How to be Rich With Loans? | Financial Education | कर्ज लेकर करोड़ो कमाओ | BookPillow

दोस्तों आप सभी एक ऐसी कंपनी के प्रोडक्ट यूज करते हैं हर दिन जिस कंपनी का नाम था पहले पीठ खुजा हो मैं मजाक नहीं कर रहा हूं 1996 में लरी पेज एंड सर्ग ब्रिन जो फाउंडर्स हैं googleupdate.exe या ब्रांड नेम होना कितना जरूरी है और वो समझने के बाद उन्होंने अपना नाम चेंज किया बैक्रब से google2 में लैरी पेज को $100000 दिए जिन पैसों से लैरी एंड सर्गी ने एक गैराज रेंट लिया और लोगों को हायर किया और आज…

View On WordPress

Venezuela Kamu Kurumları Siber Saldırı Altında

Çeşitli sosyal ve ekonomik krizlerle boğuşan Güney Amerika ülkesi Venezuela’da bu kez kamu kurumları siber saldırıya uğradı. Antivirüs ve internet güvenliği kuruluşu ESET’in tespitlerine göre, zararlı yazılımlar yoluyla gigabaytlarca belge çalındı. Israrlı tehditler ve politik hedefleri olan gruplar söz konusu olduğunda Latin Amerika genellikle göz ardı edilir. Ancak, dikkatleri üstüne çekmeyi başaran, yüksek profilli kuruluşlara karşı devam eden bir siber casusluk vakası var. Bu saldırıların arkasındaki grup, çoğunlukla Venezuela'nın devlet kuruluşlarından gigabaytlarca gizli belge çaldı.  Bu yazı yayımlanırken hâlâ çok aktif olan bu grup, zararlı yazılımlarının yapısını sürekli olarak güncelliyor.

ESET, ilk olarak Nisan 2018'de görülen yeni bir Machete (grubun Python tabanlı araç seti) sürümünü takip ediyordu. Arka kapı zararlısının ana işlevselliği önceki sürümlerle aynı kalırken, bir yıl boyunca yeni özelliklerle genişletilmiştir. ESET araştırmacıları, Mart ayının sonundan Mayıs 2019 sonuna kadar C&C sunucusu ile aktif olarak iletişim kuran 50'den fazla mağdur bilgisayarın bulunduğunu gözlemlediler. Bu, her hafta yüklenen gigabaytlarca veri anlamına gelir. Tehlikedeki bilgisayarların %75'inden fazlası, askeri güçler, eğitim, polis ve dışişleri sektörleri de dahil olmak üzere Venezuela devlet kuruluşlarının bir parçasıydı. Bu durum, Machete zararlı yazılımının Ekvador ordusunu hedef almasıyla Latin Amerika'daki diğer ülkelere de uzanıyor.  Bu zararlı yazılımın bu ülkere dağılımı Görsel 1'de gösterilmiştir.

Görsel 1. 2019'da Machete kurbanı olan ülkeler Zararlı yazılım şebekesi Machete şebekesi etkili hedefli oltalama teknikleri kullanır Latin Amerika ülkelerine odaklanan uzun süren saldırılar, yıllarca istihbarat toplamalarına ve taktiklerini geliştirmelerine olanak sağladı. Hedeflerini, düzenli iletişimlere nasıl karışacaklarını ve çalınacak hangi belgelerin en değerli olduğunu biliyorlar. Machete sadece ortak ofis paketi belgelerini değil, aynı zamanda coğrafi bilgi sistemleri (CBS) yazılımı tarafından kullanılan özel dosya türlerini de çeker. Grup, navigasyon rotalarını ve askeri şebekeleri kullanarak konumlandırmayı tanımlayan dosyalarla ilgileniyor. Machete grubu kurbanlarına özel hazırlanan e-postalar gönderir ve bu e-postalar hedeften hedefe değişir. Bu e-postalar, zararlı yazılımı çalıştıran ve yem olarak sunulan sıkıştırılmış bir çalıştırılabilir dosya eki veya bu dosyaya link içerir. Görsel 2'de, potansiyel kurbana gösterilen tipik bir PDF dosyasını görebilirsiniz. Hedeflerin durumdan şüphelenmemeleri için Machete şebekesi, daha önce çaldığı gerçek belgeleri kullanır. Görsel 2'deki doküman, 21 Mayıs 2019 tarihli, ilgili .zip dosyasının ilk hedeflere gönderildiği aynı gün tarihli gizli bir askeri belgedir. ESET, belirli bir günde çalıntı belgelerin kötü amaçlı yazılımlarla birlikte paketlendiği ve aynı gün yeni kurbanları yemlemek için kullanıldığı bunun gibi daha fazla vaka görmüştü.

Görsel 2. Bir Machete indiricisindeki yem PDF dosyası (mozaiklenmiştir) Yem olarak kullanılan belgeler grubun hedefleri tarafından günde birkaç kez meşru olarak gönderilir ve alınır. Örneğin Radiogramalar Venezuela askeri kuvvetlerinde iletişim için kullanılmış belgelerdir. Saldırganlar, çok ikna edici oltalama e-postaları üretmek için askeriye jargonu ve davranışı bilgilerinden yararlanırlar. Temel özellikler Machete grubu çok aktiftir ve Nisan 2018'de yaymlanan ilk sürümünden beri zararlı yazılımında çeşitli değişiklikler yapmıştır. Daha önceki sürümleri 2014'te Kaspersky ve 2017'de Cylance tarafından tanımlanmıştı. Görsel 3'te Machete zararlı yazılımının yeni sürüm bileşenlerini gösteriyoruz.

Görsel 3. Machete bileşenleri Saldırının ilk bölümü, 7z SFX Builder ile yapılmış, kendi açılabilir bir arşiv dosyası olarak gelen bir indiriciden oluşur. Arşiv kendi kendine ayıklama kodu tarafından paketten çıkarıldıktan sonra, ayıklayıcı bir yem olarak hizmet veren bir PDF veya Microsoft Office dosyasını açar ve ardından arşivden yükleyici yürütülebilir dosyasını çalıştırır. Bu yürütülebilir dosya, gerçek indirici ikili dosyasını (bir py2exeindiricinin hedef URL'sini şifrelenmiş bir dize olarak içeren başka bir kendi ayıklanabilir dosyadır. Gördüğümüz tüm indirme URL'leri Dropbox veya Google Dokümanlar'da bulunmaktadır. Bu URL'lerdeki dosyaların hepsi şifreli yapılandırma ve py2exe arka kapı bileşenleri içeren, kendi ayıklanabilir (RAR SFX) arşivler olmuştur. Ancak Mayıs 2019'dan bu yana Machete şebekesi, indiricileri kullanmayı bıraktı ve yem dosyası ile arka kapı bileşenlerini aynı arşive eklemeye başladı. Py2exe ikili dosyaları Python kodunu edinmek için derlenmiş olabilir. Tüm bileşenler (indiriciler ve arka kapılar) pyobfuscate ile karmaşıklaştırılmıştır. Bu, kötü amaçlı yazılımların önceki sürümlerinde de kullanılmıştır. Görsel 4, bu karmaşık betiklerden birinin bir bölümünü göstermektedir.

Görsel 4. Pyobfuscate ile karmaşıklaştırılmış komut dosyası Ağustos 2018'den bu yana Machete bileşenleri ekstra bir karmaşıklık katmanı ile ulaştırılmıştır. Şimdi komut dosyaları, kod çözüldükten sonra Şekil 4'teki gibi bir komut dosyası üreten zlib'le sıkıştırılmış, base64 kodlu metin bloğu içeriyor. Bu ilk gizlenme katmanı  -gzip parametresi ile pyminifierkullanılarak üretilir. Arka kapı bileşenleri Machete'nin dropper'ı çalıştırılabilir bir RAR SFX'tir. Üç py2exe bileşeni bırakılır: GoogleCrash.exe, Chrome.exe ve GoogleUpdate.exe. Bırakılan tek yapılandırma dosyasıjer.dll'dir ve ‑ AES şifreli dizelerle uyumlu base64 kodlamalı metin‑ içerir. Görsel 5'te bileşenleri özetleyen bir şema gösterilmiştir.

Görsel 5. Machete'nin arka kapı py2exe bileşenleri GoogleCrash.exe zararlı yazılımın ana bileşenidir. Diğer iki bileşenin yürütülmesini zamanlar ve kalıcılık sağlamak için Windows Görev Zamanlayıcı görevleri oluşturur. Chrome.exe bileşeni, mağdur bilgisayardan verş toplamaktan sorumludur. Şunları yapabilir: ·         Ekran görüntüleri alma ·         Klavye basışlarını kaydetme ·         Panoya erişim ·         AES-şifreleme ve belgeleri çekme ·         Yeni eklenen sürücüleri ve kopyalanan dosyaları algılama ·         C&C sunucusundan indirilen diğer ikili dosyaları çalıştırma ·         Sistemden belirli dosyaları alma ·         Birkaç tarayıcıdan kullanıcı profili verilerini alma ·         Kurbanların coğrafi konumu ve yakındaki Wi-Fi ağları hakkında bilgi toplama ·         Çıkarılabilir sürücüleri fiziksel olarak çıkarma işlemi Machete şebekesi hedeflerinden belirli dosya türlerini elde etmekle ilgileniyorlar. Microsoft Office belgelerinin yanı sıra sürücüler şunlar için de aranır: ·         Yedekleme dosyaları ·         Veri tabanı dosyaları ·         Şifreleme anahtarları (PGP) ·         OpenOffice belgeleri ·         Vektör görüntüleri ·         Coğrafi bilgi sistemleri için dosyalar (topografik haritalar, navigasyon rotaları vb.) Kurbanların coğrafi konumu ile ilgili olarak, Chrome.exe yakındaki Wi-Fi ağları hakkında veri toplar ve,Mozilla Konum Hizmeti API'sine gönderir. Kısacası, bu uygulama Bluetooth işaretleri, baz istasyonları veya Wi-Fi erişim noktaları gibi diğer veri kaynakları verildiğinde coğrafi konum koordinatları sağlar. Daha sonra zararlı yazılım, bir Google Haritalar URL'si oluşturmak için enlem ve boylam koordinatlarını alır. Kodun bir kısmı Görsel 6'da gösterilmiştir.

Görsel 6. Coğrafi konum kodu Mozilla Konum Hizmeti'ni kullanmanın avantajı, gerçek bir GPS olmadan coğrafi konuma izin vermesi ve diğer yöntemlerden daha doğru olabilmesi. Örneğin, yaklaşık bir konum elde etmek için bir IP adresi kullanılabilir, ancak kesin konumu belirtmez. Öte yandan, alan için mevcut veriler varsa, Mozilla Konum Servisi, hedefin hangi binada bulunduğu gibi bilgiler sağlayabilir. GoogleUpdate.exe bileşeni, uzak C & C sunucusuyla iletişim kurmaktan sorumludur. Bağlantıyı ayarlamak için yapılandırma bilgileri jer.dll dosyasından okunur: etki alanı adı, kullanıcı adı ve parola. HTTP iletişimi 2019 yılında bir geri dönüş olarak uygulanmasına rağmen Machete için temel iletişim araçları FTP üzerinden yapılmaktadır. Bu bileşen şifreli dosyaları C&C sunucusundaki farklı alt dizinlere yükler, ancak Machete operatörleri tarafından sunucuya konan belirli dosyaları da alır Bu şekilde, kötü amaçlı yazılım yapılandırmasını, kötü amaçlı ikili dosyalarını ve dosya listelerini güncelleyebilir, ayrıca diğer ikili dosyaları indirebilir ve yürütebilir. Sonuç olarak Machete grubu, araştırmacılar teknik açıklamalar ve bu kötü amaçlı yazılımın zararlarıyla ilgili göstergeleri yayınladıktan sonra bile, her zamankinden daha güçlü çalışıyor. ESET aylardır bu tehdidi takip ediyor ve bazen haftalar içinde birçok değişiklik gözlemledi. Bu yayın sırasında, en son değişiklik artık py2exe yürütülebilir olmayan altı arka kapı bileşenini tanıttı. Kötü amaçlı bileşenler için Python komut dosyaları, Python 2.7'ye özgün bir yürütülebilir dosya ve kullanılan tüm kitaplıklar kendi kendine ayıklanan bir dosyaya paketlenir. Machete'in kodunda gördüğümüz çeşitli eserler ve altyapı bize bunun İspanyolca konuşan bir grup olduğunu düşündürüyor. Suistimal edilen bir cihazdaki çıkarılabilir medyaya veri aktarımı yapabilecek bir kodun varlığı, Machete şebekesinin hedeflenen ülkelerden birinde fiziksel varlığının olduğuna işaret olabilir ama yine de bundan emin olamayız. Uzlaşma Göstergelerinin (IoC) tam ve kapsamlı bir listesi tam teknik dokümanda ve GitHub'da bulunabilir. ESET bu tehdidi Python/Machete türünün bir varyantı olarak algılar. Arka kapının ayrıntılı bir analizi için, teknik dokümanımıza bakabilirsiniz Machete, artık daha keskin: Venezuela hükümet kurumları saldırı altında. Eset Read the full article

Original Post from Security Affairs Author: Pierluigi Paganini

A new strain of ransomware tracked as JNEC.a is spreading through an exploit that triggers the recently discovered vulnerability in WinRAR.

The ransomware was involved in the attacks observed by the Qihoo 360 Threat Intelligence Center in the wild, threat actors used an archive named “vk_4221345.rar” that delivers JNEC.a when its contents are extracted with a vulnerable version of WinRAR.

Warning!!!Possibly the first #ransomware (vk_4221345.rar) spread by #WinRAR exploit (#CVE-2018-20250). The attacker lures victims to decompress the archive through embedding a corrupt and incomplete female picture. It renames files with .Jnec extension.https://t.co/MHNgHw7zAI pic.twitter.com/Tn5SoXht2A

— 360 Threat Intelligence Center (@360TIC) March 18, 2019

The vulnerability, tracked as CVE-2018-20250, was discovered by experts at Check Point in February, it could allow an attacker to gain control of the target system.

Over 500 million users worldwide use the popular software and are potentially impacted by the flaw that affects all versions of released in the last 19 years.

The flaw is an “Absolute Path Traversal” issue in the library that could be exploited to execute arbitrary code by using a specially-crafted file archive.

The ransomware encrypts data on the victim’s machine and appends the .Jnec extension to the encrypted data asking a ransom 0.05 bitcoins (about $200).

Once the ransomware has encrypted the files on the victim’s computer, it will generate a Gmail address that victims need to create in order to receive the file decryption key once they will pay the ransom.

This way to identify infected machines represents a novelty in the threat landscape, victims must register the Gmail account provided by the ransomware in order to receive the decryption keys.

The JNEC.a ransomware also drops a ransom note (JNEC.README.TXT) on the infected computer to provide instructions on how to make the payment.

JNEC.a is written in .NET, when the archive is decompressed it shows a corrupted image of a girl that triggers an error and shows an incomplete picture, meanwhile the ransomware is already delivered to the computer.

The attackers renamed the malware dropped in the Startup folder as ‘GoogleUpdate.exe’ in the attempt to deceive the victims.

A few days ago, McAfee reported that attackers are continuing in exploiting the WinRAR flaw in the wild, they identified more than “100 unique exploits and counting” in the first week since the vulnerability was publicly disclosed.

The JNEC.a ransomware still has a low detection rate, it was identified as malicious by 31/71 antivirus of the VirusTotal services.

At the moment of writing, 29 antivirus engines detect JNEC.a as threat, according to the popular malware researcher Michael Gillespie a bug in its code makes it impossible to decrypt files even for the developer.

window._mNHandle = window._mNHandle || {}; window._mNHandle.queue = window._mNHandle.queue || []; medianet_versionId = "3121199";

try { window._mNHandle.queue.push(function () { window._mNDetails.loadTag("762221962", "300x250", "762221962"); }); } catch (error) {}

Pierluigi Paganini

(SecurityAffairs – JNEC.a ransomware, hacking)

The post New JNEC.a Ransomware delivered through WinRAR exploit appeared first on Security Affairs.

#gallery-0-6 { margin: auto; } #gallery-0-6 .gallery-item { float: left; margin-top: 10px; text-align: center; width: 33%; } #gallery-0-6 img { border: 2px solid #cfcfcf; } #gallery-0-6 .gallery-caption { margin-left: 0; } /* see gallery_shortcode() in wp-includes/media.php */

Go to Source Author: Pierluigi Paganini New JNEC.a Ransomware delivered through WinRAR exploit Original Post from Security Affairs Author: Pierluigi Paganini A new strain of ransomware tracked as JNEC.a is spreading through an exploit that triggers the recently discovered…