Tags

12 stron

Backdoor

Ujawniony serwer hakera odsłania backdoory WP-SHELLSTORM w tysiącach witryn WordPress

Otwarty serwer ujawnił operację WP-SHELLSTORM, która zainfekowała tysiące witryn WordPress i Joomla za pomocą backdoorów. Poznaj szczegóły i luki.

Grupa cyberprzestępców pozostawiła otwarty serwer przez trzy tygodnie, ujawniając swoje narzędzia, logi i listy celów ponad 1,4 miliona stron internetowych, co pozwoliło badaczom zrozumieć działanie operacji WS-SHELLSTORM polegającej na masowym hakowaniu i sprzedaży dostępu do zainfekowanych witryn. Szczególne zagrożenie stanowiły luki w wtyczkach Breeze dla WordPress i edytorze JCE dla Joomla, wykorzystywane do instalacji backdoorów, co doprowadziło do udokumentowanych kompromitacji tysięcy stron.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Nowy backdoor GigaWiper dla Windows łączy wymazywanie dysków, fałszywy ransomware i spyware

Nowy backdoor GigaWiper dla Windows od Microsoftu łączy wymazywanie dysków, fałszywy ransomware i spyware. Groźne zagrożenie cybernetyczne.

Microsoft wykrył niszczycielski backdoor GigaWiper dla Windows, który łączy w sobie trzy starsze destrukcyjne narzędzia: wymazywanie całego dysku, nadpisywanie dysku systemowego oraz fałszywy ransomware, który szyfruje pliki bez możliwości ich odzyskania. Złośliwe oprogramowanie, znane również jako BLUERABBIT i powiązane z grupą z Iranu atakującą organizacje izraelskie, działa po uzyskaniu dostępu do systemu, co podkreśla znaczenie wczesnego wykrywania i bezpiecznych kopii zapasowych.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Google ujawnia nowy backdoor Turli: STOCKSTAY w atakach na Ukrainę

Google ujawnia STOCKSTAY, nowy backdoor grupy Turla wykorzystywany w atakach szpiegowskich na Ukrainę. Analiza narzędzia i metod działania.

Grupa Turla, sponsorowana przez rosyjskie państwo, wykorzystuje nowy backdoor .NET o nazwie STOCKSTAY do ataków szpiegowskich na ukraińskie organizacje rządowe i wojskowe, a także podmioty zainteresowane włoską polityką zagraniczną. Narzędzie, opracowywane od grudnia 2022 roku, wykazuje znaczące podobieństwa kodowe i funkcjonalne do wcześniejszego implantatu Kazuar, a jego głównym celem jest gromadzenie informacji i szpiegostwo, często podszywając się pod narzędzia finansowe lub przeglądarki plików.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Wtyczki WordPress ShapedPlugin Pro zainfekowane w ataku łańcucha dostaw

Wtyczki WordPress ShapedPlugin Pro zainfekowane w ataku łańcucha dostaw. Złośliwy kod kradnie dane uwierzytelniające i informacje o zamówieniach.

Nieznani atakujący wykorzystali atak łańcucha dostaw do zainfekowania oficjalnych kanałów dystrybucji wtyczek WordPress firmy ShapedPlugin, wprowadzając do nich kod backdoor. Dotyczy to wersji Pro niektórych wtyczek, które zostały udostępnione przez oficjalne kanały aktualizacji, powodując pobranie złośliwego kodu, który kradnie dane uwierzytelniające i informacje o zamówieniach WooCommerce, a także tworzy ukryte narzędzia do zdalnego wykonywania poleceń.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Chiński backdoor SprySOCKS rozszerza się na Windows z wykorzystaniem sterownika kernel

Chiński backdoor SprySOCKS ewoluuje na Windows, wykorzystując sterowniki kernel do zaawansowanego ukrywania. Odkryto nowe warianty WIN_DRV i WIN_PLUS.

Odkryto nowe warianty backdoora SprySOCKS działającego na systemie Windows, o nazwach WIN_DRV i WIN_PLUS, które wcześniej uważano za przeznaczone wyłącznie dla Linuksa. Te nowe wersje, rozwijane przez chińską grupę hakerską powiązaną z Earth Lusca, wykorzystują sterowniki kernel do ukrywania swojej obecności i sieciowych połączeń, oferując szeroki zakres funkcji od szpiegostwa po zarządzanie plikami i procesami, potencjalnie wykorzystując luki bezpieczeństwa w celu infekcji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Popularne wtyczki WordPressa zhakowane, aby umieścić ukryte backdoory

Popularne wtyczki WordPressa jak PushEngage, OptinMonster i TrustPulse zostały zhakowane, tworząc ukryte backdoory na milionach stron. Sprawdź, czy Twój serwis jest zagrożony.

Atakujący zmodyfikowali zaufane pliki JavaScript popularnych wtyczek WordPressa: PushEngage, OptinMonster i TrustPulse, tworząc w nich ukryte tylne furtki. Kod aktywował się jedynie podczas logowania administratora, tworząc nowe konto administratora pod kontrolą atakującego i instalując niewidzialną wtyczkę, umożliwiając zdalny dostęp do serwera i potencjalnie kradzież danych. Jakikolwiek zainfekowany serwis powinien być traktowany jako skompromitowany.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Backdoor FlutterShell rozprzestrzenia się na macOS przez złośliwe reklamy Google i YouTube

Nowy backdoor FlutterShell atakuje użytkowników macOS przez złośliwe reklamy Google i YouTube. Kampania wykorzystuje złośliwe oprogramowanie dystrybuowane jako legalne aplikacje.

Kampania malvertisingowa “Operation FlutterBridge” wykorzystuje złośliwe reklamy Google i YouTube do dystrybucji nowego backdoor’a na macOS, nazwanego FlutterShell. Złośliwe oprogramowanie, zbudowane na frameworku Flutter, nie tylko rozsyła adware, ale także posiada funkcje backdoor, takie jak wykonywanie poleceń systemowych, manipulacja plikami i eksfiltracja zmiennych środowiskowych, a jego budowa pozwala na dynamiczne zmiany w działaniu bez konieczności aktualizacji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Wykryto backdoor kradnący dane w trzech wersjach pakietu node-ipc, celujący w dane deweloperów

Wykryto backdoor kradnący dane w trzech wersjach pakietu npm node-ipc. Złośliwe oprogramowanie celuje w dane deweloperów i sekretne klucze chmurowe.

Odkryto złośliwe oprogramowanie w trzech wersjach pakietu npm node-ipc: 9.1.6, 9.2.3 i 12.0.1. Wersje te zawierają ukryte funkcje kradzieży danych i backdoor, które zbierają poufne informacje o programistach i chmurze, kompresują je i wysyłają na zewnętrzny serwer kontrolowany przez atakujących, a także stosują innowacyjne metody ukrywania ruchu sieciowego.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Krytyczna luka w cPanel jest aktywnie wykorzystywana do wdrażania backdoor'a Filemanager

Krytyczna luka CVE-2026-41940 w cPanel jest aktywnie wykorzystywana przez hakerów do wdrażania backdoor'a Filemanager i kradzieży danych.

Grupa atakująca znana jako Mr_Rot13 wykorzystuje niedawno ujawnioną krytyczną lukę w zabezpieczeniach cPanel (CVE-2026-41940) do wdrażania backdoor’a nazwanego Filemanager. Ta poważna awaria bezpieczeństwa pozwala na ominięcie uwierzytelniania i uzyskanie zdalnej kontroli nad panelem administracyjnym, co jest wykorzystywane do różnych działań cyberprzestępczych, w tym kopania kryptowalut, ransomware, tworzenia botnetów oraz implantacji backdoorów, a także do kradzieży danych uwierzytelniających użytkowników poprzez spreparowane strony logowania.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Nowy backdoor dla Linuksa PamDOORa wykorzystuje moduły PAM do kradzieży danych uwierzytelniających SSH

Nowy backdoor PamDOORa dla Linuksa kradnie dane uwierzytelniające SSH i zapewnia trwały dostęp przez moduły PAM. Odkryto go na forum cyberprzestępczym.

Nowy backdoor dla Linuksa o nazwie PamDOORa, oferowany na forum cyberprzestępczym za 1600 dolarów, stanowi zaawansowany zestaw narzędzi poeksploatacyjnych oparty na modułach PAM, umożliwiający trwały dostęp przez SSH za pomocą “magicznego hasła” i specyficznej kombinacji portów TCP. Narzędzie to jest w stanie pozyskiwać dane uwierzytelniające wszystkich użytkowników uwierzytelniających się przez zainfekowany system i zostało opisane jako ewolucja istniejących backdoorów PAM.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)