Who is calling? CRDThief targets Linux VoIP softswitches

 

ESET researchers have discovered and analysed malware that targets Voice over IP (VoIP) softswitches.

 By Anton Cherepanov

 This new malware that we have discovered and named CDRThief is designed to target a very specific VoIP platform, used by two China-produced softswitches (software switches): Linknat VOS2009 and VOS3000. A softswitch is a core element of a VoIP network that provides call control, billing, and management. These softswitches are software-based solutions that run on standard Linux servers.

 The primary goal of the malware is to exfiltrate various private data from a compromised softswitch, including call detail records (CDR). CDRs contain metadata about VoIP calls such as caller and callee IP addresses, starting time of the call, call duration, calling fee, etc.

 To steal this metadata, the malware queries internal MySQL databases used by the softswitch. Thus, attackers demonstrate a good understanding of the internal architecture of the targeted platform.

Linux/CDRThief analysis

 We noticed this malware in one of our sample sharing feeds, and as entirely new Linux malware is a rarity, it caught our attention. What was even more interesting was that it quickly became apparent that this malware targeted a specific Linux VoIP platform. Its ELF binary was produced by the Go compiler with the debug symbols left unmodified, which is always helpful for the analysis.

 To hide malicious functionality from basic static analysis, the authors encrypted all suspicious-looking strings with XXTEA and the key fhu84ygf8643, and then base64 encoded them. Figure 1 shows some of the code the malware uses to decrypt these strings at runtime.

 Complete article on: https://www.welivesecurity.com/2020/09/10/who-callin-cdrthief-linux-voip-softswitches/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-110920

 

 

Une faille permet de contourner la vérification du PIN de Visa sans contact

Cette vulnérabilité pourrait permettre aux criminels d'accumuler des frais frauduleux sur les cartes sans avoir besoin d’en connaître les codes PIN.

Amer Owaida

Une équipe de chercheurs de l’École polytechnique fédérale de Zurich (ETH Zurich) a découvert une faille de sécurité dans le protocole sans contact EMV de Visa qui pourrait permettre aux attaquants d’effectuer des attaques par contournement du code PIN et de commettre des fraudes par carte de crédit.

Petite mise en contexte : il y a généralement une limite au montant que vous pouvez payer pour des biens ou des services en utilisant une carte sans contact. Une fois cette limite dépassée, le terminal de la carte demande au titulaire de la carte de vérifier son identité en saisissant son code PIN.

 

Toutefois, cette nouvelle étude, intitulée The EMV Standard: Break, Fix, Verify, a montré qu’un criminel qui a accès à une telle carte de crédit peut exploiter la faille pour des achats frauduleux sans avoir à entrer le code PIN, même dans les cas où le montant dépasse la limite.

 

Les chercheurs ont démontré comment l’attaque peut être réalisée en utilisant deux téléphones Android, une carte de crédit sans contact et une application Android de démonstration de concept qu’ils ont développée spécifiquement à cette fin.

 

« Le téléphone proche du terminal de paiement est l’appareil émulateur de carte de l’attaquant et le téléphone proche de la carte de la victime est l’appareil émulateur de point de vente de l’attaquant. Les appareils de l’attaquant communiquent entre eux par WiFi, et avec le terminal et la carte par NFC », précise les chercheurs, ajoutant que leur application n’a pas besoin de privilèges spéciaux de type root ou de hacks Android pour fonctionner.

 

 

Article complet sur:

https://www.welivesecurity.com/fr/2020/09/09/faille-code-pin-visa-sans-contact/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-110920

Sécuriser les paiements par smartphone: ESET lance la version 6.0 de Mobile SEcurity

 

ESET, un leader global en cybersécurité, vient de lancer la version 6.0 d’ESET Mobile Security (EMS) une solution primée, qui protège contre une multitude de menaces en sécurité mobile Android comme les logiciels malveillants et le phishing. Désormais EMS  dispose d’une fonctionnalité supplémentaire : la protection des paiements lors de transactions financières.

ESET Mobile Security protège les données des utilisateurs contre les pertes, les fuites et les utilisations abusives grâce à une protection renforcée contre les logiciels malveillants et offre un environnement de navigation sécurisé grâce à sa fonction anti-hameçonnage. De plus, EMS protège les utilisateurs contre la perte physique et le vol de leur appareil. En se connectant à my.eset.com, EMS leur fournit autant d'informations en temps réel que possible sur l'état et la localisation de cet appareil.

La version Premium  de la solution Mobile Security 6.0 introduit une nouvelle couche de sécurité pour les utilisateurs d’EMS. La fonctionnalité de protection des paiements (Payment Protection) protège les utilisateurs contre les  applis qui utilisent des informations financières sensibles telles que les transactions bancaires et les achats en ligne. Cette fonctionnalité catégorise automatiquement toutes les applications installées à partir de Google Play Store qui tombent dans la catégorie Finance et elle  les scanne à la recherche de menaces potentielles. A cette liste, l'utilisateur peut également ajouter d'autres applis installées ne faisant pas nécessairement partie de la catégorie Finance.

Une icône "lanceur sécurisé" est ajoutée à la liste des applications de l'utilisateur. Ainsi, celles concernant les données financières sensibles peuvent être lancées et sont protégées contre les logiciels malveillants ou les fausses applis qui pourraient tenter de voler des informations d'identification en répliquant les écrans de connexion. Si une application n'est pas lancée à partir du module de lancement sécurisé, Mobile Security continuera à exécuter une analyse de base pour les problèmes non résolus d'antivirus, l'utilisation du réseau ouvert et l'état de base de l'appareil.

Pour renforcer encore davantage l'engagement d'ESET en matière de protection mobile Android de pointe, la société a obtenu le certificat MRG Effitas dans le cadre du programme d'évaluation Android 360 ° Q1 2020 (Android 360° Assessment Programme Q1 2020 ) de MRG Effitas, un leader mondial en tests indépendants d'efficacité, de recherche et d'expertise en matière de sécurité informatique. Comme souligné dans le rapport, les appareils Android sont utilisés par environ 2,3 milliards de personnes dans le monde et, avec les logiciels malveillants basés sur Android en constante augmentation, il est indispensable que les solutions antivirus protègent contre 100% des menaces.

Lors de son développement, la version 6.0 a également subi des modifications afin d’améliorer les fonctionnalités intuitives et la facilité d’utilisation. Il s’agit, entre autres, de la fonctionnalité de filtrage des appels permettant aux utilisateurs de se protéger contre les appels entrants indésirables ainsi qu’une refonte de la fonctionnalité antivol qui permet une intégration et une réinitialisation simplifiées de mots de passe.

Branislav Orlík, responsable produit chez ESET, déclare: «Les appareils mobiles font partie intégrante de notre vie quotidienne et vont bien au-delà du simple besoin d'appeler ou d'envoyer un message à nos amis et à notre famille. Nos appareils mobiles sont désormais la voie directe vers nos portefeuilles, nos souvenirs et nos emplois. Il est donc d’importance capitale que les données personnelles soient sécurisées et tout particulièrement les données financières sensibles. Avec cette nouvelle version d'ESET Mobile Security, nous voulons nous assurer qu’en plus d'être protégés contre les logiciels malveillants et les tentatives de phishing,  nos utilisateurs se sentent totalement en sécurité lorsqu'ils effectuent des transactions financières sur leurs appareils. Chez ESET, nous nous consacrons à la sécurité des utilisateurs de technologie à travers le monde et sommes fiers d'être reconnus pour nos solutions de sécurité innovantes et fiables. »

Pour plus d’information, cliquez sur ESET Mobile Security.

A propos d’ESET

Depuis 30 ans, ESET® développe des logiciels et des services de sécurité IT de pointe destinés aux entreprises et aux consommateurs, partout dans le monde. Avec des solutions allant de la sécurité des terminaux et des mobiles jusqu’à des solutions de chiffrement et d’authentification à deux facteurs, les produits conviviaux et hautement performants d’ESET confère aux consommateurs et aux entreprises la tranquillité d’esprit nécessaire pour pleinement tirer parti des potentiels de leurs technologies. ESET assure une protection et une surveillance discrète 24 h sur 24, mettant les solutions de protection à jour en temps réel afin de garantir la sécurité des utilisateurs et les activités des entreprises, sans la moindre interruption. Les menaces en constante évolution requièrent une société spécialisée en sécurité IT qui soit elle-même évolutive. S’appuyant sur ses divers centres R&D de par le monde, ESET est la première société de sécurité IT à avoir décroché 100 récompenses Virus Bulletin VB100 et ayant identifié, sans exception, tous les maliciels en circulation et ce, sans interruption depuis 2003. Pour toute information complémentaire, consultez le site www.eset.com ou suivez-nous sur LinkedIn, Facebook et Twitter.

UK University suffers cyberattack, ransomware gang claims responsibility

 

The cyber-incident has taken most of Newcastle University’s systems offline and officials estimates it will take weeks to recover. 

 Amer Owaida

While students are slowly preparing to return to their universities and colleges after a prolonged absence due to the COVID-19 pandemic, Newcastle University in England has been left reeling from a cybersecurity incident that has affected almost all its systems. 

The university first became aware of the cyber-incident disrupting its networks and IT systems on Sunday, August 30th, and deployed a full incident response plan to evaluate the extent of the issue and stabilize the situation. 

Although Newcastle University only stated that it suffered a cyberattack without identifying a culprit: according to BleepingComputer, the DoppelPaymer ransomware gang is claiming credit for the attack, sharing 750Kb (sic) of stolen data on their website as proof. 

Due to the early stage of the investigation, officials did not disclose whether any personal information was compromised. They however insisted that the university takes the security of its systems seriously and that it responded quickly to the situation. 

Moreover, they confirmed that there was no evidence that the university payroll data had been compromised, adding that their online payment system has not been affected either, since it is managed offsite by the university’s payment provider. 

The incident response also brings issues itself. “All University systems – with the exceptions of those listed in the communications (Office365 – including email and Teams, Canvas and Zoom) are either unavailable or available but with limitations. Access may cease at any point,” officials said  on the dedicated incident webpage. 

University officials also warned that many of its IT systems will not be working and those that currently are operational may be taken offline without prior notice, staff may also lose access to their accounts without notice and devices may be removed if they have been impacted by the incident. The university also went on to recommend that students and staff should transfer any essential or critical data to their OneDrives.   

An update from the University Executive Board to the staff has revealed that the ongoing IT issues have forced teams at the Faculty of Medical Sciences to register over 1,000 returning medical students manually over the weekend, before they were set to return on Monday. 

Newcastle University’s IT service (NUIT) is working to recover its systems while aiding the Police and the National Crime Agency in their investigation. 

The UK’s Internet Commissioner’s Office has been notified as well. 

Universities falling victim to cyberattacks are not an unusual occurrence, since besides handling the personal data of employees and students, they tend to work on highly valuable research.  In 2019 a malware infestation led to a curious password retrieval process, where 38,000 people were forced to pick up their passwords in person.