Aktuality - Spam/Viry/Phishing

Zaměstnanci firmy Trend Micro zaznamenali obrovský nárůst infekcí malware podobných známému trojskému koni Zeus (ZBOT). Tento trend podle nich potvrzuje jejich predikci na rok 2013.

V lednu tohoto roku se tyto trojské koně podařilo téměř vymýtit díky Microsoftu a jeho snaze odstavit útočící servery a pátrat po lidech v pozadí (více [link] či starší [link]). Přesto se v březnu objevily mnohé nové varianty založené na Zeusu. Základem je vždy zaměření na krádeže dat, povětšinou z finančního sektoru, novější verze pozměňují také Windows Host soubor pro větší nadvládu nad systémem. Poté například zamezují uživatelům přístup na weby spojené s bezpečností.

Více zajímavých informací přímo na webu Trend Micro - [link] .

Podle nedávné studie (PDF - [link]) je Google až 5x bezpečnější než Bing. Alespoň co se týče bezpečnosti z hlediska množství „vyhledaného malware.“

Do testu nezávislé bezpečnostní instituce AV-TEST bylo zahrnuto téměř 40 milionů odkazů z vyhledávání. Analýza se týkala již zmiňovaných velikánů, dále také vyhledávačů Yandex, Baidu, Faroo či Teroma. Podíl všech odkazů a odkazů na infikované stránky byl rozdílný - nejlepší Google měl 0,025 promile, nejhorší Yandex až 0,24 promile. To odpovídá jednomu odkazu s překvapením z každých 4200.

Objevil se nový program, který využívá dobrého jména webu SourceForge.net (repozitář zdrojových kódů). Šíří se z domény sourceforgechile.net, registrované na počátku tohoto měsíce. Škodlivý kód se tváří jako doplněk do populární hry Minecraft.

Soubor pod názvem „minecraft_1.3.2.exe“ může být stažen z podvodné stránky SourceForge a je úzce spjat trojským koněm ZeroAccess (jeho úkolem je skrýt se na cílovém PC (konkrétně v koši) a podmanit si ho ve prospěch botnetu, „klikat na reklamy“ a tím jeho tvůrcům vydělávat). Další popis toho, co umí najdete na blogu Juliena Sobriera ([link]) z firmy Zscaler.

Jedinou radou pro uživatele může být stahování pouze z důvěryhodných zdrojů a hlavně kontrola URL před započetím stahování.

Ukázka toho, jak jsou tvůrci malware stále vynalézavější, se nyní naskytla díky Microsoftu.

Velmi sofistikovaný trojský kůň pod názvem Win32/Nemim.gen.A za sebou nenávratně maže stažené a již použité komponenty. Nepomáhají ani nástroje na obnovu smazaných souborů. Je tedy těžké je analyzovat. Na svém blogu o tom informoval ([link]) Jonathan San Jose z Microsoftu (člen Centra ochrany proti malware).

Co se tedy Microsoftu podařilo je zachytit některé komponenty při putování ze serveru. Proto mohli určit hlavní činnosti viru - snaha o infikování spustitelných souborů na externích úložištích a získání přístupových dat k emailovým účtům a službám Microsoftu či Googlu.

Analytik Paul Henry ze společnosti Lumension řekl: „ V zásadě lze říci, že malware, který se snaží skrýt stopy svého působení před komunitou bezpečnostních výzkumníků, se stal již jakousi normou.“ Dále dodává, že některý malware dokonce pozná, že je ve virtualizované stanici pro analýzu škodlivých kódů a přestane vykonávat svojí činnost.

Včera vyšel na blogu Pavla Bašty článek o nebezpečném malwaru, který byl „ke stažení“ v odkazu zprávy na Skypu. Pan Bašta pracuje jako bezpečnostní analytik ve sdružení CZ.NIC.

Jak popisuje, odkaz na stažení škodlivého programu jim zaslal uživatel z ČR, kterému přišel vzkaz ve tvaru:

www.goo.gl/XXXXXXX=IMG0540240-JPG 

Na Chipu vyšel článek (převzatý z blogu bezpečnostního experta Rika Fergusona [link]), který pojednává o stavu mobilního malware. Ten je, jak autor sám píše, již několik let takovým trapasem bezpečnostních expertů - na konci několika minulých let vždy prohlašují, že příští rok bude rokem mobilního malware. A vždy se mílí.

Ve skutečnosti od roku 2004, kdy byl nalezen Cabir (první vir pro mobily), dělá malware na této platformě pokroky. Firma Trend Micro, která se specializuje na analýzu aplikací pro Android vydává statistiky ([PDF] - [link]), kde jim přiděluje hodnocení v různých kategoriích. Jedná se o škodlivost, spotřebu zdrojů a privátnost dat.

Z celkového počtu více než 2 milionů aplikací (velké číslo, když vezmeme v potaz, že na celém Google Play je jich „pouze“ 700 000) bylo zjištěno následující:

- téměř 300 000 aplikací bylo klasifikováno jako otevřeně škodlivých, z toho téměř 70 000 přímo na Google Play
- u 22 % aplikací byl zjištěn neoprávněný únik uživatelských dat (přes síť, SMS,...). Jednalo se o IMEI ([link]), ICCID („sériové číslo SIM karty“), kontakty atp. U některých byla dokonce využita kamera či mikrofon.
- třetina všech aplikací byla vyhodnocena jako špatných, vzhledem k využívání paměti, sítě a baterie

Správným příkladem pro Google Play či AppStore může být např. společnost BlackBerry, která ve svém Blackberry World integrovala službu Mobile App Reputation Service, která údajně znemožňuje, aby se škodlivé aplikace vůbec k zákazníkům dostaly ([link]) .

Na novinkách vyšel naprosto parádní a originální článek, který jistě úplně náhodou téměř kopíruje zápisek z blogu firmy ESET ([link]), který vyšel zhruba před týdnem. Jediné, co autor novinek neopsal je přirovnání kyberprostoru s Matrixem, pravděpodobně ho neviděl. Myslím, že nás jistě takové praktiky ani nepřekvapí, proto se zaměřím na jeho obsah.

Zabývá se otázkou, zda si antivirové společnosti píšou viry sami. Jistě tato otázka napadla i Vás - předpokládám, že však již v útlém věku. Tato myšlenka vzniká totiž z nevědomosti. Autor tento názor vkusně přirovnává k tomu, že by policisté konali většinu zločinů, nebo že by doktoři šířili nákazy. Denně se totiž dle zralých úvah objevují desetitisíce až statisíce nových virů a to opravdu není v silách nemnoha bezpečnostních expertů.

Avšak vyjímka potvrzuje pravidlo. Autor, či spíše autoři, zmiňují případ botnetu Kelihos (známý též jako Hlux), vytvořeného ruským specialistou na počítačovou bezpečnost Andrejem Sabelnikovem. Ten byl objeven na konci roku 2010, v lednu 2012 byla objevena jeho nová verze. Infikováno bylo přes 100 000 počítačů.

Znáte někdo jiný podobný případ, kdy bývalý zaměstnanec bezpečnostní firmy sklouzl k „temné straně Síly“? Podělte se s námi v komentářích!

Možná jste se i vy stali příjemcem e-mailu následujícího znění:

Ahoj, někdo si "půjčil" pár tvých fotek a umístil je s poměrně nevhodným komentářem na svůj trapnej blog: //www.seznann.eu/xxxxxxxxxxxxxx/fotka.jpg. Tvý jméno tam ale naštěstí neuvedl a navíc tam má fotky víc lidí, takže se to docela ztratilo, ale jen pro informaci :)

Pokud jste tedy podobný e-mail také odbrželi, vězte, že se jedná o spam a neklikejte proto na obsažený odkaz. Ten slouží s největší pravděpodobností pouze k ověření života vaší e-mailové adresy.

Autorství Cool Exploit kitu, jak se nový nástroj jmenuje, je díky velké podobnosti s Blackhole přisuzováno stejnému člověku. Tento exploit kit byl již v loňském roce mnohokrát zneužit hlavně k šíření ransomware.

Autor ovšem nechce usnout na vavřínech a je jeho cílem udělat z Cool Exploit kitu jedničku na poli těchto nástrojů. Na undergroundových fórech se proto před nedávnem objevily zprávy vyzívající tvůrce exploitů ke spolupráci.

Vážené dámy a pánové!

Každý si je vědom problému, který dnes existuje na trhu s exploity! Chcete-li tento problém vyřešit, připravil pro vás náš tým následující exkluzivní program na nákup nových zranitelností webových prohlížečů a jejich pluginů. Nejen, že tyto exploity a zranitelnosti odkoupíme, ale hlavně zlepšíme jejich stávající veřejné využití.

Na nákup zranitelností webových prohlížečů a jejich plug-inů jsme vyhradili 100.000$. Podmínkou je, že k daným zranitelnostem vyžadujeme výhradní právo. Není tedy povoleno jejich zveřejnění.

Nesháníme pouze hotové nástroje, ale i podrobné popisy a proof-of-concepty (včetně následné spolupráce s našimi specialisty).

Není se proto čemu divit, že odborníci razantněji než kdy dříve doporučují aktualizaci softwaru a odinstalaci nepoužívaných programů.

Pokud jste koncem minulého roku obdrželi e-mailovou zprávu od Evy Dvořákové, která Vás informovala o skutečnosti, že není něco v pořádku s vašimi webovými stránkami, můžete zůstat klidní. Kromě zvýšeného výskytu spamu ve vaší schránce se zřejmě nic víc nestane.

Spamová zpráva, která vznikla s největší pravděpodobností pouze proto, aby ověřila e-amilové adresy příjemců, je tohoto znění:

Dobrý den,
chtěla jsem se podívat na Vaše stránky www.xxxxxx.yy, které mi našel Google, ale vyskočila na mě hláška, že mohou poškodit můj počítač. Používám Firefox a dříve se mi to nikdy nestalo.

Můžete mi prosím poradit? Do přílohy jsem zkopírovala obrazovku, když na mě ta hláška vyskočila, abyste si mohli udělat představu.

S pozdravem
Eva Dvořáková

Zpráva vypadá (až na adresu odesilatele eva.dvorakova@mailbox4free.eu) velice důvěryhodně a není proto divu, že mnoho oslovených otevřelo i wordovskou přílohu, v níž měl být uložen zmíněný screenshot.

Dobrou zprávou je, že příloha údajně nezneužívala žádnou slabinu kancelářského balíku MS Office. V takovém případě by útočníci zřejmě slavili mimořádný úspěch. Podle všeho šlo jen o ověření toho, zda je vaše e-amilová adresa využívaná a může tak do ní být cílen nový přísun spamu.