Microsoft og Cisco er uenige om sårbarheter i macOS-applikasjoner. Ny phishing-kampanje bruker falske bank-apper for å stjele brukerdata i Europa. Ransomwaregruppe bruker ny skadevare for å terminere sikkerhetsprogrammer.
Microsoft og Cisco er uenige om sårbarheter i macOS-applikasjoner
Flere sårbarheter i Microsofts applikasjoner for macOS kan utnyttes til å omgå systemtillatelser (som kamera og mikrofon) og utføre ulike skadelige handlinger, ifølge Cisco. Sårbarhetene, som påvirker Outlook, Teams, PowerPoint, OneNote, Excel og Word, kan tillate angripere å sende e-poster uten brukerens viten, ta opp lyd eller video, og ta bilder uten brukerinteraksjon. Cisco identifiserte åtte sårbarheter med samme rotårsak: angripere kan injisere usignerte biblioteker i Microsofts applikasjoner for macOS for potensielt å eskalere privilegier. Microsoft anser feilene som lav risiko, mens Cisco har gitt dem en "høy alvorlighetsgrad". Microsoft har oppdatert Teams-appene og OneNote for macOS og fjernet den risikable rettigheten fra dem, men de andre fire applikasjonene forblir sårbare. Grunnen til at noen av appene fortsatt er sårbare er at tredjeparter kan levere biblioteker til dem og at signering av disse kan være tungvindt.
Ny phishing-kampanje bruker falske bank-apper for å stjele brukerdata i Europa
En ny phishing-kampanje retter seg mot bankkunder i Tsjekkia, Ungarn og Georgia ved å bruke falske bankapper som er nesten identiske med de legitime appene. Hackerne brukte automatiserte talemeldinger, SMS og sosiale medier-annonser for å lure brukere til å installere ondsinnet programvare på Android- og iOS-enheter fra tredjeparts nettsteder.
De skadelige appene er av typen progressive webapplikasjoner (PWA), som oppfører seg som ekte mobilapper og gir angripere tilgang til mikrofon, geolokasjon og kamera. Disse appene er egentlig bygget opp som en vanlig nettside og fungerer på tvers av en rekke operativsystemer. Angriperne satte også opp nettsider som simulerte app-butikker, for å lure ofrene til å tro at de hadde lastet ned ekte vare.
Ransomwaregruppe bruker ny skadevare for å terminere sikkerhetsprogrammer
Ransomware-operatører i RansomHub bruker nå ny skadelig programvare, kalt EDRKillShifter, for å deaktivere Endpoint Detection and Response (EDR) sikkerhetsprogramvare gjennom Bring Your Own Vulnerable Driver (BYOVD)-angrep. Gruppen utnytter legitime, men sårbare drivere for å eskalere privilegier, deaktivere sikkerhetsløsninger og ta kontroll over målrettede systemer.
Sophos fant ut at EDRKillShifter kan levere ulike payloads og programvaren sannsynligvis ble kompilert på en russisk datamaskin. Skadevaren følger en tretrinnsprosess, som kulminerer i en uendelig loop som terminerer prosesser knyttet til EDR-programvare.
Denne angrepsmetoden ligner tidligere skadevare som AuKill, som også angrep EDR-programvare ved å bruke sårbare drivere.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.