Nowy trojan kradnie dane do kont Steam i Epic Games Store
I jak zwykle bzdury i zero jakichkolwiek informacji w jaki sposób to w ogóle się instaluje w systemie, takich konkretnych, szczególnie takim zaktualizowanym win10, gdzie defender już dawno ma sygnatury na ten szrot i 99% innych.
Oczywiście konkretów nie podają i zalecają by używać ich oprogramowania Kaspersky, typowe sianie paniki, a samo się na pc nie pojawi i nie odpali, nawet jak przypadkiem gdzieś traficie na jakiś syf w internecie albo dziwnego maila to trzeba być kompletnym bananem by takie coś odpalać i jeszcze zezwolić na połączenie z internetem, tak firewalla powinien mieć każdy.
A jak ktoś ma wszystko gdzieś i tylko umie next next next, to mi takich nawet nie żal. Jak macie choćby ćwierć mózgu to wam nic nie grozi.
Mój Steam ostatnio 2-3 razy prosił o ponowne zalogowanie (jakoś wcześniej tego nie robił). Profilaktycznie olałem to i uruchomiłem jeszcze raz z własnego skrótu i dopiero wtedy zalogowałem. Dwuetapowe mam, więc teoretycznie nic nie powinno się dziać, ale muszę się przyjrzeć po taki newsie.
Loginy do najpopularniejszych platform można kupić już za niespełna 55 złotych. W kwocie tej otrzymujemy dostęp do tysiąca kont.
Dajcie linka to sobie zakupię. Jedna gra to minimum 100zł a tu dostanę aż tyle kont.
Zaraz wpadnie Jerry_D i powie, że winą jest nieaktualna wersja przeglądarki internetowej :P
Właśnie wpadłem i powiem ci, że nad dowcipem, to musisz jeszcze trochę popracować.
To nie przeglądarka tylko sterowniki cdromu trzeba zaktualizować do najnowszych.
Zaprawdę, CHM, powiadam ci, żadne to przeglądarki, żadne sterowniki CD-ROM-u! Jak zaniedbasz aktualizacji inteligentnej żarówki, to ci od trojana przyjdą po ciebie nocą i tak ci backdoora spenetrują, że do końca życia o aktualizacjach smartżarówki będziesz pamiętać.
Fajnie
https://securelist.com/bloodystealer-and-gaming-assets-for-sale/104319/#bloodystealer-as-part-of-a-multistage-infection-chain
To też jest możliwe. Wszystko zależy od fantazji i możliwości twórca lub/i nabywcy.
https://securelist.com/exploitation-of-the-cve-2021-40444-vulnerability-in-mshtml/104218/
https://www.techradar.com/news/microsoft-patches-active-zero-day-chromium-flaw-in-edge
Vulnerability was being exploited in the wild
Nie wiem, czy wiesz, ale użycie przestarzałej wersji webkita pomogło złamać zabezpieczenia PS4 ;)
https://youtu.be/VpB49dhk2uQ?t=87
Tak samo Pegasus do przeniknięcia do systemu wykorzystywał podatności w przeglądarkach (pewnie nadal to robi, chociaż niedawne doniesienia wskazują, że mają wersje bezklikowe (na imessages i inne)).
https://youtu.be/Y6e_ctKqSqM?t=670
i co im z tych chaseł jak większość ma i tak dwuetapowe logowanie
Naiwnie jest wierzyć,że dwuetapówka ci jakoś pomoże. Wzmacnia bezpieczeństwo ,ale banda ma takie sposoby,że i z tym sobie w miarę łatwo poradzą.Możesz mieć też super silne hasło, i tak to nic nie da.
Nie ma 100% pewnej ochrony,szczególnie że to firmy mają beznadziejne zabezpieczenia .I to jest powód,dla którego nie lubię tych czasów, gdzie wszystko pchają do sieci.
Niby masz nie podawać nigdzie numeru telefonu,ale musisz go podać,na dwuetapówkę. Wystarczy że złodziej będzie chciał wydania kopii karty,i już masz przesrane.
Tak w ogóle, to weryfikacji na steam ,jest potrzebne doładowane konto na telefonie?czy ściągasz apkę,i przysyłają token.Bo połączenie z siecią pewnie trzeba mieć.
Dwuetapowe logowanie już dawno przestało być bezpieczne, dlatego duże serwisy internetowe przestawiają się na klucze sprzętowe. Trojany na smartfony są tak wyrafinowane, że użytkownik nawet nie zorientuje się, że coś go szpieguje. Poza tym wcale nie trzeba trojana, skoro wyrobienie duplikatu karty SIM jest dla przestępcy dziecinnie proste. Swego czasu Niebezpiecznik trochę o tym pisał.
No trochę jednak zachodu z tym steamem jest.
I tak jak pisze Haszon Pisało o tym.Dwuetapówka nie jest łatwa do przejścia, ale dla chcącego hakera bezproblemowa .Dopiero wymiana sim osobiście załatwiła by jakoś sprawę. A najlepszym zabezpieczeniem,jest token ale fizyczny.Na razie nie ma opcji żeby go przejęli ,bo użyjesz go tylko na danym PC czy na koncie,bez możliwości przejęcia go.Nawet szpiegujące programy tego chyba nie potrafią.Chociaż pewnie już też tak. Nie wiem co by musiano wymyślić ,żeby czuć się w pełni bezpiecznym. W bankowości jeszcze jest szyfrowanie,więc bez wycieku z banku,albo bycia ćwierć inteligentem ,stracić kasę jest trudno. Po prostu trzeba uważać. Nie ściągam praktycznie niczego,nie klikam w byle co,hasła dobre,bankowość osobny telefon. Płacenie kartami przedpłaconymi ,a jak można do Paysafecard kupiony w kolporterze (dla mnie najbezpieczniejsza metoda płatności,no chyba że zgubisz XD.Takie papierowe Paypal.
Dwuetapowe logowanie też jest bardzo ważne... ale!
Jeśli komputer z którego korzystasz jest zainfekowany za pomocą malware (lub w niektórych przypadkach np. wtyczka do przeglądarki jest "złośliwa"), to z komputera można wydobyć "ciasteczka sesji" (tl;dr to co sprawia, że nie musisz się logować co 5 min) lub klucze API (tl;dr długie, losowe hasło dla aplikacji generowane przez serwis, ale o ograniczanym dostępie do konta). Są mechanizmy utrudniające przechwytywania, ale to zawsze wyścig zbrojeń.
Dodatkowo jeśli to zwykłe 2FA - czyt. kody, jest możliwość, że złodziej i te dane podsłucha, zarejestruje (np. zrzut ekranu), ma wtedy 60 sekund (w aplikacji zmieniają się co 30 sek, ale da się wpisać lekko po czasie) na przepisanie kodu i zalogowanie się.
W dużym skrócie - jak ktoś ze złymi intencjami i odpowiednią wiedzą dostanie dostęp do twojego komputera, to często jest po zawodach :/
I jak zwykle bzdury i zero jakichkolwiek informacji w jaki sposób to w ogóle się instaluje w systemie, takich konkretnych, szczególnie takim zaktualizowanym win10, gdzie defender już dawno ma sygnatury na ten szrot i 99% innych.
Oczywiście konkretów nie podają i zalecają by używać ich oprogramowania Kaspersky, typowe sianie paniki, a samo się na pc nie pojawi i nie odpali, nawet jak przypadkiem gdzieś traficie na jakiś syf w internecie albo dziwnego maila to trzeba być kompletnym bananem by takie coś odpalać i jeszcze zezwolić na połączenie z internetem, tak firewalla powinien mieć każdy.
A jak ktoś ma wszystko gdzieś i tylko umie next next next, to mi takich nawet nie żal. Jak macie choćby ćwierć mózgu to wam nic nie grozi.
No ja chyba z jakieś ćwierć mózgu mam i po mimo stosowania 'higieny' internetowej i PC-towej ktoś skradł mi konto Steam z jakieś 2 lata temu. Od tamtej pory mam logowanie dwuetapowe ale ile zachodu było ze Steam żeby mi przywrócili konto to szok ale to już coś na osobny temat.
A jak ktoś ma wszystko gdzieś i tylko umie next next next, to mi takich nawet nie żal.
Im dłużej siedzę w branży, tym bardziej wiem, że nic nie jest takie czarno-białe. Tak to można na kogoś zwalić, że sobie Chrome lub McAfee zainstalował, virusy nie są podpisane. Tyle jest różnego oprogramowania, że czasami wystarczy zrobić literówkę, wejść na nieodpowiednią stronę (przez długi czas popularne u nas dobreprogramy zarażały syfem), szukać czegoś bardziej egzotycznego (emulator PS4, save editor etc.), a czasami można wpaść przez Supply Chain attack ( https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit ). Pewnie, jak zna to AV obroni, ale ktoś musiał być tym pierwszym.
Szczegóły są podane, ale dopiero jak się wejdzie do bazowego artykułu.
Główny rzeczywiście jest tylko papką prasową, żeby uważać, bo coraz popularniejsze, tanie i łatwe do wykrycia.
Imo najważniesze:
At the time of our investigation, the forum thread related to BloodyStealer was publicly unavailable, but the analysis of visible information on the forum revealed that discussions relating to BloodyStealer still continued in private channels. This (...) suggested that the threat actor behind BloodyStealer had decided to offer its product only to VIP members of underground forums.
During our research, we were able to identify several anti-analysis methods that were used to complicate reverse engineering and analysis of BloodyStealer, including the usage of packers and anti-debugging techniques. As the stealer is sold on the underground market, every customer can protect their sample with a packer of their choice or include it into a multistage infection chain.
Więcej o metodach infekcji:
https://securelist.com/bloodystealer-and-gaming-assets-for-sale/104319/#bloodystealer-as-part-of-a-multistage-infection-chain
I tak. Są firmą tworzącą antywirusa, więc się reklamują, każdy tak robi. IMO defender (z wyłączeniem firm) wystarcza, chyba, że potrzeba jakichś bardziej zaawansowanych funkcji (np. sandbox).
Ja wiem swoje i trzymam się swojej wersji.
Na DP było właśnie tak jak opisałem, adware z syfem w instalatorach aplikacji jako oferta reklamowa, nie bronie DP za to co zrobili (choć wycofali się z tego), ale można było to odklinać w instalatorze i nic się nie instalowało wtedy, gdyby nie klikać tylko next next next...
I byłem na tej stronie z "szczegółami", to nie jest konkretna informacja jak to działa i jak infekuje system, w sensie, jak obchodzi zabezpieczenia windowsa, bo instalacją to jedno (i to jest z góry wina użytkownika), a jak bierze pliki z c: gdzie jest wymóg admina to drugie, nie pisząc już o innych rzeczach.
Tak widać extreme injectora, ale to nadal nie jest wytłumaczone co i jak się dzieje, a meritum zgadza się z tym co napisałem, nawet jak ktoś się pomyli, to wystarczy nic nie odpalać, opuścić stronę, jeżeli cokolwiek się pobrało od razu usunąć.
można było to odklinać w instalatorze
Dopiero po wybraniu "wersji od producenta" z dropdowna na stronie dało się go pominąć. Natomiast fakt, kilka razy się zmieniło i całkiem możliwe, że w ogóle odpuścili.
Problem z brakiem szczegółów jest taki, że w pewnym sensie ich nie ma. W cytowanym przez nich tweecie jest jedna z form infekcji - wyniki z pliku exe na VirusTotal ( https://twitter.com/3xp0rtblog/status/1380087553676697617 ) + wyniki z maszyny wirtualnej.
Natomiast z opisu na stronie jasno wynika, że metody dostarczania były zróżnicowane - każda mogła być oddzielnie dobrana pod ofiarę lub grupę ofiar (jedna z zalet "Malware as Service"). Przez zwykłe zaciemnienie kodu różnymi obfuskatorami jak AgileNet i Confuser (czyli rzeczywiście forma prostego pliku wykonywalnego), po "multistage infection chain", czyli albo wykonywane innego ataku jako wektor i podrzucanie BS przy okazji, albo odwrotnie. Jest też możliwa inna metoda - podpięcie się pod teoretycznie bezpieczny program, który albo rozpakuje BS ze swojego wnętrza, albo pobierze najnowszą niewykrywalną wersję z servera.
Jak wspominałem w innym komentarzu - ograniczeniem jest tylko fantazja i umiejętności twórców.
a jak bierze pliki z c: gdzie jest wymóg admina
Nie musi, bo większość logów znajduje się w AppData na koncie użytkownika. Poza tym na Windows bez problemu można czytać z C:, ale nie można zapisywać (test w obrazku).
Wszystko zależy w którym momencie zauważymy, że coś jest nie tak.
Domeny: Pobierać tylko z zaufanych, tylko które to są?
Literówka w domenie. filehippo? a może fiIehippo, filehyppo, filehipoo, filelnippo?
Na Linuxie, OSX, iOS, czy Androidzie teoretycznie repozytoria/sklep są zaufane, a na windowsie?
Pobieramy. Plik się nie otwiera - pół biedy, wiemy, że coś jest nie tak, możemy sprawdzić etc. A co jeśli jest po prostu "opakowany"? Odpali nam się normalny program, wszystko jest ok, tylko w tle dzieje się infekcja.
Czasami samo wejście na stronę wystarczy, bo repozytoria przeglądarek bywają scrapowane w poszukiwaniu CVE. Takie ataki są rzadkością, ale jak ktoś używa starej przeglądarki/silnika (niekoniecznie nawet świadomie), to powierzchnia się zwiększa.
Inne powierzchnie ataku: Nawet tutaj była porada, żeby... wyłączyć Defendera i aktualizacje.
Tak, to co mówisz na pewno pomoże w większości przypadków, ale:
a) Ważne, żeby użytkownicy byli świadomi tego typu zagrożeń (inaczej się rozleniwiają)
b) Chcąc nie chcąc piractwo nadal jest popularne. Można powiedzieć, że "złodzieje dostali to na co zasłużyli", ale całkiem spory procent z nich to dzieci, które mogą nie rozumieć, że to złe (kiedyś kolega mi powiedział, żebym ściągnął CS "no steam", bo tego udostępniają legalnie za darmo), starsze osoby wychowane na trochę innym "modelu biznesowym" i dostępności produktów. Popularyzacja informacji o zagrożeniach z tym związanym może pozytywnie wpłynąć na spadek procederu.
c) Polecam posłuchać ludzi z branży security. Skoro wielu ludzi obeznanych z komputerami potrafi się złapać na niektóre ataki, to tym bardziej ludzie mniej ogarnięci w temacie będą podatni (chociaż nawet być może geniusze w swoim fachu, wykształceni etc.). Przykład z życia - nauczyłem moją babcię obsługi komputera z Ubuntu (tl;dr windows zwolnił za mocno, a ostatnio laptopy drożeją), potrafi korzystać z mediów społecznościowych, robi świetne zdjęcia i dbiera do nich filtry, w wielu przypadkach potrafiła wykryć próbę scamu. Ok 7 lat pracy z komputerami i nie potrafi zrozumieć różnicy pomiędzy kartą przeglądarki, a okienkiem.
d) Skoro to takie proste do rozróżnienia, to... czemu tego jeszcze nie zablokowaliśmy?
Wydaje mi się, że to dobry sposób na biznes taka konfiguracja komputera, żeby nikt go nie zainfekował.
Po prostu uważać.I tyle.Czyli norma od początku internetu. Zaskakujące jest raczej to,że tak malo sobie za to życzą. A ja czekam na czasy,aż takich ludzi zacznie się rzeczywiście łatwo znajdywać i łapać,i będzie im się rączki łamało. Ale jakoś nikt nie chce znaleźć na to sposobu...
zacznie się rzeczywiście łatwo znajdywać
Już jest całkiem łatwo ich łapać. Tożsamość wielu jest znana służbą, problem leży w innym miejscu.
Nie bez powodu u większości panuje zasada, żeby nie atakować maszyn z ustawioną klawiaturą rosyjską (czasami po prostu uważają, że szkoda gnębić biednych i na zachodzie można większy okup uzyskać - jedno nie wyklucza drugiego).
The malware calls User32.dll's GetKeyboardLayoutList function, inspects the keyboard identifier, and returns true if the result ends in a value between \x18 thru \x44 inclusive. This result means the compromised host is whitelisted based on the host's configured keyboard layout.
https://www.secureworks.com/research/revil-sodinokibi-ransomware
"Mateczka Rosja" troszczy się o swoich ;)
lmao, ten wirus już nie jest zagrożeniem, skoro piszę o nim duża firma zajmująca się cyberbezpieczeństwem to już pewnie aktualizacja zabepieczeń do Defendera dawno wyszła.
Tak. Na całe szczęście takimi informacjami zazwyczaj się wszyscy dzielą. Na VirusTotal ma 55/67 wykryć. Z wyników dziwi jedynie, że F-Secure nie dostał jeszcze aktualizacji. Nie dziwi, a martwi, że Baidu i Tencent jej nie mają.
Nie wiem, czy VT jest tutaj blokowany ("groźna" nazwa), więc wrzucę link to tweeta z bloga Kasperskiego https://twitter.com/3xp0rtblog/status/1380087553676697617
Wystarczy mieć mózg i nie klikać byle co i pobierać byle co no i Windows Deffender wystarcza bo musi mieć mocniejsze zabezpieczenia anty wirusowe które się aktulizuje samo
