Исследователи нашли способ проникнуть в хранилища Dropbox, OneDrive, Box, Drive​

Когда еще можно почувствовать себя таким уязвимым, как не во время конференции Black Hat и по ее итогам? Специалисты компании Imperva показали в Лас-Вегасе, что получить доступ к чужим файлам в облачном хранилище (будь то Microsoft OneDrive, Dropbox, Google Drive или Box) можно достаточно легко. А еще можно использовать облачные сервисы синхронизации файлов для C&C коммуникаций, заражения пользователей малварью, получения удаленного доступа и более прозаичных вещей. Но самое неприятное заключается в том, что для всего описанного исследователям не понадобилось даже компрометировать пользовательские логины и пароли.

Атаку назвали man-in-the-cloud по аналогии с man-in-the-middle. Исследователи отмечают, что восстановить аккаунт и контроль над ним, после такой атаки, не всегда возможно.

Атака строится на краже уникальных токенов, которые генерируются при первом использовании сервиса и для удобства хранятся на пользовательской машине. Дабы клиенту не приходилось вводить пароль каждый раз, когда происходит синхронизация данных между разными устройствами, в реестре или Windows Credential Manager лежит маленький файл. Конечно, токены зашифрованы, но если сам файл токена был украден, к примеру, в ходе фишинговой атаки или посредством применения drive-by эксплоита, дело плохо.

Атакующий может обмануть облачное хранилище, прикинувшись настоящим владельцем аккаунта. После этого хакер может делать с аккаунтом что угодно, начиная от подмены пользовательских файлов на вредоносные и заканчивая банальной кражей данных, или их шифрованием с требованием выкупа. Пользователь, в свою очередь, ничего странного не заметит (если, конечно, не получит требование о выкупе).

Законные владельцы аккаунтов практически бессильны в такой ситуации. Так как токены уникальны и привязаны к конкретным устройствам, смена пароля ни к чему не приведет. В частности, Dropbox вообще не обновляет токены при смене пароля. Google Drive защищен лучше и после смены пароля требует повторной авторизации на всех устройствах.

Еще одно преимущество данной атаки состоит в том, что вредоносный код может находиться даже не на самой машине пользователя, а в облаке. Информация передается по стандартным зашифрованным каналам, не вызывая подозрений. Таким образом, атаку и несанкционированный доступ к данным очень трудно обнаружить. Нечто подобное недавно обнаружили специалисты компании FireEye, в ходе исследования бекдора Hammertoss. Он тоже маскируется в легитимном трафике и старается не привлекать к себе внимания.

Ученые нашли способ взломать неподключенный к сети компьютер ​

Группа израильских ученых продемонстрировала, как можно украсть данные с неподключенных к интернету компьютеров. Об этом сообщает издание PC World. Созданное ими вредоносное ПО GSMem может извлечь информацию и передать ее на мобильный телефон поблизости.

Исследователи из университета Бен-Гуриона пояснили, что взломать компьютер можно, например, запустив на него вирус через съемный носитель данных. Израильтяне предполагают, что именно таким путем вирус Stuxnet попал в систему и чуть не сорвал работу завода по обогащению урана в Иране в январе 2015 года. Заразившее компьютер ПО начинает контролировать обмен сигналами между процессором и памятью машины и создавать радиоволны в частотах GSM, UMTS и LTE, которые может принять любое находящееся поблизости мобильное устройство, передает uinc.ru.

Телефон должен находиться на расстоянии до 5 метров от компьютера, скорость передачи информации составляет 1-2 бита в секунду. Несмотря на то что она может показаться низкой, такой скорости хватает для того, чтобы получить пароли или ключи шифрования для дальнейшего доступа к массивам конфиденциальной информации. Для своего эксперимента израильтяне выбрали в качестве внешнего приемника выпущенный девять лет назад мобильный телефон Motorola C123.

Причина в том, что большинство технологических компаний, а также государственных учреждений, работающих с секретной информацией, запрещает сотрудникам и посетителям, получающим доступ к хранилищам конфиденциальной информации, пользоваться современными смартфонами, однако прямого запрета на использование более ранних моделей мобильных телефонов в регламенте не предусмотрено. Если заменить использованную в экспериментах израильских исследователей Motorola смартфоном последнего поколения с мощной антенной, то скорость передачи данных и расстояние между устройством и компьютером можно значительно увеличить.

Специалисты CloudFlare обнаружили необычную DDoS-атаку​

Компания CloudFlare сообщила об обнаружении DDoS-атаки весьма необычного вида. Нападению подвергся сайт клиентов CloudFlare, так что специалисты смогли наблюдать происходящее «из первого ряда». Используя мобильную рекламу, неизвестные атакующие сумели сгенерировать DDoS мощностью 275 000 HTTP запросов в секунду.

Сотрудник CloudFlare Марек Майковски (Marek Majkowski) рассказал, что браузерный Layer 7 HTTP флуд ранее уже рассматривали в качестве оружия для проведения атак, но лишь теоретически, так как организовать мощную атаку такого рода – сложно. Теперь компания получила возможность убедиться, что подобное возможно на практике.

Майковски пишет, что превратить HTTP флуд в настоящую атаку довольно сложно, но хакеры сумели преодолеть эту трудность, задействовав вредоносный JavaScript, внедренный в рекламу. Сложность заключалась даже не в написании самой малвари на JavaScript, но в изобретении способа эффективной доставки вредоноса, который обеспечил бы хакерам мощный и стабильный поток трафика, направленный на жертву.
Хакеры справились. Суммарно специалисты CloudFlare сумели засечь 4,5 млн запросов за сутки. В атаке участвовало порядка 650 000 уникальных IP-адресов. Преимущественно трафик шел из Китая (98% адресов относились к Поднебесной). Притом 72% запросов поступило со смартфонов, через мобильные браузеры. 23% относилось к десктопам и только 5% к планшетам. Логи показали, что атаке приняли участие Safari, Chrome, Xiaomi’s MIUI и Tencent QQBrowser.

Майковски предполагает, что в браузерах тысяч пользователей запускался iframe с вредоносной рекламой, содержащей JavaScript. После открытия такого окна, устройство начинало флудить или отсылать XHR запросы жертве на серверах CloudFlare. Также эксперты полагают, что вредоносную рекламу могут отображать и некоторые приложения, потому как в логах также засветился iThunder.

«Атаки такого рода – новый тренд. Они представляют огромную опасность в интернете, так как защититься от данного типа флуда может быть крайне нелегко, особенно для небольших веб-сайтов», — подытожил Майковски.

Android-вредонос имитирует обновление для Google Chrome

Пользователям Android становится опасно использовать свои устройства, поскольку новые модификации вредоносов возникают едва ли не каждый день. На этот раз вредоносное ПО выглядит как безобидное обновление Google Chrome для мобильных устройств, однако вредонос нацелен на финансовые и личные данные.

Новая версия вредоносного ПО была обнаружена сотрудниками компании Zscaler. По данным проведенного анализа, вредонос не только похищает информацию банковских карт, он также может контролировать журналы вызовов, отслеживать текстовые сообщения, извлекать историю браузера. Кроме того, данный вредонос может выявлять установленный на устройстве антивирус и отключать его.

Имя загрузочного файла вредоноса Update_chrome.apk. После установки APK программа запрашивает [реклама] администратора. Будучи установленным на устройство жертвы, вредоносное ПО передает похищенную информацию на C&C-сервер. Как только жертва попытается открыть магазин игр и приложений, вредонос открывает поддельную страницу для ввода данных кредитных карт. Если жертва заполнит всю необходимую информацию на поддельной платежной странице, вредонос отправит ее на российский номер (+7926ХХХХ135). Однако, если магазин приложений не установлен, вредонос не сможет открыть поддельную страницу. Удалить данный вредонос с устройства можно только сбросом до заводских настроек, что ведет к потере данных.

Ботнет Dridex снова взломан

Ботнет Dridex или один из его сегментов, рассылающих спам с вредоносом Locky, снова был взломан. Однако теперь вместо вредоносного ПО на компьютер жертвы загружается бинарный код, содержащий только два слова «Stupid Locky» («Глупый Locky»).

Исследователи Avira получили типичное письмо с вложением JavaScript, полезная нагрузка которого должна содержать вредоносное ПО. Вместо вредоноса был загружен бинарный код, размером 12 КБ.

Процесс инфицирования устройства жертвы начинается после открытия прикрепленного файла. Внутри самого JavaScript находится алгоритм генерации доменного имени для подключения к серверу преступников и загрузки с него оригинального вредоноса Locky. Загрузчик показывает, куда копировать вредоносные файлы в инфицированной системе, а также происходит выполнение загруженного файла.

В данном случае, URL-адрес был таковым:

hxxp://cafeaparis.xx/f7****d

Однако вместо ожидаемого вредоносного ПО специалисты из Avira загрузили бинарный код с простым сообщением «Stupid Locky». По мнению исследователя из Avira Свена Карлсена (Sven Carlsen), кто-то получил доступ к C&C-серверу преступников и заменил оригинальный вредонос Locky файлом с сообщением «Stupid Locky». Ботнет Dridex был также взломан ранее в этом году, распространяя антивирус вместо вредоносного ПО.