#zlosliwe-oprogramowanie — Public Fediverse posts

Zwykły obrazek może zainfekować twój komputer. Nowa metoda hakerów jest niewykrywalna dla antywirusów

Eksperci ds. cyberbezpieczeństwa z należącej do Google platformy VirusTotal odkryli nową, niepokojącą kampanię phishingową.

Hakerzy wykorzystują w niej pozornie nieszkodliwe pliki graficzne SVG do dystrybucji złośliwego oprogramowania. Technika ta jest na tyle skuteczna, że w wielu przypadkach potrafi całkowicie ominąć wykrywanie przez popularne programy antywirusowe.

Jak działa atak z wykorzystaniem pliku SVG?

Pliki SVG (Scalable Vector Graphics) to oparty na języku XML format grafiki wektorowej, który w odróżnieniu od tradycyjnych obrazków, jak JPG czy PNG, może zawierać interaktywne elementy, takie jak kod HTML i JavaScript. Cyberprzestępcy wykorzystali tę właściwość, by zamienić pliki graficzne w kompletne zestawy phishingowe. W opisywanej przez VirusTotal kampanii plik SVG udawał oficjalne powiadomienie prawne od kolumbijskiego wymiaru sprawiedliwości. Po jego otwarciu w przeglądarce internetowej użytkownikowi ukazywała się realistycznie wyglądająca strona rządowa z fałszywym paskiem postępu i przyciskiem pobierania.

Sztuczna inteligencja w rękach hakerów. Nowe narzędzie łamie zabezpieczenia w 10 minut

Kliknięcie przycisku powodowało pobranie złośliwego archiwum ZIP. W środku znajdował się podpisany cyfrowo, a więc pozornie legalny, plik wykonywalny przeglądarki Comodo Dragon oraz ukryta, szkodliwa biblioteka DLL. Uruchomienie programu prowadziło do załadowania wspomnianej biblioteki, co w efekcie kończyło się instalacją dalszego złośliwego oprogramowania na komputerze ofiary. Cały proces został zaprojektowany tak, by wzbudzić jak najmniej podejrzeń.

Niewidzialne dla skanerów

Największym zagrożeniem jest fakt, że ta metoda potrafi być niewidoczna dla oprogramowania zabezpieczającego. Analiza VirusTotal powiązała z opisywaną kampanią łącznie 523 pliki SVG. Spośród nich aż 44 w momencie przesłania do analizy były całkowicie niewykrywalne dla któregokolwiek z silników antywirusowych dostępnych na platformie. Hakerzy, aby uniknąć detekcji, stosowali w kodzie plików techniki zaciemniania (obfuskacji) oraz dodawali duże ilości losowych danych, co miało utrudnić analizę statyczną.

To nie jest odosobniony przypadek. Wcześniej w tym roku analitycy z IBM X-Force dokumentowali podobne kampanie wymierzone w banki i firmy ubezpieczeniowe. Problem dostrzegł również Microsoft, który w odpowiedzi na rosnące zagrożenie postanowił wycofać obsługę renderowania plików SVG bezpośrednio w wiadomościach w internetowej wersji Outlooka oraz nowej aplikacji dla systemu Windows. Na razie użytkownikom zaleca się traktowanie nieznanych plików SVG z taką samą ostrożnością, jak każdego innego potencjalnie niebezpiecznego załącznika.

Wyścig zbrojeń w sieci. Hakerzy i eksperci od bezpieczeństwa walczą na sztuczną inteligencję

#Antywirus #bezpieczeństwoIT #cyberbezpieczeństwo #hakerzy #malware #news #ochronaPrzedWirusami #phishing #plikiGraficzne #SVG #VirusTotal #złośliweOprogramowanie

Mosyle identyfikuje nowe złośliwe oprogramowanie Mac

To spore ostrzeżenie! Mosyle, lider w zarządzaniu i bezpieczeństwie urządzeń Apple, ujawnił na wyłączność serwisowi 9to5Mac szczegóły dotyczące nowego szczepu złośliwego oprogramowania dla komputerów Mac, nazwanego „JSCoreRunner”.

Zagrożenie zero-day omijało wszystkie wykrycia na VirusTotal w momencie odkrycia, rozprzestrzeniając się przez złośliwą stronę konwersji PDF o nazwie fileripple[.]com, aby nakłonić użytkowników do pobrania czegoś, co wydaje się być nieszkodliwym narzędziem.

Oto najważniejsze fakty o nowym malware JSCoreRunner, które ujawnił Mosyle.

Co to jest?

• Nowe złośliwe oprogramowanie dla macOS, sklasyfikowane jako Trojan/Adware.
• Rozpowszechniane przez fałszywą stronę konwersji plików PDF – fileripple[.]com.
• W momencie odkrycia miało zero detekcji w VirusTotal (czyli żaden silnik AV go nie wykrywał).

Jak to działa?

1. Pierwszy etap (FileRipple.pkg)
   • Podszywa się pod narzędzie do konwersji PDF.
   • Tworzy fałszywe okno z „działającym” programem, podczas gdy w tle odpala szkodliwy kod.
   • Podpis cyfrowy został cofnięty przez Apple → macOS już blokuje ten pakiet.
2. Drugi etap (Safari14.1.2MojaveAuto.pkg)
   • Niepodpisany pakiet, więc Gatekeeper go nie blokuje z automatu.
   • Pobierany z tej samej domeny.
   • Odpowiada za faktyczne zainfekowanie systemu.
3. Działanie malware
   • Kontaktuje się z serwerem C2.
   • Usuwa atrybut „quarantine” → macOS nie ostrzega przy uruchomieniu.
   • Wstrzykuje się w profil Chrome (~/Library/Application Support/Google/Chrome/).
   • Tworzy nowe ustawienia wyszukiwarki i przekierowuje zapytania do fałszywego engine’u.
   • Może prowadzić do keyloggowania, phishingu, kradzieży danych i pieniędzy.

Co robić, żeby się chronić?

• Nie pobierać narzędzi z przypadkowych stron (szczególnie „free file converters”).
• Sprawdzać podpis cyfrowy aplikacji przed instalacją.
• Aktualizować macOS – Apple często blokuje złośliwe certyfikaty.
• W przeglądarce Chrome sprawdzić ustawienia wyszukiwarek – czy nie ma podejrzanych wpisów.
• W razie podejrzeń usunąć pliki .pkg i sprawdzić ~/Library/Application Support/Google/Chrome/.

Checklista bezpieczeństwa dla Twojego Maca

1. Sprawdź podejrzane pliki instalacyjne
   • <Otwórz Finder → Aplikacje → Pobrane.
   • Szukaj plików .pkg z nazwami: FileRipple.pkg, Safari14.1.2MojaveAuto.pkg
   • Usuń je, jeśli są obecne.
2. Zweryfikuj certyfikaty i Gatekeeper
   • Otwórz Preferencje systemowe → Bezpieczeństwo i prywatność → Ogólne.
   • Sprawdź, czy nie ma ostrzeżeń o aplikacjach od niezweryfikowanych deweloperów.
   • Usuń wszelkie aplikacje, które są niepodpisane lub odwrócone przez Apple.
3. Przejrzyj profile przeglądarki Chrome
   • Wejdź w katalog: ~/Library/Application Support/Google/Chrome/
   • Sprawdź wszystkie foldery profili (domyślny i dodatkowe).
   • Otwórz plik Preferences (tekstowy) i wyszukaj podejrzane wpisy w: search_engine oraz TemplateURL
   • Usuń wszelkie nietypowe, nieznane adresy wyszukiwarki.
4. Sprawdź procesy systemowe
   • Uruchom Monitor aktywności (Activity Monitor).
   • Szukaj procesów działających w tle, które nie pasują do znanych aplikacji.
   • Jeśli znajdziesz coś podejrzanego → zakończ proces i zanotuj nazwę.
5. Weryfikacja sieci i połączeń
   • Sprawdź aktywne połączenia sieciowe – wejdź w Terminal i uruchom komendę: lsof -iTCP -sTCP:ESTABLISHED
   • Poszukaj połączeń do nieznanych serwerów (JSCoreRunner kontaktuje się z serwerem C2).
6. Aktualizacja i czyszczenie
   • Zaktualizuj macOS do najnowszej wersji.
   • Zaktualizuj Chrome i wszystkie wtyczki.
   • Usuń pliki tymczasowe i cache (przez Finder → Idź → Idź do folderu → ~/Library/Caches/).

#adwareMac #Apple #bezpieczeństwoIT #bezpieczeństwoMac #cyberbezpieczeństwo #fałszywePDF #FileRipple #Gatekeeper #GoogleChrome #JSCoreRunner #Mac #malware #ochronaDanych #ochronaPrywatności #ochronaPrzeglądarki #phishing #Safari1412MojaveAuto #TrojanMac #zagrożeniaZeroDay #zarządzanieUrządzeniamiApple #złośliweOprogramowanie

Wyciek 184 milionów loginów i haseł pobranych przez złośliwe oprogramowanie z niechronionej bazy danych

Badacz ds. cyberbezpieczeństwa Jeremiah Fowler odkrył niezabezpieczoną bazę danych zawierającą w 47,42 GB, aż 184 milionów unikalnych loginów i haseł z całego świata. Baza zawierała rózne dane autoryzacyjne do kont serwisów, usług i aplikacji takich jak produkty Microsoftu, Facebook, Instagram, Snapchat, Roblox i wielu innych, w tym tych o charakterze bankowym, zdrowotnym i rządowym.

https://kontrabanda.net/r/wyciek-184-milionow-loginow-i-hasel-pobranych-przez-zlosliwe-oprogramowanie-z-niechronionej-bazy-danych/

#Cyberbezpieczeństwo #Informacje #Wyciek #ZłośliweOprogramowanie