența filtrării și reacția platformei la alerte timpurii , după ce peste 50 de utilizatori ar fi pierdut în total aproximativ 9,5 milioane de dolari (aprox. 43,7 milioane lei) în criptomonede, potrivit IT之家 . Într-unul dintre cazuri, o aplicație falsă care imita „ Ledger Live ” ar fi reușit să treacă de mecanismele de verificare ale App Store, conform relatării 9to5Mac, care citează CoinDesk. Între 7 și 13 aprilie, aplicația malițioasă ar fi dus la furtul de active precum Bitcoin și Ethereum de la cel puțin 50 de victime. Publicația notează că cei mai afectați trei utilizatori ar fi pierdut sume de ordinul milioanelor de dolari, iar cea mai mare pierdere într-o singură tranzacție ar fi ajuns la 3,23 milioane de dolari (aprox. 14,9 milioane lei). Apple a eliminat ulterior aplicația, însă nu a comentat public situația, potrivit aceleiași surse. Urmărirea fondurilor și risc de litigii Anchetatori din zona blockchain au indicat că fondurile furate ar fi fost mutate către o adresă de depozit KuCoin . Aceeași adresă este asociată, potrivit investigației citate, cu un serviciu centralizat de „mixare” (amestecare a tranzacțiilor pentru a ascunde originea banilor), care ar percepe comisioane ridicate pentru a masca traseul fondurilor ilicite. Investigatorul blockchain ZachXBT a avertizat că incidentul ar putea declanșa o acțiune colectivă în instanță. Rămâne neclar cum a trecut aplicația de procesul de aprobare și de ce Apple nu ar fi intervenit imediat după primele raportări de furt, conform materialului citat de IT之家. A doua aplicație: colectare de date sensibile sub promisiunea „câștigi bani” În aceeași zi, Apple a retras și aplicația „Freecash”, după ce TechCrunch a relatat că aceasta s-a promovat pe TikTok cu promisiunea „câștigi bani uitându-te la clipuri”, dar ar fi colectat date personale sensibile, inclusiv informații despre rasă, sănătate și date biometrice. Un raport Malwarebytes citat în articol susține că aplicația funcționa, în esență, ca intermediar de date, folosind un sistem de recompense pentru a împinge utilizatorii să descarce și să cheltuiască în anumite jocuri mobile. Istoric de „rebrand” și ocolirea interdicțiilor Investigația menționează și un istoric de schimbări care ar fi facilitat revenirea aplicației în magazin: o versiune anterioară ar fi fost publicată de Almedia GmbH și retrasă la mijlocul lui 2024; câteva luni mai târziu, compania cipriotă 256 Rewards Ltd ar fi redenumit aplicația în „Freecash” și ar fi relistat-o, existând suspiciuni că schimbarea contului de dezvoltator a fost folosită pentru a evita o interdicție. Pentru utilizatori și pentru companiile care se bazează pe distribuția prin App Store, cele două episoade readuc în discuție riscul operațional al aplicațiilor care trec de verificare și importanța reacției rapide a platformei atunci când apar semnale timpurii de fraudă sau abuz de date. [...]
Un nou infostealer numit Storm poate ocoli în practică protecții precum 2FA , pentru că mută decriptarea datelor furate pe servere controlate de atacatori, ceea ce îl face mai greu de prins de multe soluții de securitate instalate pe dispozitive, potrivit BGR . Cercetători ai companiei de securitate cibernetică Varonis au identificat malware-ul ca fiind un „infostealer” (un tip de program malițios care colectează date sensibile și le trimite către un atacator). În cazul Storm, țintele includ credențiale din browser (conturi și parole), cookie-uri de sesiune, portofele cripto și alte date care, odată decriptate, pot fi folosite pentru preluarea conturilor. De ce contează: decriptare „în afara” dispozitivului, mai puține urme pentru detecție În mod obișnuit, astfel de malware încearcă să facă „munca grea” local, pe calculatorul infectat, inclusiv prin încărcarea unor biblioteci SQLite compromise pentru a ajunge la datele stocate. Această abordare este relativ comună și, în general, mai ușor de detectat de instrumentele de securitate de tip endpoint (soluții care monitorizează și protejează dispozitivele utilizatorilor). BGR arată că Google a complicat acest model în iulie 2024, odată cu introducerea App-Bound Encryption în Chrome 127, care leagă cheile de criptare de browser și „face decriptarea locală și mai dificilă”, conform explicațiilor Varonis. Ca reacție, atacatorii au trecut la metode precum injectarea de cod malițios în Chrome sau folosirea protocoalelor de depanare, dar acestea puteau lăsa în continuare urme detectabile. Storm schimbă tactica: datele colectate local rămân criptate și sunt trimise către o infrastructură „proprietară”, unde sunt decriptate pe server. Consecința practică este că multe instrumente endpoint, construite să identifice decriptarea pe dispozitiv, pot rata activitatea. Ce date poate colecta și ce înseamnă pentru utilizatori După infectare, atacatorii pot strânge date necesare pentru a „restaura” sesiuni deturnate de la distanță. Lista menționată include: parole salvate; cookie-uri de sesiune; date de completare automată a formularelor; token-uri de cont Google și coduri 2FA; date de card; istoricul de navigare; documente din directoarele utilizatorului și din aplicații populare; portofele cripto. În plus, Storm ar „gestiona” pe server atât browsere bazate pe Chromium, cât și pe Gecko (precum Firefox sau Pale Moon), ceea ce extinde suprafața de atac dincolo de un singur ecosistem. Accesibilitate pentru atacatori și recomandări de apărare Varonis susține că Storm ar fi disponibil pentru „mai puțin de 1.000 de dolari pe lună” (aprox. 4.600 lei), ceea ce îl face relativ accesibil pentru atacatori la distanță. Compania spune că a observat „multe” cazuri de utilizare pentru furt de credențiale financiare, de social media și de criptomonede în mai multe țări, inclusiv în SUA, fără a detalia în material amploarea exactă. Pentru utilizatori, măsurile de bază indicate în articol includ: ștergerea regulată a cookie-urilor din browser (ideal programată); evitarea descărcărilor și site-urilor suspecte; folosirea unui manager de parole (exemplu dat: Bitwarden); actualizarea instrumentelor de securitate și scanări regulate. [...]
Un „ocol” de securitate vechi din 2021 ar putea permite extragerea a 10.000 de dolari (aprox. 46.000 lei) de pe un iPhone blocat , într-un scenariu controlat, prin păcălirea telefonului să inițieze o plată NFC ca și cum ar fi vorba de un terminal de transport public, potrivit 9to5Mac . Miza pentru utilizatori și pentru ecosistemul de plăți este că vulnerabilitatea ar fi rămas neadresată până azi, deși a fost expusă inițial în 2021. Cum funcționează metoda și de ce contează Materialul pornește de la un videoclip publicat de canalul YouTube Veritasium , care descrie o breșă „de nișă” ce ar permite inițierea unei plăți NFC de pe un iPhone blocat. Descoperirea este atribuită profesorilor Ioana Boureanu și Tom Chothia. Mecanismul descris se bazează pe inducerea în eroare a iPhone-ului, astfel încât acesta să creadă că un terminal de plată este, de fapt, un terminal de transport în comun care folosește funcția Apple „ Express Transit ” (plată rapidă pentru transport, fără deblocarea telefonului). Videoclipul mai arată cum ar fi depășite și alte măsuri de protecție Apple, pentru a ajunge la o sumă de 10.000 de dolari într-un cadru controlat. Limitări: când se aplică și când nu Conform articolului, vulnerabilitatea ar funcționa doar dacă utilizatorul are setat un card Visa ca opțiune „Express Transit” în setările iPhone-ului. Nu s-ar aplica pentru Mastercard sau alți emitenți. Apple a transmis către Veritasium că problema ar avea la bază o preocupare din partea Visa. La rândul său, Visa a spus că deținătorii de carduri sunt protejați de o promisiune de „răspundere zero” (zero liability), care ar acoperi eventualele pierderi dacă vulnerabilitatea ar fi exploatată, dar a caracterizat scenariul drept „foarte puțin probabil” în condiții reale, chiar dacă este posibil într-un mediu strict controlat. Context: actualizări de securitate, dar o problemă rămasă deschisă 9to5Mac notează că Apple livrează frecvent actualizări de securitate pentru iPhone și le documentează public, însă această vulnerabilitate specifică ar fi persistat din 2021 și ar fi rămas necorectată până în prezent, conform celor prezentate în videoclip. Cei interesați pot vedea demonstrația în materialul video menționat de 9to5Mac: https://youtu.be/PPJ6NJkmDAo?si=svppI45wqbDhV1lu . [...]
Un audit independent indică faptul că marile platforme de publicitate online ignoră frecvent opțiunile de „nu mă urmări” ale utilizatorilor , ceea ce le-ar putea expune la sancțiuni semnificative în California, potrivit WinFuture . Ce arată auditul și de ce contează O verificare de confidențialitate realizată de compania WebXray acuză companii precum Google, Meta și Microsoft de încălcări ale legislației californiene privind protecția datelor (CCPA), prin faptul că ar continua să seteze cookie-uri de publicitate chiar și după ce utilizatorii au ales explicit opțiunea de dezactivare a urmăririi. Investigația este relatată de publicația americană 404media, citată de WinFuture. Analiza a urmărit, în luna martie, traficul de date pentru peste 7.000 de site-uri cu trafic ridicat. Concluzia: în 55% dintre cazuri au fost setate cookie-uri de publicitate deși utilizatorii se opuseseră. Global Privacy Control și obligațiile legale Evaluarea se bazează, între altele, pe Global Privacy Control (GPC) – un standard care transmite site-urilor semnalul că utilizatorul nu dorește să fie urmărit. Conform CCPA, companiile ar trebui să respecte astfel de semnale de tip opt-out. Cine apare cel mai des în încălcări Potrivit WebXray, situația este deosebit de problematică la Google: în 87% dintre cazurile analizate, semnalul opt-out ar fi fost ignorat. Auditul susține că acest lucru se vede tehnic relativ ușor, deoarece serverele ar continua să seteze cookie-uri chiar și când există marcajul corespunzător. Și celelalte companii menționate ar avea rezultate slabe: Meta : încălcări în 69% dintre accesările verificate; auditorii critică mai ales coduri de urmărire care s-ar activa automat, fără a ține cont de setările utilizatorului. Microsoft : încălcări în aproximativ jumătate dintre cazuri, potrivit analizei. „Bannerele de cookie-uri” nu ar funcționa cum promit Auditul critică și așa-numitele platforme de administrare a consimțământului (CMP) – sistemele care stau în spatele bannerelor de cookie-uri. Deși ar trebui să ofere control asupra datelor, acestea ar eșua frecvent; inclusiv sisteme certificate de Google ar fi avut rate de eroare de până la 91%, potrivit WebXray. Reacția companiilor și ce urmează Companiile vizate resping acuzațiile. Google a invocat un „neînțeles fundamental” legat de funcționarea produselor sale, iar Meta și Microsoft au susținut că respectă cerințele legale și tratează confidențialitatea cu seriozitate. WebXray afirmă că multe dintre probleme ar putea fi rezolvate tehnic relativ simplu, de exemplu prin blocarea consecventă a cookie-urilor atunci când este detectat un semnal opt-out. În lipsa unei aplicări mai stricte a regulilor, încălcările ar putea rămâne, însă, o practică obișnuită, potrivit concluziilor citate. [...]
O pană globală Starlink a lăsat 24 de nave fără echipaj ale Marinei SUA fără control timp de aproape o oră, expunând un risc operațional major al dependenței Pentagonului de o infrastructură comercială unică , potrivit TechRadar , care citează o relatare Reuters și documente interne ale Marinei. Incidentul a avut loc în timpul unor teste desfășurate în august anul trecut, în largul coastei Californiei. Conform Reuters, cele 24 de ambarcațiuni autonome (descrise ca „bărci rapide fără scaune”) au rămas „plutind” în derivă pentru cea mai mare parte a unei ore, după ce o pană globală a afectat rețeaua de internet prin satelit Starlink. Ce arată testele: vulnerabilități de conectivitate și limitări la operare în „roi” Problemele nu s-ar fi limitat la acel episod. În săptămânile premergătoare penei din august, testele ar fi indicat o conectivitate intermitentă, iar în aprilie 2025 alte exerciții ale Marinei SUA, care au implicat atât nave fără echipaj, cât și drone aeriene, ar fi fost perturbate deoarece Starlink „s-a chinuit să ofere o conexiune solidă” în condițiile unui necesar mare de lățime de bandă, generat de numărul de platforme implicate. Reuters notează că un raport al Marinei a consemnat explicit limita apărută la utilizarea simultană a mai multor vehicule: „Dependența de Starlink a expus limitări sub încărcare cu mai multe vehicule.” În același timp, sursa menționează că Starlink nu a fost singurul punct de eșec: au existat și probleme legate de radiourile folosite, precum și de un sistem de rețea furnizat de Viasat. De ce contează: dependență de un furnizor comercial greu de înlocuit Miza operațională este că astfel de sisteme trebuie să rămână robuste și fiabile dincolo de faza de testare, mai ales dacă sunt folosite în contexte reale. TechRadar punctează, pe baza relatării Reuters, că Starlink este atractiv pentru guvernul SUA deoarece este un serviciu relativ ieftin și disponibil comercial, susținut de o constelație de aproximativ 10.000 de sateliți pe orbită joasă (LEO – sateliți aflați la altitudini mai mici, care reduc latența comunicațiilor). În material este citat Clayton Swope, director adjunct al Aerospace Security Project (Center for Strategic and International Studies) , care argumentează că, fără Starlink, guvernul SUA nu ar avea acces la o constelație globală de comunicații pe orbită joasă. Tot acolo, expertul Bryan Clark (Hudson Institute) rezumă compromisul acceptat în practică: „Accepți aceste vulnerabilități pentru beneficiile pe care ți le oferă omniprezența [Starlink].” Alternativele: există, dar nu la aceeași scară (încă) TechRadar ridică întrebarea alternativelor, dar concluzia desprinsă din exemplul invocat este că opțiunile comparabile ca amploare sunt limitate. Ca reper, publicația indică proiectul Amazon de internet prin satelit, prezentat ca rival al Starlink: serviciul era așteptat „la final de 2025”, însă disponibilitatea este menționată acum pentru „mijlocul lui 2026”. În plus, TechRadar citează Engadget, care a relatat că Amazon viza 1.600 de sateliți pe orbită până în iulie 2026, dar acum ar estima „mai puțin de jumătate” din acest nivel, în jur de 700, până atunci. În prezent, ar avea 241 de sateliți operaționali, mult sub scara Starlink. Reacții oficiale: fără comentarii Potrivit Reuters, Pentagonul nu a oferit răspunsuri la întrebările despre testele cu drone, iar Marina SUA și SpaceX au refuzat să comenteze. [...]
ANAF avertizează că o nouă schemă de „ vishing ” poate duce la furt de date personale și financiar-bancare , după ce infractorii falsifică aparența unor apeluri venite din partea Fiscului, folosind inclusiv informații publice pentru a părea credibili, potrivit Biziday . Agenția Națională de Administrare Fiscală arată că, în timpul acestor apeluri, sunt folosite „date și nume publicate pe portalul anaf.ro”, însă numerele de telefon de pe care se sună „nu aparțin instituției”. Ținta este obținerea de informații sensibile, sub pretextul că apelantul ar fi inspector al Direcției Generale Antifraudă Fiscală . „Inspectorii ANAF Antifraudă NU solicită telefonic date personale sau financiar-bancare”. Ce ar trebui să facă cei contactați ANAF recomandă să nu fie divulgate informații către interlocutori necunoscuți și îi îndeamnă pe cei care au primit astfel de apeluri să depună o sesizare la adresa www.anaf.ro/asistpublic . În sesizare ar trebui incluse, dacă sunt disponibile, date observabile în timpul tentativei, precum: numărul de telefon de la care a fost primit apelul; data și ora apelului; caracteristici ale vocii apelantului, care susține că reprezintă ANAF. Agenția precizează că aceste observații și indicii vor fi transmise mai departe organelor de cercetare penală. [...]
