Címke: malware

Tesztelés alatt a Google Chrome új védelmi funkciója: Az eszközhöz kötött munkameneti hitelesítő adatok

A Google legújabb védelmi intézkedése a Chrome böngésző felhasználóinak biztonságáért

A Google nemrég bejelentette egy forradalmi új biztonsági funkció, nevezetesen a Device Bound Session Credentials (DBSC) próbafázisát a Chrome internetes böngészőben. A fejlesztés fő célja, hogy egy réteggel több védelmet biztosítson a felhasználóknak a kártevők által végzett munkamenet-cookie lopásokkal szemben.

Ez a próbaprojekt, amely egyelőre csak egy szűk csoport, kifejezetten Google-fiókkal rendelkező Chrome Beta felhasználók számára elérhető, azért jött létre, hogy alapot nyújtson egy új, nyílt webes szabvány kidolgozásához. A technológiai óriás Chromium csapatának vezetésével kívánják ezt a célt megvalósítani.

„A DBSC által bevezetett, az autentikációs munkameneteket eszközhöz kötő megközelítés elsődleges célja, hogy lényegesen megnehezítse a cookie-k lopására szakosodott kártevők munkáját, ezzel téve őket lényegesen kevésbé hatékonnyá,” emelte ki a vállalat.

A vállalat kiemelte, hogy ez az újítás várhatóan radikálisan csökkenteni fogja a cookie-lovakkal foglalkozó kártevők sikerességét, mivel a támadásoknak közvetlenül az adott eszközről kellene kiindulniuk, ami megkönnyíti az ilyen tevékenységek felderítését és kezelését, akár az antivírus programok, akár a vállalati eszközkezelő rendszerek által.

További háttér és kontextus

Az innováció olyan jelentések hatására született meg, amelyek szerint a piacon kapható információlopó kártevők újabb és újabb módszereket fejlesztenek ki a felhasználók munkamenet-cookiéinak megszerzésére, ezzel megkerülve a többlépcsős hitelesítési mechanizmusokat és engedélyezve a jogosulatlan hozzáférést különböző online szolgáltatásokhoz.

2021 októberében a Google Threat Analysis Group (TAG) csapata részletezte egy olyan phishing támadást, amely specifikusan YouTube tartalomgyártókat célozott meg egy cookie-lovó kártevővel, céljuk a felhasználói fiókok átvétele és az azokból származó bevételek illetéktelen kiaknázása kriptovaluta csalások révén.

Az idén januárban a CloudSEK által nyilvánosságra hozott információk szerint több különböző információlopó kártevő, többek között a Lumma, Rhadamanthys, Stealc, Meduza, RisePro és WhiteSnake is fejlesztette a képességeit azzal, hogy képesek lettek a felhasználói munkamenetek megszerzésére és azon keresztül a Google-szolgáltatásokhoz való hosszú távú hozzáférésre, még a jelszó megváltoztatása után is.

A Google válaszlépései

A Google a Hacker News-nak adott nyilatkozatában kijelentette, hogy a cookie-k és tokenek lopására specializálódott kártevők elleni védekezés már régóta része a biztonsági protokolljainak. Folyamatosan frissítik a védekezési mechanizmusokat, hogy megvédjék azokat a felhasználókat, akik potenciálisan kártevők célpontjává válhatnak.

Ezen felül a vállalat azt tanácsolja a felhasználóknak, hogy aktiválják a Bővített Biztonságos Böngészés funkciót a Chrome böngészőjükben, amely további védelmet nyújt a phishing támadások és kártékony szoftverek letöltése ellen.

A DBSC bevezetése egy lépés afelé, hogy csökkenjenek ezek a rosszindulatú tevékenységek, egy olyan új kriptográfiai eljárás segítségével, amely az eszköz azonosításával köti össze a munkameneteket, ezzel is nehezítve a támadók dolgát a lopott cookie-k felhasználásával történő illetéktelen fiókhasználat során.

Forrás: www.thehackernews.com

Az AI által vezérelt kibertámadások új korszaka

A mesterséges intelligencia (AI) alkalmazása új távlatokat nyit meg a kibertámadások területén, legyen szó akár önmagát fejlesztő kártékony programokról vagy valósághű deepfake alkotásokról. A Recorded Future által kiadott tanulmány szerint a legkorszerűbb nyelvi modellek (LLM-ek) kihasználásával készített eszközök képesek lehetnek a kártevők YARA szabályokat megkerülő módosítására.

„A generatív AI-t alkalmazva lehetséges a kártevők forráskódjának olyan módosítása, amely lehetővé teszi számukra a YARA szabályokon alapuló észlelés elkerülését, ezzel csökkentve azok észlelési arányát,” – említi a jelentés, amit a The Hacker News-szal is megosztottak.

Ez az állítás egy kibervédelmi teszt eredményeképpen született, amely az AI technológiák kártékony felhasználásának felderítésére irányult. Ezeket a technológiákat már használják kártékony kód részleteinek létrehozására, phishing e-mailek generálására, valamint potenciális célpontok kikémlelésére.

A biztonsági szakemberek egy LLM-nek adtak egy ismert kártevőt, az APT28 hacker csoport által használt STEELHOOK-ot, annak YARA szabályait mellékelve, és arra kérték, hogy módosítsa a forráskódot úgy, hogy a detekció elkerülése mellett az eredeti funkcionalitást megtartsa és a forráskód szintaktikailag helyes legyen.

E visszajelzési mechanizmusnak köszönhetően a LLM által módosított malware képes volt megkerülni az egyszerű string-alapú YARA szabályokon alapuló észleléseket.

E módszernek azonban vannak korlátai, elsősorban az LLM-ek által egy időben feldolgozható szövegmennyiségben, ami bonyolulttá teheti a nagyobb méretű kódbázisokon való munkavégzést.

Az AI eszközök további alkalmazása magában foglalhatja a radar alatti repülést lehetővé tevő kártevők módosítását, valamint deepfake technológiák létrehozását, amelyek vezető beosztású személyeket imitálhatnak, vagy nagy léptékben hitelesnek tűnő weboldalakat hozhatnak létre.

A generatív AI továbbá megkönnyítheti a fenyegető szereplők számára a kritikus infrastruktúra létesítmények felderítését, és stratégiai jelentőségű információk gyűjtését következő támadásaikhoz.

„A többmodális modellek segítségével a nyilvánosságra hozott képek és videók, beleértve a légifelvételeket is, elemezhetők és kiegészíthetők további adatokkal, mint például a geolokáció, a berendezések gyártói, a modellek és a szoftververziók,” – mondja a cég.

A Microsoft és az OpenAI nemrég hívta fel a figyelmet arra, hogy az APT28 használt LLM-eket „a műholdas kommunikációs protokollok, radar képalkotási technológiák és specifikus technikai paraméterek megértésére”, ami arra utal, hogy „mélyreható ismereteket kívánnak szerezni a műholdképességekről.”

A szervezeteknek ajánlott alaposan átvizsgálniuk a nyilvánosan hozzáférhető képeket és videókat, amelyek érzékeny berendezéseket mutatnak, és szükség esetén eltávolítaniuk azokat, hogy csökkentsék a kiberfenyegetések kockázatát.

Ezekkel a fejleményekkel kapcsolatban egy tudósokból álló csoport megállapította, hogy lehetséges az LLM-eket „kijátszani” és veszélyes tartalmat generálni úgy, hogy a bemeneti utasításokat ASCII művészet formájában adják meg (pl. „hogyan készítsünk bombát”, ahol a BOMB szót „*” karakterek és szóközök segítségével alakítják ki).

Ez az új típusú támadás, az ArtPrompt, az LLM-ek ASCII művészet felismerési képességének hiányosságait használja ki a biztonsági óvintézkedések megkerülésére és a modellek által nem kívánt működésének előidézésére.

Forrás: thehackernews.com

 

Digitális Csapdák: Egy magyar marketingügynökség tapasztalatai az online adathalászattal

Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.

Az átverés

A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat.

Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az „O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott.

A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.

A betörés

A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is.

Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.

A megoldás

A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.

A következmények

A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben.

Forrás: www.telex.hu