Három veszélyes támadási lehetőséget ismertettek a napokban biztonsági cégek, melyek Magyarországon is veszélybe sodorhatják az informatikai rendszereket. A Kaspersky és a Palo Alto Networks egy adathalász támadásra hívta fel a figyelmet, az ESET pedig egy a wifi chipeket érintő sérülékenységet ismertetett.

VPN oldalnak álcázza magát

A Kaspersky és a Plao Alto Netwokrs kutatói olyan adathalász támadásokat fedeztek fel, mely ugyanarra az elvre épülnek: arra tudniillik, hogy a felhasználó általában megbízhatónak tartja a biztonsági megoldásokat szállító cégeket.

A Kaspersky egy népszerű VPN-szolgáltatás webhelyének a hamisítványával próbálja csőbe húzni a felhasználókat. A támadás során – amelyben magyarországi célpontok is vannak – egy windowsos telepítőknek álcázott adatlopó trójait, nevezetesen az AZORult nevű vírust telepítik a megtámadott rendszerekbe. A hamis weboldalt tavaly novemberben regisztrálták, és jelenleg is aktív. A támadók személyes adatokat és kriptodevizát lopnak a fertőzött rendszerekből. A Kaspersky állítása szerint eddig havonta 150-300 magyarországi rendszert támadtak az AZORult segítségével., de időszakonként ennél jóval magasabb aktivitást is megfigyeltek a kutatók.

Az AZORult az orosz alvilági fórumokon különösen népszerű, mert bőséges a funkciókínálata. A fertőzött gépekről a böngészési előzményektől kezdve a bejelentkezési és hitelesítési adatok át a a cookie-kig és a tárolt fájlokig szinte bármit képes begyűjteni, beleértve a kriptopénztárca-fájlok is. Az már csak hab a tortán, hogy további malware-eket tud letölteni a gépre.

Mivel a VPN egyre népszerűbb eszköze az adatvédelemnek, érthető, hogy a kiberbűnözők is próbálják ezt kiaknázni. Az AZORultra épülő legújabb kampányban a támadók a ProtonVPN szolgáltatás weboldalának szinte tökéletes másolatát készítették el, csupán az oldal tartománynevében van némi eltérés: .com helyet .store.

Az oldalra mutató hivatkozásokat hirdetésekben (malvertizing) terjesztik. Amikor az áldozat felkeresi az adathalász weboldalt, ott felajánlják, hogy töltsön le egy ingyenes VPN-telepítőt. A telepítő azonban valójában egy AZORult botnet-szoftvert tesz fel a gépre, amely először begyűjti a fertőzött eszköz környezeti adatait, és jelenti azokat a vezérlőszerverének, majd jönnek az értékes adatok: kriptodeviza, FTP bejelentkezési adatok, e-mail hitelesítési adatokat stb.

Érdekes – és valószínűleg véletlen – egybeesés, hogy szinte az AZORult azonosításával egy időben a Palo Alto Networks is felfedezett egy hasonló logikával (biztonsági megoldással támadni) működő adathalász támadást, ami a Norton biztonsági megoldások nevével téveszti meg a felhasználókat. A támadás egy spamként érkező levéllel indul, ami egy fontos információkat ígérő Norton LifeLock nevű dokumentumot tartalmaz. Ha a felhasználó ezt a Word dokumentumot megnyitja – és az utasításoknak megfelelően engedályezi a makrók futását –, lefut egy kód. Ez letölti és telepíti a távoli elérésre használható, amúgy teljesen legális NetSupport Manager szoftvert. Innentől pedig a támadók megkapják a fertőzött számítógép elérési adatait.

Milliárdnyi eszközt veszélyeztet

Másként veszélyes az ESET által felfedezett és elemzett sérülékenység, a Kr00K (CVE-2019-15126). A wifi AP-kben (Acces Point) és routerekben használt chipben talált hiba az olyan hálózati kommunikációnál jelent veszélyt, amit csak nullákból álló kulccsal titkosítanak (all-zero encryption key). A hibát kiaknázva a támadó képes elfogni és dekódolni a vezeték nélküli kommunikációban a hálózati csomagokat.

A Kr00K azért különösen veszélyes, mivel a konzervatív becslések szerint is több, mint egymilliárd wifi-kompatibilis eszközt érint, az összes olyan eszköz érintett, amiben Broadcom és Cypress wifi csipet építettek. Ilyen például az Amazon Echo és a Kindle-ök, az Apple több készüléke (iPhone, iPad, MacBook), a Google, a Samsung és a Xiaomi több telefonja, Az Asus és a Huawei AP-i, sőt még a Raspberry Pi 3-ak is.

A jó hír, hogy a nagy eszközgyártók többsége már kiadta a szükséges javításokat, amiket érdemes is mielőbb telepíteni.