Εμφάνιση 1-14 από 14
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    80.062
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Security
    Δελτίο Τύπου:
    Η Check Point Research (CPR) έχει ανακαλύψει μια ενεργή καμπάνια εξόρυξης κρυπτονομισμάτων που μιμείται το "Google Translate Desktop" και άλλο δωρεάν λογισμικό για τη μόλυνση των υπολογιστών. Η καμπάνια έχει δημιουργηθεί από μια τουρκόφωνη οντότητα που ονομάζεται Nitrokod και μετρά 111.000 λήψεις σε 11 χώρες από το 2019. Οι εισβολείς καθυστερούν τη διαδικασία μόλυνσης για εβδομάδες ώστε να αποφύγουν τον εντοπισμό. Η CPR προειδοποιεί ότι οι εισβολείς μπορούν εύκολα να επιλέξουν να αλλάξουν το κακόβουλο λογισμικό, αλλάζοντας το για παράδειγμα από crypto miner σε ransomware ή τραπεζικά trojans.

    • Η καμπάνια προωθεί κακόβουλο λογισμικό μέσω του δωρεάν software που είναι διαθέσιμο σε δημοφιλείς ιστότοπους όπως το Softpedia και το uptodown.
    • Το κακόβουλο λογισμικό λαμβάνεται από απομιμήσεις εφαρμογών που είναι δημοφιλείς, αλλά δεν έχουν πραγματικές εκδόσεις για επιτραπέζιους υπολογιστές, όπως το Google Translate
    • Θύματα έχουν καταγραφεί στο Ηνωμένο Βασίλειο, τις ΗΠΑ, τη Σρι Λάνκα, την Ελλάδα, το Ισραήλ, τη Γερμανία, την Τουρκία, την Κύπρο, την Αυστραλία, τη Μογγολία και την Πολωνία


    Η καμπάνια προωθεί κακόβουλο λογισμικό μέσω του δωρεάν software που διατίθεται σε δημοφιλείς ιστότοπους όπως το Softpedia και το uptodown.

    Επίσης, μπορεί επίσης να μολύνει μια συσκευή εύκολα μέσω του Google όταν οι χρήστες κάνουν την αναζητούν "Google Translate Desktop download. Μετά την αρχική εγκατάσταση λογισμικού, οι εισβολείς καθυστερούν τη διαδικασία μόλυνσης για εβδομάδες, διαγράφοντας ίχνη από την αρχική εγκατάσταση.

    Απαρατήρητη εδώ και χρόνια
    Η εκστρατεία λειτουργεί με επιτυχία κάτω από το ραντάρ εδώ και χρόνια. Για να αποφευχθεί ο εντοπισμός, οι δημιουργοί της Nitrokod εφάρμοσαν ορισμένες βασικές στρατηγικές:

    • Το κακόβουλο λογισμικό εκτελείται για πρώτη φορά σχεδόν ένα μήνα μετά την εγκατάσταση του προγράμματος Nitrokod
    • Το κακόβουλο λογισμικό παραδίδεται μετά από 6 προηγούμενα στάδια μολυσμένων προγραμμάτων
    • Η αλυσίδα μόλυνσης συνεχίζεται μετά από μεγάλη καθυστέρηση χρησιμοποιώντας έναν προγραμματισμένο μηχανισμό εργασιών, δίνοντας στους επιτιθέμενους χρόνο να καθαρίσουν όλα τα στοιχεία τους


    Η Αλυσίδα μόλυνσης

    1. Η μόλυνση ξεκινά με την εγκατάσταση ενός μολυσμένου προγράμματος που έχει ληφθεί από το web
    2. Μόλις ο χρήστης εκκινήσει το νέο λογισμικό, εγκαθίσταται μια αντιγραφή του Google Translate. Επιπλέον, ένα αρχείο ενημέρωσης αποθηκεύεται στον δίσκο, το οποίο ξεκινά μια σειρά τεσσάρων droppers μέχρι να εγκατασταθεί το πραγματικό κακόβουλο λογισμικό
    3. Μετά την εκτέλεση του, το κακόβουλο λογισμικό συνδέεται με τον διακομιστή C&C (Command & Control) για να λάβει μια διαμόρφωση για το XMRig crypto miner και ξεκινά τη δραστηριότητα εξόρυξης


    Κατάλογος χωρών με θύματα:


    • Ηνωμένο Βασίλειο
    • ΗΠΑ
    • Σρι Λάνκα
    • Ελλάδα
    • Ισραήλ
    • Γερμανία
    • Τουρκία
    • Κύπρος
    • Αυστραλία
    • Μογγολία
    • Πολωνία


    Σχόλιο της Maya Horowitz, VP of Research στην Check Point Software:


    "Ανακαλύψαμε έναν δημοφιλή ιστότοπο που εξυπηρετεί κακόβουλες εκδόσεις μέσω απομιμήσεων εφαρμογών υπολογιστή, συμπεριλαμβανομένου του Google Desktop και άλλων, οι οποίες περιλαμβάνουν έναν εξόρυξη κρυπτονομισμάτων. Τα κακόβουλα εργαλεία μπορούν να χρησιμοποιηθούν από οποιονδήποτε. Μπορούν να βρεθούν με μια απλή αναζήτηση στον ιστό, να γίνει λήψη τους από ένα σύνδεσμο και να εγκατασταθούν με ένα απλό διπλό κλικ. Γνωρίζουμε ότι τα εργαλεία έχουν κατασκευαστεί από έναν Τούρκοφωνο προγραμματιστή.
    Επί του παρόντος, η απειλή που εντοπίσαμε ήταν η εν αγνοία εγκατάσταση ενός εξορύκτη κρυπτονομισμάτων, ο οποίος κλέβει πόρους υπολογιστών και τους αξιοποιεί ώστε ο εισβολέας να κερδίσει χρήματα. Χρησιμοποιώντας την ίδια ροή επίθεσης, ο εισβολέας μπορεί εύκολα να επιλέξει να αλλάξει το τελικό ωφέλιμο φορτίο της επίθεσης, αλλάζοντας το από crypto miner σε, για παράδειγμα, ransomware ή τραπεζικό Trojan.
    Αυτό που παρουσιάζει για μένα το μεγαλύτερο ενδιαφέρον, είναι το γεγονός ότι το κακόβουλο λογισμικό παρότι είναι τόσο δημοφιλές, δε ήταν ανιχνεύσιμο για τόσο καιρό. Αποκλείσαμε την απειλή για τους πελάτες του Check Point και δημοσιεύουμε αυτήν την αναφορά ώστε να προστατευθούν και άλλοι."

    Cyber Safety
    Συμβουλές:
    Συμβουλές για την ασφάλεια στον κυβερνοχώρο:

    • Προσοχή σε domain που μοιάζουν πραγματικά, σε ορθογραφικά λάθη σε ιστότοπους και σε άγνωστους αποστολείς email
    • Κατεβάστε λογισμικά μόνο από εξουσιοδοτημένους, γνωστούς εκδότες και προμηθευτές
    • Αποτρέψτε τις επιθέσεις zero-day με μια ολιστική, end to end αρχιτεκτονική στον κυβερνοχώρο
    • Βεβαιωθείτε ότι η ασφάλεια του τερματικού σας είναι ενημερωμένη και παρέχει ολοκληρωμένη προστασία



  2. #2
    Εγγραφή
    27-05-2006
    Περιοχή
    Άγιοι Ανάργυροι
    Ηλικία
    51
    Μηνύματα
    6.361
    Downloads
    20
    Uploads
    1
    Τύπος
    VDSL2
    Ταχύτητα
    108855/10999
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - Ν. ΦΙΛΑΔΕΛΦΕΙΑ
    Router
    UntangleVM on esxi
    Αυτά τα ρημάδια, ένα eset τα πιάνει κατά την εγκατάσταση? Νομίζω ναι σωστά?
    There's no substitute for experience
    CorollaClub

  3. #3
    Εγγραφή
    08-07-2022
    Μηνύματα
    140
    Downloads
    0
    Uploads
    0
    ISP
    HCN
    Παράθεση Αρχικό μήνυμα από BlueChris Εμφάνιση μηνυμάτων
    Αυτά τα ρημάδια, ένα eset τα πιάνει κατά την εγκατάσταση? Νομίζω ναι σωστά?
    Λογικά οποιοδήποτε αξιοπρεπές antivirus πρέπει να το πιάνει. Ενα trojan downloader είναι, δε νομίζω οτι έχει τίποτε ιδιαίτερο τεχνολογικά.

  4. #4
    Εγγραφή
    23-06-2007
    Περιοχή
    Αθήνα
    Μηνύματα
    13.184
    Downloads
    0
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    110/11 + 110/11 + 450/11
    ISP
    Cosmote & Vodafone
    DSLAM
    Wind - ΠΑΤΗΣΙΑ
    Router
    Fritz! 7590 ΑX, 6850 5G
    SNR / Attn
    34(dB) / 11(dB)
    Path Level
    Fastpath
    Kaspersky: Ανακαλύφθηκε ενεργή εκστρατεία phishing με πρόσχημα τα ΕΛΤΑ

    https://www.newsit.gr/texnologia/Kas...-elta/3588360/
    - My Line : Fritz! 7590 AX / 4060 ΑΧ + 6850 5G + ZTE H267A -> TP-Link TL-R605 (MultiWAN)

    - A/K Πατήσια : VDSL - Wind - FTTH - Wind - 5G Mobile - Inalan

  5. #5
    Εγγραφή
    28-05-2014
    Ηλικία
    35
    Μηνύματα
    33
    Downloads
    0
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    102400/10240
    ISP
    COSMOTE
    Router
    Fritzbox 7581
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    yber Safety Συμβουλές:
    Συμβουλές για την ασφάλεια στον κυβερνοχώρο:

    Προσοχή σε domain που μοιάζουν πραγματικά, σε ορθογραφικά λάθη σε ιστότοπους και σε άγνωστους αποστολείς email
    Κατεβάστε λογισμικά μόνο από εξουσιοδοτημένους, γνωστούς εκδότες και προμηθευτές
    Αποτρέψτε τις επιθέσεις zero-day με μια ολιστική, end to end αρχιτεκτονική στον κυβερνοχώρο
    Βεβαιωθείτε ότι η ασφάλεια του τερματικού σας είναι ενημερωμένη και παρέχει ολοκληρωμένη προστασία
    cnet, softpedia.... δεν ειναι γνωστοί εκδότες και προμηθευτές ;

  6. #6
    Εγγραφή
    08-07-2022
    Μηνύματα
    140
    Downloads
    0
    Uploads
    0
    ISP
    HCN
    Σήμερα μου έστειλαν phishing (υποθέτω) απο paypal που περιέχει Link https://www.paypal.com και έχει return address paypal.com. Ακόμα και ο origin server φαίνεται να ανήκει στην paypal και το μεγαλύτερο μέρος του είναι αντιγραφή απο πραγματικό paypal email. Άνετα μπορεί να την πατήσει κάποιος. Πέρασε και απο το πολύ καλό spam filter της google.
    Δε μπορώ να καταλάβω πάντως τι θα κερδίσουν αν πάω σε πραγματικό paypal link. Δεν το δοκίμασα φυσικά.

  7. #7
    Εγγραφή
    27-05-2006
    Περιοχή
    Άγιοι Ανάργυροι
    Ηλικία
    51
    Μηνύματα
    6.361
    Downloads
    20
    Uploads
    1
    Τύπος
    VDSL2
    Ταχύτητα
    108855/10999
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - Ν. ΦΙΛΑΔΕΛΦΕΙΑ
    Router
    UntangleVM on esxi
    Παράθεση Αρχικό μήνυμα από Penguin Εμφάνιση μηνυμάτων
    Σήμερα μου έστειλαν phishing (υποθέτω) απο paypal που περιέχει Link https://www.paypal.com και έχει return address paypal.com. Ακόμα και ο origin server φαίνεται να ανήκει στην paypal και το μεγαλύτερο μέρος του είναι αντιγραφή απο πραγματικό paypal email. Άνετα μπορεί να την πατήσει κάποιος. Πέρασε και απο το πολύ καλό spam filter της google.
    Δε μπορώ να καταλάβω πάντως τι θα κερδίσουν αν πάω σε πραγματικό paypal link. Δεν το δοκίμασα φυσικά.
    Αν το link σε πάει στο PayPal.com, είσαι σίγουρος πως είναι σπαμ? Τι το προδίδει δηλαδή?
    There's no substitute for experience
    CorollaClub

  8. #8
    Εγγραφή
    08-07-2022
    Μηνύματα
    140
    Downloads
    0
    Uploads
    0
    ISP
    HCN
    Παράθεση Αρχικό μήνυμα από BlueChris Εμφάνιση μηνυμάτων
    Αν το link σε πάει στο PayPal.com, είσαι σίγουρος πως είναι σπαμ? Τι το προδίδει δηλαδή?
    Δεν έχω paypal σε αυτό το email.

    Αλλά και πέρα απο αυτό ενώ είναι copy απο κανονικό invoice και λέει "μπες εδώ για να πληρώσεις" απο κάτω λέει οτι χρεώθηκε στο λογαριασμό σου και μετά λέει οτι είναι παράνομη χρέωση. Οτι να ναι δηλαδή και με αγγλικά του κ****υ. Οτι δεν είναι copy paste είναι απο google translate.

    Your PayPal account has apparently been illegally accessed, according to the evidence. Your account has been charged $800. 00 for the Amazon eGift Card purchase. After 24 hours, this transaction will show up in the automatically debited amount on Payment activity.

  9. #9
    Εγγραφή
    27-05-2006
    Περιοχή
    Άγιοι Ανάργυροι
    Ηλικία
    51
    Μηνύματα
    6.361
    Downloads
    20
    Uploads
    1
    Τύπος
    VDSL2
    Ταχύτητα
    108855/10999
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - Ν. ΦΙΛΑΔΕΛΦΕΙΑ
    Router
    UntangleVM on esxi
    Παράθεση Αρχικό μήνυμα από Penguin Εμφάνιση μηνυμάτων
    Δεν έχω paypal σε αυτό το email.

    Αλλά και πέρα απο αυτό ενώ είναι copy απο κανονικό invoice και λέει "μπες εδώ για να πληρώσεις" απο κάτω λέει οτι χρεώθηκε στο λογαριασμό σου και μετά λέει οτι είναι παράνομη χρέωση. Οτι να ναι δηλαδή και με αγγλικά του κ****υ. Οτι δεν είναι copy paste είναι απο google translate.

    Your PayPal account has apparently been illegally accessed, according to the evidence. Your account has been charged $800. 00 for the Amazon eGift Card purchase. After 24 hours, this transaction will show up in the automatically debited amount on Payment activity.
    Οκ αλλά κακοβουλο λινκ είχε τελικά μέσα?
    There's no substitute for experience
    CorollaClub

  10. #10
    Εγγραφή
    08-07-2022
    Μηνύματα
    140
    Downloads
    0
    Uploads
    0
    ISP
    HCN
    Παράθεση Αρχικό μήνυμα από BlueChris Εμφάνιση μηνυμάτων
    Οκ αλλά κακοβουλο λινκ είχε τελικά μέσα?
    Τι να σου πω; paypal.com είναι. Θες να στο στείλω να το ανοίξεις;

  11. #11
    Εγγραφή
    01-07-2003
    Περιοχή
    Θεσσαλλλλονίκη
    Μηνύματα
    76.106
    Downloads
    39
    Uploads
    14
    Τύπος
    Cable
    Ταχύτητα
    120000/120000
    ISP
    HCN - OTE
    DSLAM
    ΟΤΕ - ΡΟΣΤΑΝ
    Router
    asus,vigor
    SNR / Attn
    11.5(dB) / 30.5(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από Penguin Εμφάνιση μηνυμάτων
    Σήμερα μου έστειλαν phishing (υποθέτω) απο paypal που περιέχει Link https://www.paypal.com και έχει return address paypal.com. Ακόμα και ο origin server φαίνεται να ανήκει στην paypal και το μεγαλύτερο μέρος του είναι αντιγραφή απο πραγματικό paypal email. Άνετα μπορεί να την πατήσει κάποιος. Πέρασε και απο το πολύ καλό spam filter της google.
    Δε μπορώ να καταλάβω πάντως τι θα κερδίσουν αν πάω σε πραγματικό paypal link. Δεν το δοκίμασα φυσικά.
    Μήπως είναι αυτή η καινούργια μόδα με το διαφορετικό encoding στο domain ;

  12. #12
    Εγγραφή
    05-09-2005
    Μηνύματα
    289
    Downloads
    16
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    8192/1024
    ISP
    Vodafone
    SNR / Attn
    8(dB) / 39(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από Penguin Εμφάνιση μηνυμάτων
    Σήμερα μου έστειλαν phishing (υποθέτω) απο paypal που περιέχει Link https://www.paypal.com και έχει return address paypal.com. Ακόμα και ο origin server φαίνεται να ανήκει στην paypal και το μεγαλύτερο μέρος του είναι αντιγραφή απο πραγματικό paypal email. Άνετα μπορεί να την πατήσει κάποιος. Πέρασε και απο το πολύ καλό spam filter της google.
    Δε μπορώ να καταλάβω πάντως τι θα κερδίσουν αν πάω σε πραγματικό paypal link. Δεν το δοκίμασα φυσικά.
    Υποψιάζομαι ότι είναι το κλασικό (σχετικά) καινούριο invoice PayPal scam. Σου στέλνουν ένα κανονικό invoice, από κάποιο κλεμμένο/παραβιασμένο λογαριασμό πιθανότατα, γιαυτό το email έρχεται όντως από την PayPal και τα links σε στέλνουν στην PayPal.
    Με 2 τρόπους δουλεύει το scam, ο 1ος είναι προφανής, αν πληρώσεις το invoice τα λεφτά πάνε στον απατεώνα. Ο 2ος τρόπος, συνήθως στο μήνυμα που έρχεται γράφουν κάτι του στυλ "If you suspect you did not make this transaction, immediately contact us at τάδε νούμερο" που προφανώς είναι scam call center που υποδύονται την εξυπηρέτηση της PayPal.

  13. #13
    Εγγραφή
    27-05-2006
    Περιοχή
    Άγιοι Ανάργυροι
    Ηλικία
    51
    Μηνύματα
    6.361
    Downloads
    20
    Uploads
    1
    Τύπος
    VDSL2
    Ταχύτητα
    108855/10999
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - Ν. ΦΙΛΑΔΕΛΦΕΙΑ
    Router
    UntangleVM on esxi
    Παράθεση Αρχικό μήνυμα από zafx Εμφάνιση μηνυμάτων
    Υποψιάζομαι ότι είναι το κλασικό (σχετικά) καινούριο invoice PayPal scam. Σου στέλνουν ένα κανονικό invoice, από κάποιο κλεμμένο/παραβιασμένο λογαριασμό πιθανότατα, γιαυτό το email έρχεται όντως από την PayPal και τα links σε στέλνουν στην PayPal.
    Με 2 τρόπους δουλεύει το scam, ο 1ος είναι προφανής, αν πληρώσεις το invoice τα λεφτά πάνε στον απατεώνα. Ο 2ος τρόπος, συνήθως στο μήνυμα που έρχεται γράφουν κάτι του στυλ "If you suspect you did not make this transaction, immediately contact us at τάδε νούμερο" που προφανώς είναι scam call center που υποδύονται την εξυπηρέτηση της PayPal.
    thx για τις πληροφορίες.
    There's no substitute for experience
    CorollaClub

  14. #14
    Εγγραφή
    08-07-2022
    Μηνύματα
    140
    Downloads
    0
    Uploads
    0
    ISP
    HCN
    Παράθεση Αρχικό μήνυμα από zafx Εμφάνιση μηνυμάτων
    Υποψιάζομαι ότι είναι το κλασικό (σχετικά) καινούριο invoice PayPal scam. Σου στέλνουν ένα κανονικό invoice, από κάποιο κλεμμένο/παραβιασμένο λογαριασμό πιθανότατα, γιαυτό το email έρχεται όντως από την PayPal και τα links σε στέλνουν στην PayPal.
    Με 2 τρόπους δουλεύει το scam, ο 1ος είναι προφανής, αν πληρώσεις το invoice τα λεφτά πάνε στον απατεώνα. Ο 2ος τρόπος, συνήθως στο μήνυμα που έρχεται γράφουν κάτι του στυλ "If you suspect you did not make this transaction, immediately contact us at τάδε νούμερο" που προφανώς είναι scam call center που υποδύονται την εξυπηρέτηση της PayPal.
    Το έλεγξα και το νούμερο. Αμερική είναι, απλός αριθμός και οχι αυξημένης χρέωσης. Βέβαια αν πάρεις ίσως κάνουν τα γνωστά κόλπα, έχεις ιιο και δώσε μας remote access να σου βάλουμε antivirus κλπ.

    Παράθεση Αρχικό μήνυμα από sdikr Εμφάνιση μηνυμάτων
    Μήπως είναι αυτή η καινούργια μόδα με το διαφορετικό encoding στο domain ;
    Το domain είναι όντως το κανονικό paypal, το δοκίμασα. Οχι όλόκληρο το link βέβαια γιατί ποτέ δεν ξέρεις τι 0-day μπορεί να έχουν ανακαλύψει.

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας