Aktuality - Spam/Viry/Phishing

Před třemi dny vyšel na blogu Avastu článek o trojských koních, které využívají oblíbené služby jako třeba Ulož.to. Svým majitelům pak z napadených počítačů vytvářejí otroky na těžbu Bitcoinů.

Při každé větší mediální údálosti se objeví vlna podvodů využívající vrozené zvědavosti lidí. Nejinak tomu bylo i v případě nového potomka královské rodiny ve Velké Británii.

I když téma botnetů zneužívajících anonymizační sítě TOR není ničím novým, je jejich využití u tvůrců malware stále častější.

Škodlivá aplikace pojmenovaná USBCleaver vyhledává po připojení k počítači pomocí USB hesla uložená prohlížečem na disku a také hesla k wi-fi sítím.

Iniciativa Googlu nazvaná Safe Browsing nyní zaznamenává na 10 000 podezřelých webů denně. Jedná se vesměs o stránky obsahující malware, či podvržené phishingové stránky. Takto nabyté informace jsou použity pro automatizované varování uživatelů Chromu, Firefoxu a Safari.

Na rootu vyšel před pár dny zajímavý článek, pojednávající o v poslední době velmi rozšířené hrozbě, tzv. „policejním viru“. O ransomware jsme vás již na Soomu informovali, tento konkrétní má hezkou českou lokalizaci a za propuštění rukojmích (vašeho PC) požaduje 2 000 Kč. Jak plyne z komentářů pod článkem, ani po zaplacení vám pokoj nedá.

Zmiňovaný článek je součástí seriálu, který na rootu vzniká za přispění národního CSIRT týmu ([link]). Zabývá se analýzou ransomware, kterou provedl bezpečnostní tým CESNET-CERTS ([link]) ve své forenzní laboratoři. Ten se vyskytuje na Windows a žádost o jeho analýzu byla týmu zaslána. Projevuje se tak, že po zapnutí PC vyskočí přes celou obrazovku upozornění o porušení zákonů a výzva k zaplacení pokuty do 48 hodin, jinak hrozí trestní stíhání. Klasická kombinace ctrl+alt+del nefunguje a běžnému uživateli se zdá, že není šance zachránit data a přitom nezaplatit.

Klient forenzní laboratoře dodal týmu stopy - obraz disku a operační paměti napadeného počítače společně se zaznamenanou síťovou komunikací zachycující průběh zadání platby. Byla tedy provedena analýza malware reverzním inženýrstvím (za pomoci OllyDbg a IDA Pro). Ta prozradila rozdělení programu do dvou modulů - část starající se o zapojení PC do botnetu a část se samotnou ransomware aplikací.

Samotné nakažení systému může proběhnout tradičními způsoby - otevření nevhodného souboru z netu, návštěva napadené stránky (případně přesměrování na jinou, obsahující většinou placené exploity) atp. Při analýze byly zjištěny 3 hlavní směry zranitelností - zavirované PDF soubory, zranitelnost v Java Virtual Machine a Internet Exploreru (konkrétně v jeho použivání externích fontů). Tento malware se, jako každý „správný“, opětovně spustí po restartu PC. Toho je dosaženo zápisem do registrů (jmenovitě byl spouštěn zástupce, který pomocí komponenty rundll32.exe aktivoval vstupní bod v knihovně malware wlsidten.dll) a také využívá složku „Po spuštění“. Dalšími možnostmi by mohlo být vytvoření služby, driveru či hooku do kernelu. To by však již vyžadovalo oprávnění „roota“.

Další zajímavostí je fakt, jak tato aplikace blokuje správce úloh - 2x do sekundy kontroluje, zda je okno spuštěné, pokud ano, prostě ho zavře. Také v tomto intervalu obnovuje zápis v registrech. Proti antivirům se brání zakódováním svých knihoven uložených na disku. Poslední, co podle mě stojí za zmínku, je způsob jak tento nezmar komunikuje se svými tvůrci. Hlavní snaha byla směřována k nenápadnosti. Klientská část botnetu tedy vkládá vlastní kód do spuštěného vlákna s aktuálním prohlížečem (tzv. DLL injection) - vše se tedy teče portem 80 (HTTP), kde nevyvolá podezření. Komunikace samotná probíhá přes odkládací soubor kde se vyměňují nashromážděná data i pokyny pro další kroky malware.

Údajné původní tvůrce tohoto SW se již podařilo dopadnout ([link]), na Síti si však program žije vlastním životem a objevuje se stále i v různých obměnách. Rychlý přehled toho, jak vypadá a jak se ho zbavit nabízí video společnosti Sophos na YT ([link]). Pokud si chcete prohlédnout okno spuštěného ransomware či zjistit praktické zkušenosti lidí z diskuze, následujte odkaz v nadpisu. Pokud vás zajímá problematika botnetů, vřele doporučuji další článek na rootu ([link]).

Federální úřad pro vyšetřování varuje před „prodejci aut“, kteří inzerují bez fotografií a zasílají je na žádost. U některých z nich byl totiž přiložen malware. Obrázky se šíří buď přílohou v mailu, anebo pomocí různých webových fotogalerií.

Malware v souboru způsobí přesměrování na podvodnou stránku (vypadající samozřejmě legitimně) a v případě, že si oběť nějaké to auto objedná, po „prodejci“ se slehne zem. Útočníci oslovují různé lidi, např. ty, kteří prohráli v nějaké online aukci.

FBI k tomu dává různé rady typu „zbystřete, pokud je hodnota auta příliš podhodnocená“ či „aktualizujte si veškerý software.“ Pokud se necháte nachytat a přijdete o peníze, máte si vyplnit formulář - [link] .

Jedná ze spamových kampaní posledních dní poškozuje Amazon, jejich jménem totiž rozesílá potvrzení objednávky na zboží. Těchto spamů, kopírujících design Amazonu, v poslední době přibývá.

55palcová TV od různých značek vám po správném kliku dorazí ve formě exploitu z nabídky nejznámějšího kitu Blackhole v balení nejvíce se hodící pro váš operační systém a ostatní programy. Většinou to útočníkům projde, hodně uživatelů nemá jak známo v oblibě okamžitě aktualizovat a záplatovat software.

Po kliknutí na odkaz v mailu je zákazník přesměrován na jeden z infikovaných webů hostovaných v Keni, Německu, Brazílii a Spojených státech. Tyto emaily se začaly objevovat cca před 4 dny. Možná vás napadne, že se přeci zákazníci o všem již dávno dozvěděli. Pravdou však je, že málokdo z nich navštěvuje Soom.cz či podobné weby, když k tomu přičteme základnu zákazníků čítající téměř 140 milionů hlav a fakt, že televizory jsou velmi častým obchodním artiklem, uznáme, že se útočníkům celkem slušně povedlo zacílit „zákazníky“. Zda Amazon varuje zákazníky před hrozbou pomocí mailů nevím, napadá mě však, že i této role by se mohli zhostit útočníci (něco ve smyslu „klikněte, abyste zkontrolovali, zda jste v bezpečí“).

Souběžně s těmito útoky zločinci spustili již v minulosti úspěšné podvodné maily pro majitele účtů PayPal. V milionech spamových mailů dokonce, pravděpodobně z roztržitosti, zapomněli změnit datum transakce - ten zůstal z předchozí akce (18. března tohoto roku).

Nedávno nalezený malware zvaný Beta Bot se tvářil jako slušný webový skript, během posledních 5 měsíců se však vyvinul do významné hrozby. Udělá vše, aby přežil. Nyní již „bankovní trojan“ dokáže blokovat antivirový software, bezpečnostní weby či dokonce jiný malware, aby byl úspěšnější ve své misi.

Beta Bot si vybírá velké banky, sociální sítě a online platební systémy. Nedokáže však nic bez přímého schválení od oběti. Na uživatele vyskočí pop-up okno s dotazem, zda si přeje povolit zmodifikovat počítač pomocí „Windows Command Processor“. Ten však patří mezi základní procesy spuštěné ve Windows, operační systém by se tedy určitě neptal na povolení pro spuštění. To by mělo být varování. Pokud uživatel správně zvolí odpověď, malware se nikdy neaktivuje.

Při špatné volbě „Ano“ si program stáhne další škodlivé aplikace, začne se šířit pomocí Skype či USB a přesměrovává uživatele na hacknuté weby. Ze zařízení uživatelů posílá citlivá data do databáze útočníků.

Jeho odstranění není žádný med díky jeho blokaci nainstalovaných antivirů či zabránění provést update. Dále dokáže zabránit vstupu na weby antivirových firem. Jak již bylo zmíněno, také se snaží deaktivovat všechen ostatní malware, který ve stroji nalezne, aby měl data jen pro sebe. Doporučuje se tedy nahrát antivirové programy na flash disk a přenést do napadeného systému. Poté je však potřeba důkladně flashku zformátovat (nebo použít sebedestrukční flashku [link]).

Tento zajímavý program komentovali třeba také zaměstnanci firmy RSA (ve svém blogu [link]), jejich výzkumník např. také popisuje, že aplikace je možná až moc obecná pro zaměření na bankovní trh a nabízí malou míru úprav pro hackery, kteří si jí koupí.

Tento nový kousek, objevený ruskou antivirovou společností Dr.WEB, prý dokáže zachytit vaše zprávy a přeposlat je k útočníkům. Šíří se jako bezpečnostní certifikát a doporučuje svojí instalaci do systému. Jeho označení je Android.Pincer.2.origin.

Patří do rodiny tzv. Android.Pincer malware ([link]). Po instalaci zobrazí hlášku o tom, jak je váš systém již zabezpečen a v pozadí sbírá všechna vaše data, která jsou zajímavá. Telefonní čísla, informace o OS a zařízení vůbec, IMEI atp. Když zjistí vše, co může, snaží se data odeslat na server. Poté čeká na další instrukce. Ty mohou být různé - od zobrazení určitých zpráv až po zaslání SMS na zvolené číslo.

Vzhledem k možnému čtení SMS je na něj dvoustupňová autentifikace (používaná v mnoha kritických oblastech) krátká, pokud útočník vše stihne včas. Více informací na stránkách firmy Dr.WEB - [link] .