Forwarded from cRyPtHoN™ INFOSEC (DE)
Simjacker: Spionage-Malware greift via SMS auf SIM-Karten zu
Über eine Schwachstelle in vielen SIM-Karten könnten Angreifer Mobiltelefon-Besitzer ausspionieren. Bisher geschah dies aber anscheinend nur in Einzelfällen.
☣️ Sicherheitsforscher wollen Schadcode entdeckt haben, der – von Angreifern mittels spezieller SMS verschickt – auf SIM-Karten zugreifen und dort verschiedene Befehle ausführen kann. Die zugrundeliegende, auf den Namen "Simjacker" getaufte Schwachstelle ermöglicht unter bestimmten Voraussetzungen etwa das Sammeln gerätespezifischer Daten, das Mithören von Gesprächen, das Einschleusen weiterer Malware sowie das Deaktivieren der betreffenden SIM-Karte (Denial-of-Service).
Gesammelte Daten schicke der Schadcode anschließend per SMS an eine vordefinierte Mobilfunknummer des Angreifers. Eine Nutzerinteraktion sei nicht notwendig. Vielmehr bekomme das Opfer von dem Angriff nichts mit, da weder in der SMS-Inbox noch in der -Outbox empfangene oder gesendete Nachrichten auftauchten.
☣️ Angriff über das S@T-Protokoll
Wie aus einem Blogeintrag der Simjacker-Entdecker von AdaptiveMobile Security hervorgeht, ist die Ausnutzbarkeit der Schwachstelle nicht vom Mobiltelefon-Hersteller oder -Modell, sondern davon abhängig, ob auf den SIM-Karten der so genannte S@T Browser (SIMalliance Toolbox Browser) vorhanden ist. Das S@T-Protokoll werde von Mobilfunknetzbetreibern in 30 Ländern mit insgesamt über einer Milliarde Einwohnern genutzt. Welche Länder das sind, schreibt AdaptiveMobile nicht. https://www.adaptivemobile.com/blog/simjacker-next-generation-spying-over-mobile
Im Kontext des S@T Browsers ist es möglich, so genannte STK (SIM Toolkit)-Befehle auf der SIM-Karte auszuführen. Die von den Forschern entdeckte Malware verschicke solche Befehle in S@T-Push-Nachrichten an die Geräte. Das Problem dabei sei, dass die SIM-Karten den Daten- beziehungsweise Code-Download (nebst anschließender Ausführung) aus solchen Nachrichten erlaubten, ohne die Herkunft der Nachrichten zu überprüfen.
Weiter auf:
https://www.heise.de/security/meldung/Simjacker-Spionage-Malware-greift-via-SMS-auf-SIM-Karten-zu-4522785.html
#Simjacker #SIM #Spionage #Malware #Sicherheitslücke
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Über eine Schwachstelle in vielen SIM-Karten könnten Angreifer Mobiltelefon-Besitzer ausspionieren. Bisher geschah dies aber anscheinend nur in Einzelfällen.
☣️ Sicherheitsforscher wollen Schadcode entdeckt haben, der – von Angreifern mittels spezieller SMS verschickt – auf SIM-Karten zugreifen und dort verschiedene Befehle ausführen kann. Die zugrundeliegende, auf den Namen "Simjacker" getaufte Schwachstelle ermöglicht unter bestimmten Voraussetzungen etwa das Sammeln gerätespezifischer Daten, das Mithören von Gesprächen, das Einschleusen weiterer Malware sowie das Deaktivieren der betreffenden SIM-Karte (Denial-of-Service).
Gesammelte Daten schicke der Schadcode anschließend per SMS an eine vordefinierte Mobilfunknummer des Angreifers. Eine Nutzerinteraktion sei nicht notwendig. Vielmehr bekomme das Opfer von dem Angriff nichts mit, da weder in der SMS-Inbox noch in der -Outbox empfangene oder gesendete Nachrichten auftauchten.
☣️ Angriff über das S@T-Protokoll
Wie aus einem Blogeintrag der Simjacker-Entdecker von AdaptiveMobile Security hervorgeht, ist die Ausnutzbarkeit der Schwachstelle nicht vom Mobiltelefon-Hersteller oder -Modell, sondern davon abhängig, ob auf den SIM-Karten der so genannte S@T Browser (SIMalliance Toolbox Browser) vorhanden ist. Das S@T-Protokoll werde von Mobilfunknetzbetreibern in 30 Ländern mit insgesamt über einer Milliarde Einwohnern genutzt. Welche Länder das sind, schreibt AdaptiveMobile nicht. https://www.adaptivemobile.com/blog/simjacker-next-generation-spying-over-mobile
Im Kontext des S@T Browsers ist es möglich, so genannte STK (SIM Toolkit)-Befehle auf der SIM-Karte auszuführen. Die von den Forschern entdeckte Malware verschicke solche Befehle in S@T-Push-Nachrichten an die Geräte. Das Problem dabei sei, dass die SIM-Karten den Daten- beziehungsweise Code-Download (nebst anschließender Ausführung) aus solchen Nachrichten erlaubten, ohne die Herkunft der Nachrichten zu überprüfen.
Weiter auf:
https://www.heise.de/security/meldung/Simjacker-Spionage-Malware-greift-via-SMS-auf-SIM-Karten-zu-4522785.html
#Simjacker #SIM #Spionage #Malware #Sicherheitslücke
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
BSI warnt vor "gefährlichster Schadsoftware der Welt"
Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer neuen Angriffswelle der Schadsoftware Emotet.
☣️ Eine aktuelle Verbreitungskampagne per E-Mail gaukelt den Opfern vor, im Anhang befände sich die Autobiographie des NSA-Whistleblowers Edward Snowden. Stattdessen lauert dort der Schadcode.
Auch Cyberkriminelle machen Sommerpause - nachdem die gefährliche Schadsoftware Emotet in den vergangenen Wochen fast vollständig von der Bildfläche verschwunden war, berichten Cybersicherheitsexperten seit ein paar Tagen wieder von neuen Angriffen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt jetzt vor dem Schadprogramm, das reihenweise Computer in Deutschland befällt. Emotet nistet sich in den Rechnern der Opfer ein und verwendet ihre Kontakte, um sich weiterzuverbreiten. Außerdem kann Emotet über seine Kontrollserver weitere Programme nachladen, etwa Ransomware oder Banking-Trojaner.
Offenbar verbreitet sich die Software derzeit auf mindestens zwei verschiedenen Wegen. In der einen Variante klinkt sich Emotet mit Phishing-Mails in ältere E-Mail-Konversationen ein. Dabei werden meist Absender vorgetäuscht, die tatsächlich mit den Opfern bekannt sind. Erst bei genauerem Hinsehen wird deutlich, dass zwar der Name des Absenders der eines Arbeitskollegen ist, die eigentliche E-Mail-Adresse des Absenders aber gar nicht dazu passt.
☣️ Snowden-Autobiographie als Köder
Eine zweite, neue Taktik der Emotet-Hintermänner nutzt jetzt die Veröffentlichung der Autobiografie von NSA-Whistleblower Edward Snowden als Köder. Die IT-Sicherheitsfirma Malwarebytes veröffentlichte mehrere Screenshots der Phishing-Mails. Auf einer heißt es in holprigem Deutsch "Dies ist das Buch, das die Regierung nicht lesen möchte". Im Anhang befindet sich das vermeintliche Buch in einer Word-Datei. Tatsächlich verbirgt sich dahinter der Schadcode.
Wer neugierig genug ist, den Anhang zu öffnen, wird im nächsten Schritt aufgefordert, Makros zu aktivieren, um den Inhalt anzuzeigen. Das sollte auf jeden Fall unterlassen werden. Denn erst mithilfe der Makro-Funktion kann der Schädling auf dem Rechner Programmcode ausführen und sich einnisten.
#BSI #Malware #Emotet #Schadsoftware #Warnung #Alert
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer neuen Angriffswelle der Schadsoftware Emotet.
☣️ Eine aktuelle Verbreitungskampagne per E-Mail gaukelt den Opfern vor, im Anhang befände sich die Autobiographie des NSA-Whistleblowers Edward Snowden. Stattdessen lauert dort der Schadcode.
Auch Cyberkriminelle machen Sommerpause - nachdem die gefährliche Schadsoftware Emotet in den vergangenen Wochen fast vollständig von der Bildfläche verschwunden war, berichten Cybersicherheitsexperten seit ein paar Tagen wieder von neuen Angriffen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt jetzt vor dem Schadprogramm, das reihenweise Computer in Deutschland befällt. Emotet nistet sich in den Rechnern der Opfer ein und verwendet ihre Kontakte, um sich weiterzuverbreiten. Außerdem kann Emotet über seine Kontrollserver weitere Programme nachladen, etwa Ransomware oder Banking-Trojaner.
Offenbar verbreitet sich die Software derzeit auf mindestens zwei verschiedenen Wegen. In der einen Variante klinkt sich Emotet mit Phishing-Mails in ältere E-Mail-Konversationen ein. Dabei werden meist Absender vorgetäuscht, die tatsächlich mit den Opfern bekannt sind. Erst bei genauerem Hinsehen wird deutlich, dass zwar der Name des Absenders der eines Arbeitskollegen ist, die eigentliche E-Mail-Adresse des Absenders aber gar nicht dazu passt.
☣️ Snowden-Autobiographie als Köder
Eine zweite, neue Taktik der Emotet-Hintermänner nutzt jetzt die Veröffentlichung der Autobiografie von NSA-Whistleblower Edward Snowden als Köder. Die IT-Sicherheitsfirma Malwarebytes veröffentlichte mehrere Screenshots der Phishing-Mails. Auf einer heißt es in holprigem Deutsch "Dies ist das Buch, das die Regierung nicht lesen möchte". Im Anhang befindet sich das vermeintliche Buch in einer Word-Datei. Tatsächlich verbirgt sich dahinter der Schadcode.
Wer neugierig genug ist, den Anhang zu öffnen, wird im nächsten Schritt aufgefordert, Makros zu aktivieren, um den Inhalt anzuzeigen. Das sollte auf jeden Fall unterlassen werden. Denn erst mithilfe der Makro-Funktion kann der Schädling auf dem Rechner Programmcode ausführen und sich einnisten.
Weiter auf:https://www.sueddeutsche.de/digital/bsi-malware-emotet-it-sicherheit-1.4614953
#BSI #Malware #Emotet #Schadsoftware #Warnung #Alert
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
🚨 Malware Warnung 🚨
Aktuell wird in Telegram-Gruppen wieder aktiv Malware verteilt.
Es handelt sich um eine .exe Datei, deren Name in der Regel der Thematik der jeweiligen Gruppe widerspiegelt.
Die .exe Datei hat immer 2.6 MB.
❗️Ausführbare Dateien, vor dem öffnen immer überprüfen
❗️Achtet auf die Dateigröße und seltsame Namen
‼️ Wenn ihr in einer eurer Gruppen eine solche .exe Datei mit genau 2.6 MB sehen solltet, informiert bitte einen Admin und warnt die anderen User. ‼️
https://www.virustotal.com/gui/file/279abdad31bf6eaf6fa9b182dad32806060c06d4107c9a96d0738c26427eeb9b/detection
👀 Betroffene Gruppe:
https://tttttt.me/redmi3com
#Alert #Malware #Telegram
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN
Aktuell wird in Telegram-Gruppen wieder aktiv Malware verteilt.
Es handelt sich um eine .exe Datei, deren Name in der Regel der Thematik der jeweiligen Gruppe widerspiegelt.
Die .exe Datei hat immer 2.6 MB.
❗️Ausführbare Dateien, vor dem öffnen immer überprüfen
❗️Achtet auf die Dateigröße und seltsame Namen
‼️ Wenn ihr in einer eurer Gruppen eine solche .exe Datei mit genau 2.6 MB sehen solltet, informiert bitte einen Admin und warnt die anderen User. ‼️
https://www.virustotal.com/gui/file/279abdad31bf6eaf6fa9b182dad32806060c06d4107c9a96d0738c26427eeb9b/detection
👀 Betroffene Gruppe:
https://tttttt.me/redmi3com
#Alert #Malware #Telegram
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
Zippyshare: Sharehoster verbreitet Malware, SSL-Zertifikat war abgelaufen
Via Malvertising verbreitet seit ein paar Tagen ein Script auf dem Sharehoster Zippyshare Schadsoftware. Betroffen ist die Downloadseite.
Der Sharehoster Zippyshare steht in mehreren Untergrund-Foren derzeit in der Kritik. Offenbar wird von dort seit ein paar Tagen vermehrt Schadsoftware verbreitet. Beispielsweise das illegale Musik-Portal CannaPower warnt explizit vor der Benutzung dieses Anbieters.
Im Forum von CannaPower mutmaßt man, Cyberkriminelle könnten über die Werbung ein bösartiges Script auf den Sharehoster Zippyshare eingeschleust haben. Man rät allen Nutzern dazu, die Seite derzeit mit größter Vorsicht zu benutzen.
👀 👉🏼 https://tarnkappe.info/zippyshare-sharehoster-verbreitet-malware-ssl-zertifikat-war-abgelaufen/
#zs #zippyshare #malware #malvertising #alert #warnung
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Via Malvertising verbreitet seit ein paar Tagen ein Script auf dem Sharehoster Zippyshare Schadsoftware. Betroffen ist die Downloadseite.
Der Sharehoster Zippyshare steht in mehreren Untergrund-Foren derzeit in der Kritik. Offenbar wird von dort seit ein paar Tagen vermehrt Schadsoftware verbreitet. Beispielsweise das illegale Musik-Portal CannaPower warnt explizit vor der Benutzung dieses Anbieters.
Im Forum von CannaPower mutmaßt man, Cyberkriminelle könnten über die Werbung ein bösartiges Script auf den Sharehoster Zippyshare eingeschleust haben. Man rät allen Nutzern dazu, die Seite derzeit mit größter Vorsicht zu benutzen.
👀 👉🏼 https://tarnkappe.info/zippyshare-sharehoster-verbreitet-malware-ssl-zertifikat-war-abgelaufen/
#zs #zippyshare #malware #malvertising #alert #warnung
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Tarnkappe.info
Zippyshare: Sharehoster verbreitet Malware, SSL-Zertifikat war abgelaufen
Via Malvertising verbreitet seit ein paar Tagen ein Script auf dem Sharehoster Zippyshare Schadsoftware. Betroffen ist die Downloadseite.
Golem.de:
Azure, Office, Windows: Deutschland will Microsoft für die Bundescloud testen
#Bundesregierung #Microsoft
Bei der Bundescloud ist wohl wieder Microsoft-Hilfe im Gespräch․ Die Regierung sei unfähig, IT-Projekte selbstständig umsetzen zu können․
Microsoft: FBI löscht Exchange-Trojaner von befallenen Rechnern
#Microsoft #Malware
Während das FBI Hacker hackt, findet die NSA neue Exchange-Lücken und Microsoft bietet Updates kritischer und bereits ausgenutzter Sicherheitslücken․
https://www.golem.de/news/microsoft-fbi-loescht-exchange-trojaner-von-befallenen-rechnern-2104-155711-rss.html
Azure, Office, Windows: Deutschland will Microsoft für die Bundescloud testen
#Bundesregierung #Microsoft
Bei der Bundescloud ist wohl wieder Microsoft-Hilfe im Gespräch․ Die Regierung sei unfähig, IT-Projekte selbstständig umsetzen zu können․
Microsoft: FBI löscht Exchange-Trojaner von befallenen Rechnern
#Microsoft #Malware
Während das FBI Hacker hackt, findet die NSA neue Exchange-Lücken und Microsoft bietet Updates kritischer und bereits ausgenutzter Sicherheitslücken․
https://www.golem.de/news/microsoft-fbi-loescht-exchange-trojaner-von-befallenen-rechnern-2104-155711-rss.html
Golem.de
FBI löscht Exchange-Trojaner von befallenen Rechnern
Während das FBI Hacker hackt, findet die NSA neue Exchange-Lücken und Microsoft bietet Updates kritischer und bereits ausgenutzter Sicherheitslücken.