Artykuły dotyczące tematu: botnet

dodany: 28.06.2013 | tagi: , , ,

Nowe zagrożenia na Androida co 22 sekundy

7

Android już od pewnego czasu dominuje w sektorze telefonii komórkowej. Zgodnie z danymi ponad 75% telefonów sprzedanych na świecie w pierwszym kwartale 2013 działało pod systemem Android. Polska nie jest tu wyjątkiem, chociaż jako jeden z nielicznych krajów na świecie posiada wysoki odsetek udziału Windows Phone w rynku, jednak system Google jest dominujący także nad Wisłą. Nie dziwi więc, że cyberprzestępcy co 22 sekundy wypuszczają nowe złośliwe oprogramowanie na system z zielonym ludzikiem.

W samym tylko maju specjaliści G Data naliczyli 124000 nowych próbek złośliwego kodu, którego twórcy za cel wyznaczyli sobie głównie kradzież poufnych danych osobistych, wysyłanie wiadomości SMS Premium bez wiedzy właściciela telefonu oraz dokonywanie płatnych połączeń. Przestępcy zaczęli także wdrażać nową funkcjonalność – wyświetlanie mocno agresywnych reklam mających nakłonić do zainstalowania aplikacji ze złośliwym kodem. G Data przewiduje zwiększenie ilości unikalnych zagrożeń na Androida, jest to ściśle powiązane z wysoką opłacalnością tej strategii dla cyberprzestępców.

diagram andorid malware

Prognozy G Data

  • Ryzyko infekcji w przyszłości
    Liczba mobilnego malware’u będzie zwiększała się w nadchodzących miesiącach podążając za stale rosnącą popularnością urządzeń przenośnych wyposażonych w system Android. Mobilna cyberprzestępczość jest na najlepszej drodze by stać się zjawiskiem masowym.
  • Mobilne Botnety
    Zainfekowane telefony coraz częściej zostają włączane przez sprawców do sieci botnetów wykorzystywanych następnie do dalszego rozprzestrzeniania złośliwego kodu. Takie zarażone urządzenia działa jak „rozpylacz” SMS-owego spamu lub urządzenie do nabijania portfela przestępcom dzięki masowemu wykonywaniu drogich połączeń Premium.
    Potencjalne zyski, które mogą uzyskać przestępcy są ogromne.
  • Adware wciąż popularny
    Eksperci G Data SecurityLabs prognozują utrzymanie się popularności mobilnego adware’u. Wykorzystywany jest on w celu nachalnego promowania zainfekowanych aplikacji np. takich jak popularne aplikacje pogodowe, które w rzeczywistości stanowią zagrożeniem dla naszych danych i pieniędzy.

Złośliwe mobilne oprogramowanie stało się lukratywnym biznesem dla przestępców internetowych. Twórcy tych aplikacji do swych niecnych celów używają głównie koni trojańskich, które pozwalają wykorzystać zainfekowane urządzenie na wiele sposobów. Złośliwe aplikacje pozwalają nie tylko na wykradanie osobistych danych zapisanych na telefonie jak kontakty, zdjęcia czy informacje zawarte w kalendarzu. Przestępcy mogą zdalnie wykonywać wysoce płatne połączenia, rozsyłać wiadomości SMS na drogie numery Premium lub próbować wykraść dane dostępowe do kont internetowych. Właśnie te możliwości wykorzystania złośliwego oprogramowania na urządzenia mobilne sprawiają, że będzie ono co raz popularniejsze.

– mówi Łukasz Nowatkowski, dyrektor techniczny G Data Polska.

Zagrożenia mobilne: „bariera bestii” złamana!

Moment nie mógł być bardziej odpowiedni, czerwiec 2013. W szóstym miesiącu roku eksperci ds. bezpieczeństwa G Data osiągnęli kamień milowy gromadząc w swojej bazie 666 666 unikalnych szkodliwych programów na platformę Android. Niestety można się spodziewać, że liczba ta nadal będzie rosła w zastraszającym tempie.

malware programs666

Jeszcze trzy lata temu zagrożenia na urządzenia mobilne były kompletną nowością, a ataki na telefony komórkowe stanowiły promil wszystkich ataków hakerskich na świecie. Obecnie ryzyko infekcji stale rośnie wraz ze zwiększającą się popularnością smartfonów i tabletów oraz wzrostem ich funkcjonalności. Dziś już nikogo nie dziwią przelewy dokonywane poprzez aplikacje zainstalowane na telefonach komórkowych. Złośliwe kody rozwinęły się z początkowo jedynie irytujących aplikacji, którymi hakerzy stroili sobie żarty z użytkowników urządzeń przenośnych, do złośliwych aplikacji wykradających pieniądze, dokonujących kosztownych połączeń, szpiegujących czy przedstawiających niechciane reklamy.

Innymi słowy mobilny malware nie jest już pieśnią przyszłości, a realnym zagrożeniem dla wszystkich cyfrowych nomadów.

Źródło: G Data

dodany: 07.06.2013 | tagi: , , ,

Eksperci CERT Polska zidentyfikowali najgroźniejsze botnety w polskich sieciach komputerowych

0

Virut, DSNChanger i ZeuS to trzy botnety, które najczęściej atakowały użytkowników polskich sieci komputerowych w 2012 roku – wynika z raportu zespołu CERT Polska, działającego w ramach instytutu badawczego NASK. W minionym roku do zespołu trafiało dziennie około 8 tys. zgłoszeń o urządzeniach zainfekowanych tymi wirusami. Jak podkreślają eksperci, boty stanowią drugie, po spamie, najczęściej występujące zagrożenie sieciowe.

W minionym roku do zespołu CERT Polska trafiło 3 309 763 zgłoszeń, będących efektem działania botnetów, czyli sieci komputerów zarażonych złośliwym oprogramowaniem. Wirusy tego typu służą do przejmowania kontroli nad komputerami bez wiedzy i zgody użytkowników. Zainfekowane urządzenia, zwane botami, mogą być następnie wykorzystywane do działań niezgodnych z prawem. W minionym roku botnety zaatakowały blisko 2 miliony unikalnych adresów IP.

Najwięcej zgłoszeń w 2012 roku, dotyczyło botnetu Virut, który zainfekował 869 973 unikalnych adresów IP. Dziennie informowano średnio o blisko 4 tys. komputerów, kontrolowanych przez ten wirus. Rozpowszechniany był m.in. przez luki w przeglądarkach internetowych, a do zarażenia mogło dojść w wyniku odwiedzenia strony www, na której przestępcy umieścili Viruta. W efekcie tych działań zaatakowane komputery były wykorzystywane między innymi do rozsyłania spamu, kradzieży danych i ataków DDoS.

Drugie miejsce zajął DNSChanger, czyli złośliwe oprogramowanie, podmieniające na zainfekowanym komputerze adresy serwerów DNS. Pozwalało to na przekierowywanie ruchu sieciowego na fałszywe serwery, kontrolowane przez cyberprzestępców. W efekcie użytkownik zainfekowanego urządzenia, zamiast z właściwą stroną internetową, mógł zostać połączony z portalem przypominającym na przykład stronę banku czy sklepu internetowego. W lipcu ubiegłego roku FBI udało się wyłączyć serwery DNS, na które był kierowany ruch z zainfekowanych urządzeń. Do tego czasu w polskich sieciach zgłoszono 427 246 unikalnych adresów IP zarażonych botnetem.

Trzecim najgroźniejszym wirusem okazał się trojan bankowy ZeuS, który zaatakował blisko 250 tys. unikalnych adresów IP. Co więcej, wśród 10 największych botnetów, znalazły się jeszcze dwie odmiany tego wirusa, atakujące użytkowników bankowości elektronicznej – ZeuS P2P oraz ZeuS Citadel. Zainfekowanie nimi komputera umożliwia modyfikowanie treści stron internetowych tuż przed ich wyświetleniem. Tym samym atakujący mogą wysyłać do użytkownika dowolne komunikaty, które często do złudzenia przypominają te pochodzące z banku. Skutkiem zmian dokonywanych przez złośliwe oprogramowanie może być podmiana numeru konta, modyfikacje na liście wykonywanych operacji czy też monity z prośbą o podanie haseł jednorazowych lub wykonanie przelewu.

Botnety są jednym z najgroźniejszych zjawisk w polskich sieciach komputerowych. Niestety częstotliwość ich występowania świadczy o tym, że przestępcom wciąż skutecznie udaje się oszukać użytkowników, wykorzystując ich niewiedzę oraz brak zabezpieczeń. Od początku tego roku udało nam się przejąć polskie domeny największego botnetu Virut, a także instancji Citadel, co uniemożliwiło dalsze rozprzestrzenianie się tych wirusów. Trzeba jednak pamiętać, że w walce z zagrożeniami sieciowymi niezbędna jest ostrożność samych użytkowników

– mówi Piotr Kijewski, kierownik CERT Polska.

Informacje na temat incydentów sieciowych, zawarte w raporcie zespołu, pochodzą z systemów własnych CERT Polska oraz od zagranicznych instytucji zajmujących się bezpieczeństwem teleinformatycznym. Są one także wynikiem podejmowanych przez CERT działań na rzecz bezpieczeństwa sieci. W związku z tym, dane te dają szeroki obraz tego, co naprawdę dzieje się w polskim Internecie.

Raport CERT Polska można znaleźć na stronie www.cert.pl/raporty.

dodany: 06.06.2013 | tagi: , , ,

Microsoft z FBI walczą z Citadelem

0

Jednostka Microsoftu do walki z cybeprzestępczością we współpracy z FBI wytoczyli wojnę przeciw botnetowi Citadel. Groźny trojan zainfekował do tej pory około 5 milionów komputerów, tworząc prężnie działającą sieć botnetów, wskutek której przestępcy uzyskali przychód około 500 milionów dolarów, w ciągu 18 miesięcy! Właśnie ten fakt skłonił FBI do poważnego zajęcia głosu w tej sprawie – efektem tej współpracy były naloty na serwerownie zlokalizowane w stanach Pensylwanii oraz New Jersey. Dzięki temu zebrano kolejne dowody i unieszkodliwiono łącznie 1 462 sieci botnet wykorzystujących Citadela. Cała operacja była prowadzona pod kryptonimem Operation b54.

citadel

Niestety walka z Citadelem nie skończyła się – trojan jest nadal aktywny, ale za to sama akcja ograniczyła znacznie możliwości cyberprzestępców wykorzystujących ten malware-kit (a przynajmniej tak podaje Microsoft).

W akcji tej pomogły także następujące instytucje: Financial Services – Information Sharing and Analysis Center (FS-ISAC), NACHA – The Electronic Payments Association, the American Bankers Association (ABA), Agari, A10 Networks oraz Nominum.

dodany: 04.06.2013 | tagi: , ,

Luka w Ruby on Rails – zhakowane serwery tworzą botnet

0

Ofiarą ataków po raz kolejny pada framework Ruby on Rails. W wyniku znalezionej luki istnieje możliwość przejęcia kontroli nad serwerem – co też jest wykorzystywane w celu utworzenia botnetu. Uchybienie umożliwiające wstrzyknięcie kodu zostało załatane już w styczniu – tradycyjnie zawinił czynnik ludzki.

Utworzenie botnetu z podatnych maszyn wskazuje tylko na jedno – administratorzy nie zaktualizowali swoich serwerów po ponad 4 miesiącach od wydania aktualizacji. Zainfekowane serwery kontrolowane są za pośrednictwem IRC.

Bezpiecznymi wydaniami są 3.211, 3.1.10, 3.0.19, 2.3.15 oraz nowsze. Jeżeli z jakiegoś powodu nie można zainstalować nowych wersji, należy zastosować się do napisanej przez autorów RoR instrukcji. Więcej informacji o botnecie można znaleźć na blogu jarmoc.com.

dodany: 03.06.2013 | tagi: , ,

Rewolucja w walce z cyberprzestępczością – Microsoft udostępnia w chmurze dane dotyczące walki z botnetami

0

Kilka dni temu Microsoft ogłosił rewolucyjne rozwiązanie w walce z cyberprzestępczością – firma będzie udostępniać w chmurze aktualizowane niemal w czasie rzeczywistym dane na temat najnowszych zagrożeń.

W 2010 roku Microsoft wcielił w życie projekt Mars (z ang. Microsoft Ative Response for Security) odpowiedzialny za proaktywne zwalczanie botnetów. Od początku działań firma aktywnie współpracowała z dostawcami usług internetowych oraz z zespołami CERT (Zespół ds. reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego) na całym świecie.

Kluczowym zadaniem Microsoft Digital Crimesm Unit’s – jednostki do zaangażowanej w walkę z cyberprzestępczością, jest ochrona ludzi. Od początku wiedzieliśmy, że czyszczenie zainfekowanych złośliwym oprogramowaniem komputerów należących do osób na całym świecie,  jest tak samo ważne, jak przeciwdziałanie zagrożeniom

TJ Campana, Director of Security, Microsoft Digital Crimes Unit.

Dzięki wykorzystaniu ogromnych zasobów chmury, Microsoft będzie dzielić się informacjami na temat znanych infekcji złośliwym oprogramowaniem tworzącym groźne botnety. Wiadomości będą wysyłane do dostawców usług internetowych oraz z oddziałów CERT niemal w czasie rzeczywistym!

Funkcja w chmurze to kolejny poziom w walce z zagrożeniami. Nowy Windows Azure-based Cyber Threat Intelligence Program (C-TIP) pozwoli organizacjom na lepsze rozeznanie w sytuacjach cyberzagrożeń, a co za tym idzie, szybkie i skuteczne powiadamianie ludzi o potencjalnych zagrożeniach i problemach związanych z bezpieczeństwem.

Cyberprzestępczość jest zjawiskiem globalnym i złośliwe oprogramowanie, stanowi poważne zagrożenie dla posiadaczy komputerów, firm i użytkowników Internetu w ogóle. Wśród zagrożeń można wymienić: oszustwa bankowe, kradzieże tożsamości, ataki typu DoS, kradzież własności intelektualnej i wiele więcej. Zbyt często właściciele komputerowych, zwłaszcza tych, którzy nie mogą używać na bieżąco legalnego oprogramowania i ochrony antymalware, nieświadomie padają ofiarą cyberprzestępców wykorzystujących złośliwe oprogramowanie potajemnie pozyskując ich sprzęt do armii zainfekowanych komputerów znanej botnetami. Botnety mogą być  następnie wykorzystywane przez cyberprzestępców do różnych ataków internetowych

– dodaje Campana.

Hiszpańskie i Luksemburskie odziały CERT natychmiast wyraziły chęć otrzymywania informacji z C-TIP. Dane aktualizowane są nawet co 30 sekund.  Wszystkie informacje są przesyłane bezpośrednio do każdej organizacji przez prywatną chmurę za pośrednictwem Windows Azure. Uczestnictwo w tym systemie pozwala organizacjom na niemal natychmiastowy dostęp do danych o zagrożeniach zebranych podczas operacji Mars.

Obecnie 44 organizacji w 38 krajach otrzymuje wiadomości i informacje o zagrożeniach. Oprócz hiszpańskiego i luksemburskiego CERT, szereg innych organizacji zadeklarowało, że będzie korzystać z nowej usługi w chmurze lub rozpoczęło już proces rejestracji.

Każdego dnia nasz system odbiera setki milionów informacji z komputerów zainfekowanych złośliwym oprogramowaniem, takim jak Conficker, Waledac, Rustock, Kelihos, Zeus, Nitol i Bamital. To jest rewolucyjne przejście z oryginalnego programu Cyber ​​Threat Intelligence, który Microsoft opracował trzy lata temu, kiedy firma zaczęła wysyłać e-maile do regularnych dostawców usług internetowych oraz CERT uczestniczących w analizach zagrożeń dla swoich klientów i regionów

– mówi Campana.

Przyspieszona forma wymiany informacji powinna znacznie zwiększyć zdolność do czyszczenia komputerów i pomóc nadążyć za ciągle zmieniającym się światem cyberprzestępczości.

Cała wiadomość w oryginale jest dostępna na stronie Microsoftu.

dodany: 20.05.2013 | tagi: , ,

Nowy botnet na rynku

0

Na początku marca na „podziemnym rynku” pojawiła się oferta nowego botnetu nazwanego przez swoich twórców „Beta Bot”. Biorąc pod uwagę ogromną ilość funkcji oferowanych przez złośliwe oprogramowanie, sprzedawane jest ono za naprawdę niewielką pieniądze – mniej niż 500€. Większość funkcji to standardowe rozwiązania dostępne we współczesnych botach, jak: różne metody ataków DoS, możliwość zdalnego łączenia z siecią, formularze przechwytujące i inne formy kradzieży informacji. Szczególną uwagę pracowników G Data SecurityLabs zwróciła funkcja „Disable Anti Virus”! Zgodnie z reklamą dostępną na jednym z podziemnych for internetowych oferujących złośliwe oprogramowanie Beta Bot potrafi wyłączyć ochronę ponad 30 programów antywirusowych.

Jak działa bot?
Po zainstalowaniu na komputerze Beta Bot przeszukuje dysk celem odnalezienia oprogramowania antywirusowego będącego w jego bazie. Po odnalezieniu softu złośliwe oprogramowanie rozpoczyna atak na antywirusa poprzez zabijanie procesu edytując wpisy w rejestrze lub wyłączając aktualizację. W zależności od zainstalowanego oprogramowania zabezpieczającego Beta Bot próbuje także obejść zabezpieczenie Firewall wykorzystując do tego programy przepuszczane przez zaporę jak Internet Explorer.

UAC (Users Access Control) – wszystko jest kwestią uprawnień
W najnowszych systemach operacyjnych mamy dwa rodzaje uprawnień: niskie dla użytkowników oraz tzw. wysokie dla administratorów. W przeciwieństwie do administratora, użytkownik nie może zmienić najistotniejszych ustawień systemu. Jeżeli użytkownik rozpocznie proces, ten otrzymuje uprawnienia zgodne z uprawnieniami jego inicjatora. Zgodnie z tym procesy możemy rozróżniać także dzięki nadanym im uprawnieniom.

Procesy z niskimi uprawnieniami nie mogą modyfikować tych z wyższymi. Natomiast procesy z podwyższonym uprawnieniami mogą modyfikować oba rodzaje procesów. Dodatkowo procesy dziedziczą uprawnienia po sobie. By zapobiec szkodzącemu systemowi złośliwemu oprogramowaniu, podniesienie uprawnień zostało uznane za jedno z najbardziej krytycznych działań. Decyzja o nadaniu większych uprawnień pozostaje w rękach użytkownika. Okno UAC dostarcza podstawowych informacji o programie dla którego mają zostać zwiększone uprawnienia by ułatwić podjęcie decyzji. Beta Bot wykorzystuje interfejs komunikacyjny UAC i poprzez metody socjotechniczne próbuje uzyskać zwiększenie uprawnień za zgodą użytkownika.

Techniki Beta Bot
Niektóre złośliwe programy mogą działać na niskich uprawnieniach, ponieważ wciąż daje im to możliwość modyfikacji procesów z takimi samymi uprawnieniami i dokonywać szkód na zainfekowanej maszynie. Jednak programy antywirusowe działają ze zwiększonymi uprawnieniami, gdyż muszą mieć dostęp do wszystkich zasobów systemu dzięki czemu zapewniają nam maksimum bezpieczeństwa. Dlatego by zaatakować oprogramowanie antywirusowe, Beta Bot musi zwiększyć swoje uprawnienia. By osiągnąć ten cel twórcy malware wykorzystali dwa triki.

Pierwszy to wykorzystanie procesu Windows cmd.exe i zapytania o uprawnienia dla niego. Wiersz poleceń wywołuje także uruchomienie Beta Bot co powoduje zapytanie o zwiększenie uprawnień dla procesu systemowego, jeżeli użytkownik wyraził zgodę hakerzy osiągnęli swój cel, Beta Bot dziedziczy uprawnienia po cmd.exe. Przestępcy wykorzystują zaufanie do aplikacji Microsoftu oraz liczą na szybką decyzję użytkownika.

betabot_1

Jeżeli przyjrzymy się dokładniej i rozwiniemy detale zauważymy, że cmd.exe rozpoczyna proces Beta Bot exe. Użytkownik myśląc, że nadaje uprawnienia procesowi Microsoftu sprowadza niebezpieczeństwo na swój komputer.

betabot_2

Szczęśliwie wielu użytkowników jest podejrzliwych w stosunku do pojawiających się znikąd komunikatów UAC z prośbą o zezwolenie na zwiększenie uprawnień. Aby rozwiązać ten problem Beta Bot prezentuję uzasadnienie przed wyświetleniem okna z zapytaniem – fałszywą wiadomość na temat uszkodzonych folderów w Dokumentach użytkownika oraz „Critical Disk Error”. Ma to na celu przestraszyć ofiarę i wymusić na niej reakcję mającą zapobiec potencjalnej utracie ważnych informacji i plików.
Hakerzy proponują dwa rozwiązania fikcyjnego problemu, oba obiecują przywrócenie utraconych folderów. Jeżeli klikniemy na jedno z proponowanych rozwiązań ukaże się nam okno UAC z zapytaniem o zwiększenie uprawnień dla cmd.exe.

error beta-bot

Kiedy Beta Bot uzyska już zwiększenie swoich uprawnień, rozpoczyna atak na zainstalowane oprogramowanie zabezpieczające. By nie ograniczać się do jednego kraju złośliwe oprogramowanie jest w stanie kreować okna dialogowe w ponad 10 językach.

G Data radzi jak nie paść ofiarą
Hakerzy tworząc swoje programy często używają różnych form zastraszania. Nawet w sytuacjach awaryjnych i krytycznych, które na pierwszy rzut oka wyglądają wiarygodnie, musimy zachować spokój i zweryfikować podane informacje. Pomyśl o tym – czy system Windows naprawdę musi zwiększyć uprawnienia swojego własnego procesu, aby naprawić błąd na dysku twardym komputera? Nie, absolutnie nie.

  • Pomyśl zanim klikniesz. Czytaj komunikaty i nigdy bezmyślnie nie przyciskaj guzików „Tak” lub „Ok” w oknach dialogowych. W razie wątpliwości poradź się znajomego lub poszukaj informacji na temat procesu w sieci.
  • Chroniony przez oprogramowanie antywirusowe. Każdy użytkownik Internetu powinien korzystać z kompleksowych rozwiązań bezpieczeństwa oferowanych przez najnowsze oprogramowanie antywirusowe. Programy G Data oferują funkcję tuningu systemu oraz czyszczenia rejestru sprawiając, że komputer działa jeszcze szybciej i stabilniej.
  • Zamknij luki bezpieczeństwa. System operacyjny i programy, z których korzystasz powinny być zaktualizowane do najnowszych dostępnych w danej chwili wersji (service pack, aktualizacje, patche). Przestarzałe oprogramowanie, którego producent nie wspiera już aktualizacjami, powinno zostać definitywnie odinstalowane.

Źródło: G Data

dodany: 15.04.2013 | tagi: , ,

WordPress po nalocie botnetu – cisza przed burzą?

2

Platforma blogowa WordPress stała się celem ogromnego botnetu stworzonego z dziesiątek tysięcy komputerów. Jednak eksperci obawiają się, że może to być tylko czubek góry lodowej.

Specjaliści z CloudFare ostrzegli dziś na firmowym blogu o nieznanym napastniku używającym „stosunkowo” słabej wielkości botnetu z komputerów domowych, który ma zamiar w ramach przygotowań do przyszłego ataku zbudować botnet z serwerów.

Botnet próbuje ataków brute force na stronach internetowych postawionych na WP przy użycia loginu „admin” z tysiącami przeróżnych haseł.

Maszyny użyte w botnecie używane są do hakowania instalacji opartych na WordPressie.

Dodatkowo wydaje się, że ten rodzaj botnetu przekierowuje pasma od pojedynczych komputerów zainfekowanych złośliwym oprogramowaniem do masowego przeciążania serwerów, co jest często spotykane przy próbach spowodowania ataku Distributed Denial-of-Service (DDoS).

Jak na złość botnet uderzył niecały tydzień po wprowadzeniu przez WordPressa opcji dwuskładnikowego uwierzytelniania.

Założyciel WP, Matt Mullenwag skrytykował wszystkie próby życzliwej pomocy, jakie proponowało np. CloudFare inamawia do zmiany domyślnych nazw użytkowników i włączenia dodatkowej opcji ochrony kont w WordPressie:

Jeśli ciągle używasz „admina” jako nazwy użytkownika na swoim blogu – to je zmień, użyj mocnego hasła i włącz dwuskładnikowe uwierzytelnianie. Upewnij się także, że masz najnowszą wersję WordPressa. Zrób to, a wyprzedzisz 99 procent stron internetowych i prawdopodobnie nigdy nie będziesz już miał problemów.

WordPress, który jest używany na ponad 64 milionach pojedynczych blogów i stron internetowych i przez 400 milionów czytelników co miesiąc, nie przestaje być łakomym kąskiem dla przestępców cybernetycznych.

dodany: 10.04.2013 | tagi: , , ,

Botnet rozsiewa androidowe trojany

4

Botnet Cutwail, który możecie kojarzyć z rozprzestrzenianiem trojana bankowego Zeus postanowił zmienić branżę i uderzyć w użytkowników Androida.

Nowy trojan o nazwie Stels infekuje urządzenia z systemem Android podszywając się pod aktualizację Adobe Flash Playera. Co ciekawe trojan próbuje wedrzeć się do urządzeń z innymi systemami przekierowując z aktualizacji Flash Playera. Ze strony otwartej w jakiejkolwiek przeglądarce potencjalna ofiara zostaje przekierowana na stronę internetową z exploit kitem Blackhole.

Wg analizy scenariusza ataków wykonanego przez specjalistów z Della, atak zaczyna się wysyłanym spamem podającym się za amerykański Urząd Skarbowy (z ang. Internal Revenue Service, w skr. IRS). Jeśli użytkownik kliknie na link w treści e-maila skrypt zaczyna badać czy korzystasz z urządzenia z systemem Android. Jeśli jednak ofiara używa przeglądarki w innym systemie, to zostaje przekierowana na stronę wypełnioną exploit kitem Blackhole. Następnie exploit próbuje wykorzystać niezaktualizowane dodatki próbując zainfekować komputer.

Jeśli jednak ofiara korzysta z urządzenia z Androidem, to skrypt przekieruje ją  na stronę podającą się za witrynę produktową Flash Playera, gdzie aby zainstalować aktualizację musi wybrać opcję Pozwól na aplikacje z nieznanego źródła.

flaszplejer

Źródło: Dell

Kiedy ofiara zgodzi się na tę najgłupszą z możliwych opcji, trojan zostaje zainstalowany, po czy, ogłasza, że aktualizacja nie odpowiada i zostanie odinstalowana. Tymczasem spokojnie działa w tle bez wiedzy ofiary. Stels tworzy backdoora do pobierania jeszcze większej ilości złośliwego oprogramowania. Dodatkowo szpieguje listę kontaktów ofiary, może wysyłać SMS-y. Jeśli połączy się z Zeusem, będzie w stanie obejść dwustopniowe uwierzytelnianie.

appnejm

Źródło: Dell

Specjaliści z Della zauważyli jednak, że trojan nie używa dostępu do roota i jakoś specjalnie się ze swoimi działaniami na telefonie nie chowa. Fałszywa aplikacja jest dostępna w ostatnio otwartych aplikacjach. Sama nazwa aplikacji wskazuje, że Stels specjalnie o niewidoczność nie dba – APPNAME.

dodany: 20.03.2013 | tagi: ,

Kameleon kradnie miliony od reklamodawców

0

Badacze bezpieczeństwa odkryli botnet, który kradnie miesięcznie miliony dolarów od reklamodawców. Robi to poprzez symulację klikania na reklamy graficzne znajdujące się na co najmniej 202 stronach internetowych. Klik-bot został znaleziony przez analityków sieci z firmy spider.io  i nazwany Kameleonem dzięki swojej zdolności do oszukania algorytmów śledzenia zachowań myszy. Jest to pierwszy znaleziony botnet, który używa wyświetlanych reklam do generowania dochodów dla swoich mistrzów.

Wczoraj na blogu spider.io poinformowano, że firma śledziła Kameleona od grudnia 2012.

Symulując jednoczesne sesje przeglądarek i witryn każdy taki bor jest w stanie współdziałać z reklamami we Flashu i JavaScripcie. Do tej pory zidentyfikowano ponad 120 ooo komputerów, a 95% z ich adresów IP powiązanych jest z amerykańskimi usługodawcami Internetu.

Spiders.io podało także czarną listę 5000 najbardziej przestępczych adresów IP.

Botnet generuje losowe kliknięcia myszką i ślady wskaźnika myszy na całych stronach. Pozwala to na dość szybkie zidentyfikowanie komputerów zarażonych botem w krótkim czasie. Bot jest także dość niestabilny ze względu na duże obciążenie zainfekowanego komputera, co powoduje jego częste awarie.

Spider.io szacuje, że botnet jest odpowiedzialny za co najmniej dziewięć miliardów kliknięć w reklamy na stronach, które odwiedza i około siedmiu milionów unikatowych ciasteczek miesięcznie, co oznacza, przy koszcie 69 centów za tysiąc kliknięć botnet generuje 6, 2 miliony dolarów miesięcznie strat reklamowych.

dodany: 28.02.2013 | tagi: , , ,

Przynajmniej 3 mln adresów IP padło ofiarą groźnego wirusa komputerowego

2

Co najmniej trzy miliony adresów IP na całym świecie zostało zainfekowanych przez wirus komputerowy o nazwie Virut – wynika z raportu opublikowanego przez zespół CERT Polska, działający w ramach instytutu badawczego NASK. Wirus, który rozprzestrzeniał się za pomocą stron www, był wykorzystywany między innymi do dystrybucji spamu, kradzieży danych oraz ataków DDoS. Na początku tego roku NASK przejął ponad 40 domen wykorzystywanych do rozpowszechniania Viruta, uniemożliwiając tym samym kontynuowanie prowadzonych za ich pomocą nielegalnych działań.

Virut służył do przejmowania kontroli nad komputerami bez wiedzy i zgody użytkowników. Zainfekowane nim urządzenia stawały się „komputerami-zombie” łączącymi się w sieci, tzw. botnety, które następnie mogły być wykorzystywane do działań niezgodnych z prawem. Głównym źródłem wirusa były domeny zief.pl oraz ircgalaxy.pl, które pełniły funkcję centrów sterujących zainfekowanymi komputerami i wysyłały rozkazy ataku. Po tym, jak eksperci NASK stwierdzili, że część domen obsługujących Virut znajduje się w Polsce, zdecydowali się na podjęcie akcji uniemożliwiającej im kontynuację działań. Do 6 lutego 2013 roku pod kontrolą NASK znalazły się łącznie 43 nazwy domenowe z końcówką .pl służące do sterowania i rozpowszechniania złośliwego oprogramowania. Natomiast cały ruch z zarażonych komputerów do centrów sterujących botnetu został przekierowany do serwera kontrolowanego przez CERT Polska. Po przejęciu kontroli nad komunikacją w botnecie eksperci rozpoczęli analizę połączeń z zarażonych komputerów użytkowników Internetu.

Okazało się, że dziennie odnotowywano średnio 270 tysięcy połączeń z zainfekowanych adresów IP z całego świata. W okresie między 19 stycznia a 5 lutego 2013 roku eksperci zaobserwowali całkowitą liczbę 3 211 135 unikalnych adresów IP zaatakowanych przez Viruta. Połączenia pochodzące z dziesięciu najbardziej dotkniętych wirusem krajów stanowiły ponad 78 proc. wszystkich komunikatów. W pierwszej dziesiątce pokrzywdzonych państw były głównie kraje z Azji i Afryki.

Co ciekawe, Polska znalazła się dopiero na 19. miejscu pod względem skali infekcji, a jej udział w zestawieniu wyniósł jedynie 0,67 proc.

img-botnet-Virut

Źródło: Raport CERT Polska „Przejęcie domen botnetu Virut”

Przygotowany przez nas raport przedstawia nie tylko chronologię działań podjętych przez NASK czy sposób zbierania danych, ale także informacje o mechanizmach zarażania ofiar oraz powiązania z innymi rodzajami przestępczej działalności, np. sprzedażą fałszywego oprogramowania antywirusowego czy doklejaniem reklam do wyświetlanych przez użytkowników treści. Analiza unaoczniła skalę działania Viruta oraz wskazała kraje najbardziej nim dotknięte. Pozyskane informacje o działaniach botnetu pozwolą z pewnością w przyszłości na skuteczniejsze przeciwdziałanie zagrożeniom sieciowym

– mówi Przemysław Jaroszewski z CERT Polska.

Raport „Przejęcie domen botnetu Virut” dostępny jest na stronie internetowej cert.pl.