Artykuły dotyczące tematu: malware

dodany: 11.07.2013 | tagi: , , ,

Uwaga na wirusa komunikatora WhatsApp

4

Znany wieloplatformowy komunikator WhatsApp jest atakowany ostatnio przez malware. Jak nie trudno się domyślić problem dotyczy wersji pod Androida. Owy złośliwiec to Priyanka.

Jego obecność jest łatwo zauważyć, gdyż malware ten zmienia nazwy grup oraz czasami także kontaktów właśnie na Priyanka. Sam złośliwiec nic więcej w zasadzie nie robi, aczkolwiek jest stosunkowo uciążliwy oraz szybko się rozprzestrzenia, gdyż po infkecji wysyła zaproszenia do wszystkich kontaktów z listy.

Efekt działania wirusa Priyanka (źródło http://www.theandroidsoul.com/)

 

Dlatego powinniśmy uważać na akceptację kontaktu  o nazwie Priyanka. Jesli odrzucimy przyjęcie to nasz komunikator nie zostanie zainfekowany

Jeśli jednak już to się stało, to musimy wykonać następujące czynności:

– skasować wszystkie grupy/kontakty o zmienionej nazwie
– przejść do menedżera aplikacji naszego smartfona, wybrać Whatsup oraz wymusić zatrzymanie aplikacji wraz z wyczyszczeniem wszystkich danych
– teraz możemy zainstalować na nowo komunikator

Co ciekawe na chwilę obecną praktycznie każdy program antywirusowy nie posiada jeszcze jego definicji, także nawet jeśli mamy takowy, to i tak powinniśmy uważać.

dodany: 04.07.2013 | tagi: , , , , ,

Stary malware w nowej odsłonie

0

Kto powiedział, że nie można nauczyć starego oprogramowania nowych sztuczek? Niedawno pojawiły się informacje o swego rodzaju powrocie malware’u ZBOT. Wkrótce potem media przekazały wiadomość, że ZBOT rozprzestrzenia się za pośrednictwem Facebooka. A teraz okazuje się, że istnieje całkiem nowa wersja tego programu, która potrafi rozprzestrzeniać się w pełni samodzielnie.

„Niecodzienne zachowanie malware’u ZBOT potwierdza prognozy Trend Micro na 2013 rok, w których przewidziano, że stare zagrożenia pojawią się w nowych, udoskonalonych i skuteczniejszych postaciach” – mówi Rik Ferguson, Global VP Security Research w Trend Micro.

Ta konkretna odmiana ZBOT-a ukryta jest w zarażonym pliku PDF, który dla niepoznaki zawiera fakturę sprzedaży. Jeśli użytkownik otworzy plik za pomocą programu Adobe Reader, uruchomiona zastaje procedura, w wyniku której na ekranie wyświetla się okienko pop-up.

W tym momencie złośliwy wariant ZBOT – WORM_ZBOT.GJ – dostaje się do systemu i zostaje uruchomiony. Istnieje kilka dość istotnych różnic w porównaniu do poprzedniej wersji tego malware’u.

Po pierwsze, WORM_ZBOT.GJ posiada funkcję automatycznej aktualizacji: potrafi pobrać i uruchomić zaktualizowaną kopię samego siebie. Po drugie, może z łatwością rozprzestrzeniać się na inne systemy za pośrednictwem pamięci przenośnych, np. pendrive’ów. Dokonuje tego wyszukując dyski wymienne, a następnie tworząc w nich ukryty katalog z własną kopią oraz skrót odsyłający do ZBOT – a.

Ten rodzaj rozprzestrzeniania jest dość nietypowy. ZBOT wędruje zazwyczaj za pośrednictwem oprogramowania typu exploit kit lub zainfekowanych załączników. Tymczasem zdolność do samodzielnego rozpowszechniania jest w przypadku tego programu sporą niespodzianką. Może to oznaczać dalszy wzrost liczby systemów zarażonych tym malwarem.

Tego rodzaju przykłady pokazują, w jaki sposób zmienia się obszar oprogramowania crimeware. To konkretne zagrożenie zostało już opisane przez ekspertów Trend Micro w artykule zatytułowanym The Crimeware Evolution. Wykorzystywanie dysków wymiennych czy automatyczna aktualizacja do rozpowszechniania się nie jest nową ani innowacyjną cechą, ponieważ wiele złośliwych programów korzystało już z tych funkcji. W szczególności warto tu wspomnieć o Conficker/DOWNAD, który obu tych strategii używał bardzo skutecznie i który do dziś pozostaje dużym zagrożeniem. Mimo że ma już parę dobrych lat, został umieszczony na liście 10 najbardziej niebezpiecznych złośliwych programów w obu Amerykach i rejonie Morza Karaibskiego w 2012 roku.

Trend Micro chroni użytkowników poprzez wykrywanie WORM_ZBOT.GJ i blokowanie witryn powiązanych z tym zagrożeniem.

Więcej informacji dotyczących aktualnych zagrożeń znajduje się na blogu Trend Micro.

Źródło: Trend Micro

dodany: 28.06.2013 | tagi: , , ,

Nowe zagrożenia na Androida co 22 sekundy

7

Android już od pewnego czasu dominuje w sektorze telefonii komórkowej. Zgodnie z danymi ponad 75% telefonów sprzedanych na świecie w pierwszym kwartale 2013 działało pod systemem Android. Polska nie jest tu wyjątkiem, chociaż jako jeden z nielicznych krajów na świecie posiada wysoki odsetek udziału Windows Phone w rynku, jednak system Google jest dominujący także nad Wisłą. Nie dziwi więc, że cyberprzestępcy co 22 sekundy wypuszczają nowe złośliwe oprogramowanie na system z zielonym ludzikiem.

W samym tylko maju specjaliści G Data naliczyli 124000 nowych próbek złośliwego kodu, którego twórcy za cel wyznaczyli sobie głównie kradzież poufnych danych osobistych, wysyłanie wiadomości SMS Premium bez wiedzy właściciela telefonu oraz dokonywanie płatnych połączeń. Przestępcy zaczęli także wdrażać nową funkcjonalność – wyświetlanie mocno agresywnych reklam mających nakłonić do zainstalowania aplikacji ze złośliwym kodem. G Data przewiduje zwiększenie ilości unikalnych zagrożeń na Androida, jest to ściśle powiązane z wysoką opłacalnością tej strategii dla cyberprzestępców.

diagram andorid malware

Prognozy G Data

  • Ryzyko infekcji w przyszłości
    Liczba mobilnego malware’u będzie zwiększała się w nadchodzących miesiącach podążając za stale rosnącą popularnością urządzeń przenośnych wyposażonych w system Android. Mobilna cyberprzestępczość jest na najlepszej drodze by stać się zjawiskiem masowym.
  • Mobilne Botnety
    Zainfekowane telefony coraz częściej zostają włączane przez sprawców do sieci botnetów wykorzystywanych następnie do dalszego rozprzestrzeniania złośliwego kodu. Takie zarażone urządzenia działa jak „rozpylacz” SMS-owego spamu lub urządzenie do nabijania portfela przestępcom dzięki masowemu wykonywaniu drogich połączeń Premium.
    Potencjalne zyski, które mogą uzyskać przestępcy są ogromne.
  • Adware wciąż popularny
    Eksperci G Data SecurityLabs prognozują utrzymanie się popularności mobilnego adware’u. Wykorzystywany jest on w celu nachalnego promowania zainfekowanych aplikacji np. takich jak popularne aplikacje pogodowe, które w rzeczywistości stanowią zagrożeniem dla naszych danych i pieniędzy.

Złośliwe mobilne oprogramowanie stało się lukratywnym biznesem dla przestępców internetowych. Twórcy tych aplikacji do swych niecnych celów używają głównie koni trojańskich, które pozwalają wykorzystać zainfekowane urządzenie na wiele sposobów. Złośliwe aplikacje pozwalają nie tylko na wykradanie osobistych danych zapisanych na telefonie jak kontakty, zdjęcia czy informacje zawarte w kalendarzu. Przestępcy mogą zdalnie wykonywać wysoce płatne połączenia, rozsyłać wiadomości SMS na drogie numery Premium lub próbować wykraść dane dostępowe do kont internetowych. Właśnie te możliwości wykorzystania złośliwego oprogramowania na urządzenia mobilne sprawiają, że będzie ono co raz popularniejsze.

– mówi Łukasz Nowatkowski, dyrektor techniczny G Data Polska.

Zagrożenia mobilne: „bariera bestii” złamana!

Moment nie mógł być bardziej odpowiedni, czerwiec 2013. W szóstym miesiącu roku eksperci ds. bezpieczeństwa G Data osiągnęli kamień milowy gromadząc w swojej bazie 666 666 unikalnych szkodliwych programów na platformę Android. Niestety można się spodziewać, że liczba ta nadal będzie rosła w zastraszającym tempie.

malware programs666

Jeszcze trzy lata temu zagrożenia na urządzenia mobilne były kompletną nowością, a ataki na telefony komórkowe stanowiły promil wszystkich ataków hakerskich na świecie. Obecnie ryzyko infekcji stale rośnie wraz ze zwiększającą się popularnością smartfonów i tabletów oraz wzrostem ich funkcjonalności. Dziś już nikogo nie dziwią przelewy dokonywane poprzez aplikacje zainstalowane na telefonach komórkowych. Złośliwe kody rozwinęły się z początkowo jedynie irytujących aplikacji, którymi hakerzy stroili sobie żarty z użytkowników urządzeń przenośnych, do złośliwych aplikacji wykradających pieniądze, dokonujących kosztownych połączeń, szpiegujących czy przedstawiających niechciane reklamy.

Innymi słowy mobilny malware nie jest już pieśnią przyszłości, a realnym zagrożeniem dla wszystkich cyfrowych nomadów.

Źródło: G Data

dodany: 27.06.2013 | tagi: , , ,

Opera zaatakowana – zaktualizuj swoją przeglądarkę

3

Wydawca znanej przeglądarki Opera przyznał, iż doszło do ataku na infrastrukturę sieciową firmy. Z oficjalnych informacji wynika, że żadne dane użytkowników nie zostały ujawnione. Sam atak miał miejsce 19 czerwca –  w jego rezultacie włamywacze przechwycili certyfikat do podpisywania należący do Opera Software. Atakujący wykorzystali go do stworzenia złośliwej wersji przeglądarki, która zawierała w sobie malware.

Na zagrożenie powinni zwrócić uwagę przede wszystkim użytkownicy systemów Windows, który korzystali z Opery tamtejszego dnia od godziny 1 do 1:36 czasu UTC, albowiem przeglądarka w tym czasie mogła pobrać  i zainstalować złośliwe oprogramowanie. Co ciekawe skradziony certyfikat był już unieważniony – na jakiej podstawie zatem usługa automatycznej aktualizacji Opery pozwala na instalowanie nowej wersji? Wypadałoby, aby chociaż było ostrzeżenie o nieważnym już certyfikacie.

Jeśli tak się stało w naszym wypadku, to powinniśmy zainstalować nową wersję Opery, która jest podpisana nowym certyfikatem.
Malware, który został podpisany skradzionym certyfikatem na chwilę obecną jest wykrywany przez większość programów antywirusowych – wg danych TotalVirus z złośliwcem radzi sobie 31 na 47 programów AV:

malware opera

Niestety producent nie podaje nic na temat, która wersja została podmieniona. Można się domyślać, że chodzi o „starą” wersję Opery (tj. w wersji 12.xx) – użytkownicy nowej edycji, czyli Next powinni być teoretycznie bezpieczni, aczkolwiek obydwie edycje korzystają z tych samych serwerów aktualizacji, także warto sprawdzić, czy nasze oprogramowanie antywirusowe radzi sobie z powyższym zagrożeniem.

Według informacji od TotalVirus malware jest stosunkowo groźny, gdyż potrafi wykraść m.in. nasze hasła FTP z programów: Total Commander, CuteFTP, FlashFXP, FileZilla, ExpanDrive, CoffeeCup FreeFTP. Hasła te są następnie przekazywane przestępcom. Malware ten prawdopodobnie instaluje także inne złośliwce, więc nie należy lekceważyć tego problemu.

dodany: 10.06.2013 | tagi: , , ,

Prywatna chmura wolna od malware

0

Palo Alto Networks zaprezentowała premierowy model urządzenia WF-500 – pierwszego rozwiązania łączącego w sobie wygodę prywatnej chmury i bezpieczeństwo firewalla nowej generacji. Platforma została stworzona z myślą o użytkownikach, którzy nie mogą korzystać z publicznej chmury obliczeniowej.  WF-500 chroni przed atakami na firmową sieć oraz pozwala wykrywać i analizować złośliwe oprogramowanie na prywatnej platformie w oparciu o rozwiązanie WildFire. Urządzenie jest kompatybilne z firewallem nowej generacji Palo Alto Networks, zapewniając w ten sposób całkowitą ochronę sieci.

Palo Alto Networks jako jedyna firma na rynku oferuje ochronę typu „closed loop”, w której użytkownik ma wybór pomiędzy rozwiązaniami należącymi do prywatnej lub publicznej chmury. Dzięki tym funkcjom, jego aktywność w sieci jest skutecznie chroniona przed cyberatakami, a system z pomocą firewalla nowej generacji potrafi sam automatycznie blokować złośliwe oprogramowanie, w tym ataki typu APT (zaawansowane, ukierunkowane zagrożenia).

Analiza złośliwego oprogramowania typu malware w prywatnej chmurze jest zapewniana przez centralne urządzenie mające łączność ze wszystkimi punktami nadzoru w sieci. Takie rozwiązanie pozwala na  nie wdrażanie NBMD (z ang. Network-based Malware Detection) na wszystkich punktach wejściowych oraz ułatwia wewnętrzną wymianę danych o zagrożeniach

– napisał na blogu Network-based Malware Detection 2.0: Scaling NBMD Mike Rothman, Analyst i President z firmy Securosis.

Szybka identyfikacja i eliminacja nieznanych dotąd zagrożeń sieciowych to klucz do skutecznej ochrony przedsiębiorstwa przed nowoczesnym, złośliwym oprogramowaniem. Tylko Palo Alto Networks daje swoim klientom wybór pomiędzy publiczną i prywatną chmurą. Dzięki temu można skutecznie powstrzymywać zaawansowane ataki na firmową sieć

– komentuje Lee Klarich, Senior Vice President of Product Management z Palo Alto Networks.

 

WF-500

WF-500

WildFire to wykrywanie, analiza i prewencja zagrożeń w jednym

System WildfFre jest używany przez ponad 1 700 firm na całym świecie. Usługa pozwala na stałą aktualizację bazy wirusów na firmową sieć, które w chwilę po wykryciu zostają zidentyfikowane i odesłane do analizy ekspertów z Palo Alto Networks. Jeśli podejrzany plik zostanie określony jako złośliwe oprogramowanie lub zagrożenie typu APT, jego sygnatura pojawi się w bazie wszystkich klientów WildFire, tym samym chroniąc ich przed analogicznym atakiem. Wildfire zapewnia ochronę m.in. przed złośliwym oprogramowaniem wraz z jego aktualizacjami, a także przed generowanym przez niego ruchem sieciowym (DNS oraz CC).

Urządzenie WF-500 zapewnia swoim użytkownikom te same korzyści, co system WildFire. Funkcje wykrywania, analizy i likwidacji podejrzanych plików w prywatnej chmurze są dostępne dla każdego, a dodatkowa subskrypcja WildFire pozwala na wspólne aktualizowanie baz danych w celu zapewnienia jeszcze bezpieczniejszej sieci.

Dostępność produktu

Urządzenie WF-500 jest już dostępne w sprzedaży. Więcej szczegółowych informacji można uzyskać u lokalnych dystrybutorów lub na stronie paloaltonetworks.com.

 

Źródło: paloaltonetworks.com

dodany: 07.06.2013 | tagi: , ,

Obad, czyli najbardziej zmyślny trojan dla Androida

3

Analitycy z Kaspersky Lab zidentyfikowali nowego złośliwca przeznaczonego dla Androida. Malware ten wyróżnia się wyrafinowanymi metodami przed ujawnieniem. Jest o tyle groźny, gdyż jego możliwości sprowadzają się do wysyłania SMS-ów na numery premium. Nowy trojan został ochrzczony jako Obad.

Niestety nie jest to jedyna złośliwa funkcjonalność trojana – potrafi on także pobierać kolejne złośliwe aplikacje, dokonywać operacji przez serwer C&C, a nawet infekować inne smartfony przez protokół Bluetooth.

Kolejny raz, niestety, nie bez winy są sami deweloperzy Androida – Obad wykorzystuje dotąd nieodkryty błąd w systemie, który pozwala na zwiększenie uprawnień dla administratora. Sęk w tym, że jest to możliwe wraz z ukryciem informacji o tym fakcie.

Zostałem zainfekowany – co dalej?

Niestety usunięcie Obada nie jest takie łatwe, podobnie jak jego wykrycie. Pewnym symptomem obecności trojana jest blokowanie ekranu na 10 sekund podczas aktywacji łączności Bluetooth czy też podłączenia do sieci bezprzewodowej. Blokowanie jest spowodowane tym, że zainfekowany smartfon próbuje zarazić inne urządzenia będące w jego zasięgu. Jedynym rozsądnym wyjściem jest zainstalowanie programu antywirusowego. Programiści Google zostali poinformowani o nowej luce – miejmy nadzieję, że zostanie ona szybko usunięta.

Jakie dane zbiera Obad?

Niestety trojan ten przekazuje sporo informacji, takich jak adres urządzenia Bluetooth, nazwa operatora telekomunikacyjnego, numer telefonu wraz z numerem IMEI, a nawet stan konta i lokalny czas ustawiony w smartfonie. 

Co prawda Obad nie jest na razie mocno rozpowszechniony, ale należy liczyć się z faktem, że mogą się pojawić także inne zagrożenia wykorzystujące wspomnianą lukę w Androidzie.

Dla zainteresowanych szczegółami technicznymi odsyłamy na stronę Securlist.

dodany: 02.05.2013 | tagi: , ,

Angielskie banki online atakowane przez groźny malware

0

Sektor finansowy Wielkiej Brytanii jest atakowany przez groźną wersję trojana Ramnit. Jest on o tyle niebezpieczny, gdyż wykorzystuje technikę wstrzykiwania komunikatów do sesji ofiary z bankiem internetowym.  Sam robak jest już stosunkowo stary – został odkryty w 2010 roku, ale w 2011 doczekał się modyfikacji i teraz swoją funkcjonalnością przypomina znanego Zeusa. Na świecie rozpowszechnił się w kilku różnych wariantach, co dodatkowo utrudnia jego rozpoznanie.

Atak zwykle rozpoczyna się od wykorzystania socjotechniki – potencjalna ofiara otrzymuje scam, który imituje działania banku. Nową formułę działania Ramnita wykryli analitycy firmy Trusteer. Malware zostaje nieaktywny dopóki ofiara nie zaloguje się na stronie swojego banku. Gdy to się stanie, to przeprowadzony zostaje atak man-in-the-browser, który sprowadza się w tym wypadku do konfiguracji rzekomego serwisu haseł jednorazowych (z ang. One Time Password, w skr. OTP).

 

Spreparowany komunikat przez Ramnita po zalogowaniu się do bank (źródło trusteer.com)

Spreparowany przez Ramnita komunikat po zalogowaniu się do bank (źródło: trusteer.com)

 

Malware w celu konfiguracji prosi o podanie aktualnego hasła jednorazowego, które jest przejmowane przez serwer C&C. Jak nie trudno się domyślić w tym momencie ofiara czyści swoje konto, przesyłając zgromadzone pieniądze na konto muła pieniężnego, czyli osoby nieświadomej czyje pieniądze faktycznie przekazuje dalej – zwykle takie osoby są werbowane przez ogłoszenia o łatwą pracę.

Oszuści okazali się na tyle zmyślni, że podmienili także sekcję FAQ, do której dodano informacje o konieczności konfiguracji OTP – zwiększa to wiarygodność zmian na stronie banku internetowego.

dodany: 09.04.2013 | tagi: , ,

Opublikowano nowy raport Modern Malware Review

4

Modern Malware Review, najnowsza publikacja Palo Alto Networks, firmy zajmującej się bezpieczeństwem sieci, to pierwszy z serii raportów, których celem będzie analiza nowych i aktywnie ukrywających się zagrożeń typu malware. Jedną z najważniejszych konkluzji inauguracyjnego wydania raportu jest stwierdzenie, że tradycyjne oprogramowanie antywirusowe nie wykrywa większości zagrożeń, które infekują sieci korporacyjne poprzez przeglądarki internetowe.

Modern Malware Review to pierwszy w branży przegląd badający całościowo cykl życia niezidentyfikowanych zagrożeń, od momentu ich przedostania się do sieci, poprzez analizę szkodliwej działalności, za jaką są odpowiedzialne w zainfekowanych urządzeniach, aż do generowanego przez nie ruchu wychodzącego. Kluczowe wnioski raportu:

  • 94% spośród całkowicie niewykrywalnego [przez najpopularniejsze oprogramowanie – przyp. red.] złośliwego oprogramowania przenikało do sieci firmowych w trakcie przeglądania stron internetowych i korzystania z serwerów proxy;
  • 70% złośliwego oprogramowania pozostawia ślady ruchu sieciowego, które wraz z przesyłaną zawartością mogą zostać wykorzystane przez zespoły specjalistów do ich wykrycia;
  • 40% z pozoru unikalnych złośliwych aplikacji bazuje na tym samym kodzie źródłowym;
  • wykorzystywanie protokołu FTP jest jedną z najbardziej efektywnych metod wprowadzania złośliwego oprogramowania do sieci firmowych; 95% malware, które dostawało się do sieci tym kanałem, pozostawało niewykryte przez oprogramowanie antywirusowe przez ponad 30 dni;
  • złośliwe oprogramowanie jest obecnie bardzo dobrze przystosowane do ukrywania swojej obecności w zaatakowanych systemach; w raporcie zidentyfikowano 30 różnych technik pozwalających złośliwemu oprogramowaniu na obejście zabezpieczeń – ponad połowa tych metod polegała na pozostawaniu przez malware niewykrytym.

 

Nie wystarczy stwierdzić, że istnieje złośliwe oprogramowanie, które potrafi unikać wykrycia przez tradycyjne zabezpieczenia. Firmy powinny oczekiwać bardziej kompleksowej ochrony od swoich dostawców zabezpieczeń sieci

– mówi Wade Williamson, Senior Research Analyst z Palo Alto Networks.

Dlatego właśnie powstał Modern Malware Review – nasza analiza oparta na rzeczywistych danych dotyczących niewykrytych zagrożeń, która umożliwia nam uzbrojenie działów IT w praktyczną wiedzę, pozwalającą im zmniejszyć podatność swoich systemów na zagrożenia, które w innym wypadku mogłyby pozostać niezauważone

– dodaje Wade Williamson.

Raport zawiera zestaw zalecanych praktyk, które pomogą zarządzającym bezpieczeństwem sieci lepiej chronić infrastrukturę firmową przed złośliwym oprogramowaniem. Na przykład świadomość tego, że większość zagrożeń, to w rzeczywistości różne wersje tego samego kodu (patrz botnety Zeus), ułatwia specjalistom od zabezpieczeń ich wykrywanie oraz umożliwia stworzenie mechanizmów automatycznie je blokujących.

 Specjaliści od bezpieczeństwa są niemal codziennie bombardowani tysiącami alertów o najnowszych zagrożeniach ze strony złośliwego oprogramowania, jednak analizowanie każdego pojedynczego zagrożenia i opracowywanie sposobów walki z nim przerasta możliwości każdego działu IT

– twierdzi Phil Cummings, Security Administrator w Health Information Technology Services z Nowej Szkocji.

Raporty, takie jak opracowany przez Palo Alto Networks Modern Malware Review, dostarczają rzeczywistych danych na temat sieci i zagrożeń oraz praktyczne zalecenia, które ułatwiają mi pracę

– dodaje Phil Cummings.

W raporcie Modern Malware Review przedstawiono informacje o złośliwym oprogramowaniu na podstawie danych zebranych przez Palo Alto Networks poprzez usługę WildFire, służącą do analizowania zagrożeń ze strony złośliwego oprogramowania. W badaniu, przeprowadzonym w okresie od października do listopada 2012 roku, zidentyfikowano 26 tysięcy sygnatur wskazujących na działanie złośliwego oprogramowania.

Pełny raport  Modern Malware Review można pobrać ze strony Palo Alto Networks.

dodany: 30.03.2013 | tagi: , , , ,

Oszuści wcześniej niż zawsze rozpoczęli kampanie wakacyjnego malware’u

0

E-maile zawierające potwierdzenie rezerwacji lotu są w tym sezonie najczęstszą przynętą, zaraz po rezerwacjach hotelowych, ekstrawaganckich pakietach wycieczkowych i pożyczkach wakacyjnych. W sezonie, wakacyjny spam może osiągnąć poziom maksymalnie nawet 6% całości. A jeśli regularny „biznesowy dzień spamowy” oznacza około 1,8 miliona wszystkich wiadomości, w szczytowym sezonie mówimy o około 10 8000 sztukach o tematyce wakacyjnej dziennie, gdzie fałszywe potwierdzenia lotu są najbardziej rozprzestrzeniane.

E-maile potwierdzające bilety lotnicze lub wpłaty stanowią blisko 60% całego spamu wakacyjnego w tym roku. Wiadomości te zwykle przemycają złośliwe oprogramowania w formie załącznika lub łącza do niebezpiecznych stron internetowych.

Drugą co do rozprzestrzeniania sezonową odmiana oszustwa jest fałszywy biuletyn promujący wczesne rezerwacje luksusowych miejsc wypoczynku na całym świecie w okazyjnych cenach. Komunikaty te są sporządzane w różnych językach, aby dopasować się do lokalizacji, gdzie trafia reklama.

Używane są również pakiety wycieczkowe, oferty ubezpieczenia turystycznego oraz kredyty wakacyjne, które mają zwabić osoby planujące idealne lato.

Bitdefender dowiedział się, że Delta Air Lines i US Airways były najczęściej wybierane, jako dwie z największych linii lotniczych w USA obsługujące każdego roku miliony klientów na całym świecie. Więcej klientów oznacza większe szanse, że oszustwo będzie się opłacać.

Aby uchronić się przed wakacyjnymi oszustwami zapoznaj się z kilkoma wskazówkami, jak zachować bezpieczeństwo podczas planowania idealnych wakacji:

  • Sprawdź stronę, której używasz do zarezerwowania lotu lub dokonania rezerwacji hotelu.
  • Zobacz, co inni mają do powiedzenia na temat danej strony rezerwacji. Przeczytaj ich komentarze i opinie o usługach tej strony.
  • Postaraj się skontaktować z przedstawicielem firmy, który może dostarczyć ci jak najwięcej informacji o rezerwacji lub miejscu na urlop.
  • Nie klikaj linków umieszczonych w e-mailach, które pojawiają się w skrzynce odbiorczej, jeśli prosiłeś o oferty podróży lub potwierdzenie rezerwacji lotów. I nigdy nie otwieraj plików dołączone do tych e-maili.
  • Podczas wyjazdu na wakacje swoich marzeń, nie ogłaszaj tego na portalach społecznościowych. Pusty dom może być bardzo kuszący dla włamywaczy. Zabezpieczenie świata wirtualnego może pomóc zabezpieczyć ten realny świat.
  • Unikaj zakupów online czy bankowości elektronicznej i operacji na kontach kart kredytowych podczas korzystania z publicznych hotspotów Wi-Fi: na lotniskach, w kawiarniach czy centrach handlowych. Nie rób tego również za pośrednictwem Internetu w hotelu.

Więcej szczegółów i przykłady już istniejącego spamu znajdziesz poniżej:

Ostatnia kampania spamu wakacyjnego, mająca na celu budżet planujących wakacje jest wybitnie sezonowa, spam „Twój eBilet”  kierowany jest do klientów linii lotniczych Delta Air Lines. Wiadomość wymaga od ludzi potwierdzenia rezerwacji lotu i sprawdzenia informacji w załączonym pliku PDF.

Fałszywy mail (źródło Bitdefender)

Fałszywy e-mail z złośliwym załącznikiem (źródło: Bitdefender).

 

Załącznik ukrywa bardzo niebezpieczną wersję trojana Sirefef z funkcjami rootkita, który zrobi bałagan w systemie operacyjnym użytkownika oraz stworzy idealne środowisko dla innych rodzin złośliwego oprogramowania skierowanego w ofiarę.

Klienci US Airways muszą uważać na dedykowany spam z prośbą o potwierdzenie kodu lotu. Niektóre takie e-maile zawierają linki, które przekierowują użytkowników do strony internetowej reklamy o „cudownych roślinach odchudzających”. Inne, z dokładnie taką samą nazwą i wyglądem, prowadzą użytkowników do stron związanych z Exploitem Blackhole, aby narazić ich na działanie zestawu exploitów, które dyskretnie czytają konfigurację przeglądarki użytkownika, szukają luk, a następnie atakują złośliwym oprogramowaniem – wszystko bez interakcji użytkownika.

letni oszusci 2

Klasyczna taktyka spamu w początkach planowania wakacji jest nastawiona na atrakcyjne zniżki dla rezerwacji z wyprzedzeniem w luksusowych hotelach w Peru, Indiach lub na egzotycznych wyspach Oceanu Spokojnego. Podczas gdy niektóre próbki są jedynie uciążliwe, inne zawierają złośliwe linki i załączniki. Jeśli jest to spam, traktuj je ostrożnie!

Spamerzy mają na celowniku również pracowników firm, wysyłając e-maile z komunikatami prezentującymi lokale w zespołach budynków, konferencje, prezentacje nowych produktów lub inną działalność gospodarczą.

letni oszusci 1

Atak nie zawsze jest wymierzony w osobę, która otrzymała wiadomość. Czasami są one środkiem do większego celu, jak na przykład pracodawcy danej osoby. Pracownik Jednakże nie może dawać atakującemu sposobności.

Oszuści rozprzestrzeniający wakacyjny spam mogą mieć różne cele: gromadzenie kontaktów, aby zbudować sieć ofiar dla przyszłych kampanii malware i spamu, zbieranie danych z kart, danych osobowych lub kont FTP, które mogą być wykorzystywane do hostingu złośliwego oprogramowania kosztem ofiary. To wszystko zależy od potrzeb atakującego.

Uwaga: Wszystkie nazwy produktów i firm wymienione w niniejszym dokumencie są zamieszczone wyłącznie w celach identyfikacji i są własnością oraz mogą być znakami towarowymi ich właścicieli.

dodany: 28.03.2013 | tagi: , ,

Parszywa dwunastka: najgroźniejsze wirusy ostatnich lat wg ESET

12

Co łączy irańskie wirówki do wzbogacania uranu, gruzińskie dokumenty rządowe i projekty graficzne przygotowane w AutoCADzie? Wszystkie wymienione stały się celem zagrożeń komputerowych. Eksperci z laboratorium antywirusowego ESET wytypowali dwanaście złośliwych programów, które w ciągu ostatnich miesięcy i lat na masową skalę kradły, podsłuchiwały i szpiegowały swoje ofiary, a nawet ingerowały w politykę wybranych Państw.

Kamil Sadkowski z krakowskiego laboratorium antywirusowego firmy ESET zwraca uwagę, że czasy wirusów, których działanie ograniczało się wyłącznie do wyświetlania prostej grafiki lub odtwarzania krótkiej melodii minęły bezpowrotnie. Współczesne wirusy, a raczej hybrydy wirusów, spyware’ów, koni trojańskich i robaków internetowych, nie są już eksperymentami nastolatków. To dzieła tworzone na zamówienie najprawdziwszych przestępców, a czasami nawet rządów konkretnych państw. Coraz częściej zagrożenia powstają w celu realizowania konkretnych zadań. Obecne wirusy komputerowe sprawiają, że z dysków wykradane są tajne dane wojskowe, projekty graficzne oraz patenty rozwiązań.

Oto dwanaście wyjątkowo złośliwych zagrożeń, które w ostatnich latach przysporzyły sporo problemów nie tylko pojedynczym użytkownikom, ale również rządom niektórych państw.

1. ACAD/Medre – wyspecjalizowany szpieg przemysłowy – wykradł ponad 1000 projektów graficznych przygotowanych w programach AutoCAD
Rok identyfikacji: 2012
ACAD/Medre.A spustoszył bazy projektowe peruwiańskich przedsiębiorstw, wykradając z nich projekty AutoCAD i wysyłając je później do 43 wskazanych skrzynek e-mailowych, które ulokowano na serwerach w Chinach. W wyniku działania ACAD/Medre architekci i projektanci z Peru mogli ponieść znaczące straty finansowe – cyberprzestępca, który uzyskał dostęp np. do projektu graficznego konkretnego patentu, mógł go zarejestrować przed prawowitym twórcą. Na działanie zagrożenia podatne są programy AutoCAD w wersjach od 14.0 do 19.2 (od AutoCAD 2000 do AutoCAD 2015).

2. PokerAgent – internetowy złodziej tożsamości – wykradł ponad 16 tys. danych dostępowych do Facebooka w Izraelu
Rok identyfikacji: 2012
Stworzony w celu zdobycia informacji o izraelskich użytkownikach Facebooka, korzystających z popularnej aplikacji Texas Holdem Poker. Zagrożenie stworzyło botnet obejmujący 800 maszyn i skradło dane dostępowe 16 194 użytkowników Facebooka. PokerAgent potrafił kojarzyć przejmowane konta FB z wynikami danego użytkownika w Zynga Texas Holdem Poker oraz ilością posiadanych przez niego kart kredytowych przypisanych do konta. Zagrożenie zablokowano dzięki współpracy ekspertów z firmy ESET z izraelskimi władzami. Prawdopodobnie twórca zagrożenia planował ograbić wirtualnych pokerzystów z ich pieniędzy.

3. Win32/Georbot – wirtualny szpieg – przeszukiwał dyski gruzińskich komputerów, szukając dokumentów nt. FBI, CIA, KGB
Rok identyfikacji: 2011
Koń trojański, który atakował na terenie Gruzji. Po zainfekowaniu komputera wykorzystywał całe spektrum technik szpiegowskich: nagrywał filmy za pomocą kamer zainstalowanych w zarażonych komputerach, rejestrował dźwięk za pomocą wbudowanych mikrofonów i wykonywał zrzuty ekranu. By uniknąć wykrycia przez skanery programów antywirusowych trojan samodzielnie aktualizował się do nowszych wersji. Według laboratorium firmy ESET Georbot skanował dyski zainfekowanych komputerów w poszukiwaniu dokumentów zawierających słowa (pisane w języku angielskim) minister, agent, tajny, USA, Rosja, FBI, CIA, broń, FSB czy KGB.

4. German Bundestrojaner – cyberszpieg niemieckiego rządu – nasłuchiwał i rejestrował rozmowy prowadzone za pośrednictwem komunikatorów internetowych
Rok identyfikacji: 2011
Dwa lata temu członkowie europejskiego stowarzyszenia Chaos Computer Club ujawnili możliwości konia trojańskiego, stworzonego przez niemiecką policję. Zagrożeniu nadano nazwę „Bundestrojaner” – trojana federalnego, którego ESET identyfikuje jako Win32/R2D2.A. Z jego pomocą niemiecka policja zyskała możliwość przechwytywania komunikacji realizowanej za pomocą Skype, MSN Messenger, Yahoo Messenger oraz X-Lite. Trojan działał również jako keylogger, mógł też wykonywać zrzuty ekranu z zainfekowanej maszyny i nagrywać dźwięk za pomocą wbudowanego w maszynę mikrofonu. Zebrane informacje trafiały automatycznie do zdalnego komputera.

5. Stuxnet – cybersabotażysta – robak internetowy, wykorzystany do szpiegowania i ingerencji w instalacje irańskich elektrowni atomowych
Rok identyfikacji: 2011/2012
Zadaniem Stuxneta było sabotowanie irańskiego programu nuklearnego. Robak okazał się niezwykle skuteczny – według New York Timesa Stuxnet czasowo unieruchomił niemal 1000 z 5000 irańskich wirówek do oczyszczania uranu. Ostatecznie zagrożenie zostało wyeliminowane, a Iran wznowił pracę wspomnianych urządzeń.

6. BlackHole – niezbędnik cyberprzestępcy – popularny zestaw exploitów 
Rok identyfikacji: 2010
Gdyby cyberprzestępcy mieli swoją listę przebojów, to rosyjski Blackhole byłby zapewne w pierwszej piątce. Blackhole to zestaw exploitów, czyli zestaw narzędzi, które identyfikują i wykorzystują luki w różnego typu programach, do infekowania danej maszyny kolejnymi formami złośliwego oprogramowania. Twórcy Blackhole dają możliwość wypożyczenia zestawu exploitów w zamian za wniesienie stosownej opłaty o wartości kilku tysięcy dolarów. Razem z Blackholem kupujący otrzymuje indywidualne wsparcie techniczne.

7. Win32/Induc – wirus w legalnym programie – zagrożenie rozprzestrzeniające się w aplikacjach przygotowanych w języku Delphi
Rok identyfikacji: 2009
Induc najpierw infekuje komputer programisty, który tworzy aplikacje w środowisku Delphii, a następnie przenika do każdego programu skompilowanego na danej maszynie. Jeśli zarażona aplikacja trafi do innego programisty Delphi, Induc zarazi również jego środowisko programistyczne. Sytuacja, w której to programista staje się źródłem infekcji jest groźna, ponieważ podważa wiarygodność twórców i firm tworzących oprogramowanie. Induc nie stwarza bezpośredniego zagrożenia dla systemów użytkowników końcowych, chociaż mogą mieć oni trudności z uruchamianiem programów, które antywirus rozpozna jako zarażone.

8. OSX/Adware.MacDefender – wirus jako antywirus – fałszywa aplikacja antywirusowa dla OS X 
Rok identyfikacji: 2011
Zagrożenie to przedstawiało się posiadaczom komputerów firmy Apple jako MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard czy MacShield – był to prawdopodobnie najpowszechniejszy fikcyjny antywirus atakujący system OS X. Infekcja rozprzestrzeniała się poprzez linki, podsuwane przez wyszukiwarkę internetową podczas wyszukiwania plików graficznych. Kliknięcie odnośnika powodowało wyświetlenie informacji o wykryciu w systemie koni trojańskich, które można usunąć za pomocą wskazanego rozwiązania antywirusowego. Instalacja wskazanego programu kończyła się wyświetleniem kolejnego komunikatu. Tym razem aplikacja informowała, że pobrany program jest niezarejestrowaną kopią i żeby z niej korzystać należy wnieść stosowną opłatę.

9. OSX/Flashback – najpoważniejsze zagrożenie wymierzone w system OS X – zainfekowało ponad pół miliona komputerów firmy Apple
Rok identyfikacji: 2011
Przeglądarka internetowa komputera zainfekowanego OSX/Flashback podmienia reklamy i odnośniki, tak aby ich kliknięcie kończyło się pobraniem i instalacją kolejnego złośliwego oprogramowania. OSX/Flashback zbiera informacje o zarażonym komputerze, jego systemie i ustawieniach, a następnie przesyła te dane do zdalnej maszyny. Zagrożenie utworzyło największy w historii botnet złożony z komputerów firmy Apple, obejmujący 600 000 zarażonych maszyn. Późniejszy wariant zagrożenia zawierał exploit CVE -2012-0507 w Javie, wykorzystywany również przez exploit BlackHole.

10. Android/Boxer – smartfonowy wyłudzacz – koń trojański atakujący posiadaczy smartfonów z Androidem 
Rok identyfikacji: 2012
Infekcję tym koniem trojańskim zwykle inicjuje sam użytkownik, pobierając z sieci nielegalną kopię płatnej i popularnej gry. Zbyt szybka akceptacja warunków, na jakich dana aplikacja jest udostępniana, naraża użytkownika na nieoczekiwane koszty. W efekcie użytkownik otrzymuje wiadomości SMS, za które naliczana jest podwyższona opłata, obciążająca rachunek abonenta. Android/Boxer atakował użytkowników w 63 krajach świata – w tym w Polsce.

11. ZeuS, SpyEye (ZitMo, SpytMo) – bankowi cyberrabusie – konie trojańskie sprzedawane jako gotowe pakiety złośliwych programów 
Rok identyfikacji: 2007 (Zeus), 2009 (SpyEye)
ZeuS i SpyEye to zagrożenia, które koncentrują swoją uwagę na wszelkiego typu transakcjach finansowych, głównie na tych realizowanych za pośrednictwem bankowości elektronicznej – stąd pojęcie „bankowych” trojanów. Zeus pojawił się w 2007, a trzy lata później pojawiła się jego wersja dla urządzeń mobilnych. Do 2011 powstały cztery mobilne wersje tego zagrożenia na platformy Windows Mobile, Symbian, Blackberry oraz Android.

12. TDL4 (Olmarik, Rovnix, Olmasco) – wyjątkowo groźny – złośliwy i bardzo przebiegły rootkit 
Rok identyfikacji: 2010
TDL4 to obecnie najprawdopodobniej jeden z najbardziej zaawansowanych technicznie rootkitów. Jego twórcy wyposażyli zagrożenie w narzędzie umożliwiające skuteczne maskowanie i oszukiwanie mechanizmów bezpieczeństwa, wbudowanych w systemy operacyjne. Zagrożenie TDL4 zaczęło rozprzestrzeniać się w sierpniu 2010. Od tego czasu zidentyfikowano już kilka wersji rootkita. Zagrożenie może infekować również maszyny z 64-bitowymi wersjami systemów Windows 7 oraz Vista.

Źródło: ESET