Artykuły dotyczące tematu: trojan

dodany: 26.03.2013 | tagi: , , ,

Fala cyberoszustw „na fiskusa”

0

Eksperci z firmy ESET  przechwycili serię wiadomości e-mail, których nadawca, podszywając się pod słowacki urząd skarbowy, nakłania do pobrania z sieci konia trojańskiego. W treści wiadomości oszust informuje o zaległym podatku, który należy uiścić na indywidualne konto podatnika. Numer tego konta wskazany jest w dokumencie, który należy pobrać z Internetu. Kliknięcie we wskazany odnośnik skutkuje zainfekowaniem komputera koniem trojańskim Win32/Sazoora.A, który wykrada loginy i hasła zapisane w przeglądarkach internetowych.

Analitycy zagrożeń z laboratorium antywirusowego firmy ESET podkreślają, że nadawcą fałszywych wiadomości nie był słowacki urząd skarbowy. Ktoś dokonał tzw. spoofingu, czyli rozesłał wiadomości, w których podszył się pod tę instytucję. Taki rodzaj ataku możliwy jest dzięki odpowiedniej modyfikacji w nagłówku wiadomości, dzięki temu odbiorca e-maila ma wrażenie, że otrzymana wiadomość została wysłana albo przez znaną osobę, albo przez zaufaną instytucję, np. bank, firmę wysyłkową lub (jak w omawianym przypadku) przez urząd skarbowy.

Pułapka przechwycona przez ekspertów z firmy ESET została przygotowana bardzo starannie – treść wiadomości nie zawiera błędów gramatycznych, a całość pisana jest w urzędowym stylu. O tym, że oszustwo okazało się skuteczne może świadczyć fakt, iż według laboratorium antywirusowego ESET koń trojański Win32/Sacoora.A próbował przeniknąć do systemów informatycznych kilku słowackich firm i organizacji. Co zdecydowało o tym, że oszustwo okazało się skuteczne?

Atakujący wykorzystał to, że większość Słowaków rozlicza teraz podatek za ubiegły rok oraz fakt obowiązującego zaledwie od dwóch lat prawa, które określa, że należny podatek każdy podmiot wpłaca na indywidualnie przydzieloneu konto. To właśnie te dwa czynniki sprawiły, że w pułapkę zastawioną przez cyberoszusta wpadło już kilka firm

– podkreśla Peter Stančík, ekspert firmy ESET.

 

W jaki sposób działa Win32/Sazoora.A

Zagrożenie po przedostaniu się na dysk komputera wykrada loginy i hasła do setek serwisów internetowych, zapisane wcześniej w pamięci przeglądarek Internet Explorer, Google Chrome oraz Mozilla Firefox. Zgromadzone dane koń trojański przesyła następnie do zdalnego komputera.

Należy podkreślić, że atak zidentyfikowany przez ekspertów z firmy ESET wymierzony jest wyłącznie w słowackie firmy. Nie można jednak wykluczyć, że bardzo szybko znajdą się naśladowcy, którzy spróbują skopiować oszustwo w innych krajach, np. w Polsce. Peter Stančík z ESET zwraca również uwagę, że o skuteczności tego typu ataków decydują zwykle użytkownicy lub pracownicy firm. Brak odpowiedniej wiedzy i doświadczenia może spowodować, że odbiorca wiadomości kliknie odnośnik i sprowadzi w ten sposób spore problemy na siebie lub przedsiębiorstwo, w którym pracuje.

Źródło: ESET

dodany: 22.03.2013 | tagi: , , ,

W prezencie zamiast informacji o dostawie z DHL dostaniesz złośliwe oprogramowanie

4

Historia wszystkim znana, a jednak wciąż aktualna i do znudzenia przewidywalna, pokazuje jak bardzo naiwni są niektórzy użytkownicy Internetu.

Cyberprzestępcy postanowili zaspamować wiadomość e-mail podszywając się pod dwie najsłynniejsze firmy przewozowe: DHL i FedEx.

W e-mailu czytamy, że kurier próbował dostarczyć ofierze paczkę, ale niestety mu się to nie udało. W niektórych wersjach dodawano też informacje o poprzednich powiadomieniach dotyczących odbioru rzekomej przesyłki.

Tak czy inaczej, niektórzy ludzie po prostu nie potrafią się oprzeć zawartości takiego e-maila. Co z tego, że niczego nie zamawialiśmy i nie czekamy na żadną przesyłkę. Ciekawska część niektórych użytkowników Internetu jest jednak tak wielka, że wręcz czują wewnętrzny przymus otworzenia jednego z załączników lub osadzonego w wiadomości adresu URL. Konsekwencje są tragiczne. Zainfekowany komputer, kontrola przejęta dzięki wrzuconemu trojanowi. Bye, bye komputerze.

Śledząc branżę bezpieczeństwa komputerowego muszę przyznać, że próba nauki użytkowników Internetu, że nieznanych e-maili najlepiej nie otwierać, a już zaglądanie w załączone do nich pliki to podłożenie sobie nogi sprawia, że zaczynam widzieć powiązania tejże branży z pracą u podstaw.

dhl1

Jeden z e-mail wysłany do potencjalnej ofiary, źródło: Sophos.

W e-mailu domniemany DHL nalega, aby potencjalna ofiara jak najszybciej wydrukowała załączoną etykietę i udała się do punktu pocztowego w celu odebrania przesyłki, bo jeśli nie to zostaną naliczone dodatkowe opłaty.

Mechanizm inżynierii społecznej w najprostszym i, jak widać, najskuteczniejszym wydaniu.

dodany: 22.03.2013 | tagi: , , , ,

Uwaga na malware dla Mac OS

8

Ostatnio wielu użytkowników Mac OS X zauważyło dodatkowy niechciany składnik w swojej przeglądarce, który nazywa się Yontoo. Plugin ten został stworzony dla kilku przeglądarek – nie tylko Safari, ale także Chrome, Firefoksa oraz ich odpowiedników Windowsowych włącznie z Internet Explorer, przy czym infekcje dotyczą głównie systemu Apple.

Dodatek ten został opublikowany przez Yontoo LLC, który wg opisu tworzy wirtualne warstwy przeglądanych stron internetowych, które mogą być dowolnie zmodyfikowane, np. poprzez dodanie reklam. Faktycznie plugin ten prowadzi do trojana o nazwie Yontoo.1, który został wykryty przez Dr Web.

Złośliwe rozszerzenie ukrywa się w kilku różnych aplikacjach – m.in. w odtwarzaczu multimedialnym, ulepszaczu wideo, a także jako przyspieszacz pobierania. Instaluje się też jako dodatek Free Twit Tube i fałszywy plugin do odtwarzania materiału wideo w jakości HD:

Złośliwy dodatek Yontoo (źródło Dr Web)

Złośliwy dodatek Yontoo (źródło: Dr Web).

 

Jedna z postaci malware'u (źródło Dr Web)

Jedna z postaci malware’u (źródło: Dr Web).

Yontoo rozprzestrzenia się też przez zainfekowane strony – obecnie znane są następujące:
• www.bottombarbrain2.com
• vpntease.com
• trafficvance.com
• amit.com
• lgit.com
• www.superfish.com
• www.dropdowndeals.com
• www.ireview.com
• noproblemppc.com
• www.toprelatedtopics.com
• chango.com
• lotame.com
• easyinline.com
• msfsob.com
• mythingsmedia.net
• www.yontoo.com
• getsuperweb.com

Po zainstalowaniu dodatku u ofiary są wyświetlane dodatkowe reklamy. Oprócz tego trojan wysyła informacje o odwiedzanych stronach, dlatego przestrzegamy przed instalowaniem tego dodatku.

dodany: 13.03.2013 | tagi: , ,

Jak ukryć keyloggera w Androidzie?

2

O zagrożeniach związanych z Androidem pisaliśmy już wiele. Coraz trudniej o zaufanie do używanych aplikacji – jak się okazuje, potencjalnie bezpieczne aplikacje można łatwo zamienić w niebezpieczne. Tak właśnie stało się z popularną aplikacją SwiftKey, która tylko teoretycznie  jest wirtualną klawiaturą. W praktyce w łatwy sposób możemy stać się na przykład ofiarą keyloggera, działającego pod przykrywką znanej aplikacji.

Jeden z developerów Androida wykorzystał ten fakt i pokazał, jak to zrobić, wykorzystując w tym celu odpowiedniego trojana. Okazuje się, że wystarczy dokonać odpowiedniego wstrzyknięcia do dotychczasowej aplikacji.

Sama aplikacja jest płatna – SwiftKey w sklepie Google Play kosztuje 4 euro. Fakt ten może skusić co niektórych użytkowników Androida do skorzystania z nielegalnego oprogramowania – ci użytkownicy są szczególnie narażeni na atak.

Łatwość modyfikacji androidowych apek jest spowodowana zastosowaniem Javy. Autor zmodyfikował w ten sposób znaną aplikację na potencjalnie niebezpieczną. Przejęte sekwencje klawiszy przesyła zdalnie na określony serwer.

Dla zainteresowanych odsyłamy na stronę autora, gdzie jest opisane krok po kroku, jak zmodyfikowano aplikację. Złośliwą wersję aplikacji możecie pobrać z tego miejsca. Autor udostępnił też zgromadzone dane za pomocą jego aplikacji – są one dostępne pod tym adresem.

dodany: 13.03.2013 | tagi: , ,

Nowy wirus atakuje serwery Linux

2

Obserwując coraz większą liczbę włamań na serwery z systemem Linux, analitycy z rosyjskiej firmy antywirusowej Doctor Web odkryli trojana, nazywając go Linux.Sshdkit, który jest wykorzystywany do wykradania haseł.

Złośliwe oprogramowanie ukrywa się pod postacią bibliotek dla 32-bitowych i 64-bitowych dystrybucji Linuksa. Jeszcze nie ustalono, jak rozprzestrzenia się Linux.Sshdkit, ale istnieją powody, by sądzić, że wykorzystuje krytyczne podatności, aby przejąć kontrolę nad atakowanymi serwerami.

Po udanej instalacji trojan wszczepia swój kod do procesu sshd, a następnie wykorzystuje jego mechanizmy autoryzacyjne. Po uruchomieniu sesji i wprowadzeniu nazwy oraz hasła użytkownika, wirus przesyła te dane do odległego serwera za pośrednictwem protokołu UDP. Adres IP serwera sterującego został umieszczony na stałe w kodzie złośliwego programu. Jednakże co dwa dni trojan generuje nowy adres serwera sterującego, używając do tego specyficznej właściwości.

Linux.Sshdkit korzysta ze specjalnego algorytmu generowania dwóch nazw DNS, a jeśli obie nazwy odnoszą się do tego samego adresu IP, to adres ten jest wymieniany na inny adres IP, na który trojan przesyła wykradzione informacje. Procedura służąca do generowania adresów serwera sterującego została przedstawiona na schemacie przepływu widocznym poniżej:

Schemat działania trojana Linux.Sshdkit

Algorytm działania trojana Linux.Sshdkit.

Analitycy Doctor Web przejęli jeden z serwerów sterujących Linux.Sshdkit i w ten sposób potwierdzili, że trojan przesyła wykradzione loginy i hasła na zdalne serwery. Sygnatura trojana Linux.Sshdkit została już dodana do bazy wirusów Dr. Web. Doctor Web zaleca wszystkim administratorom serwerów Linux sprawdzenie systemu. Jeżeli istnieje w nim plik /lib/libkeyutils* (od 20 do 35 KB), to jest to objaw infekcji

– mówi Joanna Schulz, specjalista z Doctor Web.

Jedną z metod na usunięcie wymienionego wyżej trojana jest skorzystanie z darmowego narzędzia Dr. Web CureIt!, dostępnego pod adresem freedrweb.com.

dodany: 12.03.2013 | tagi: ,

Bank Rezerwy Australii zainfekowany chińskim wirusem

0

Bank Rezerwy Australii został zainfekowany kawałkiem złośliwego oprogramowania, które  wg doniesień Reutersa rzekomo pochodzi z Chin.

Według banku,  stał się on celem infekcji przez podejrzane e-maile wysyłane rzekomo od pracownika banku w sprawie strategicznego planowania FY2012 w listopadzie 2011.

Cyberprzestępcy zamiast popularnego wrzucenia złośliwego oprogramowania  do załącznika, osadzili link odnoszący się do załadowanego wirusa. Link prowadzi do pliku ZIP, który zawiera Trojana niedającego się wykryć przez antywirus w systemów bankowych.

W celu obejścia istniejącej kontroli bezpieczeństwa cyberkryminaliści użyli prawdziwego podpisu, wiarygodnego tematu i treści bez dołączania żadnych załączników.

Reuters dodaje też, że stwierdzono iż sześciu użytkowników już kliknęło w szkodliwe łącze i potencjalnie naraziło swoje stanowiska pracy.

Bank podał, że zakażone komputery nie miały lokalnych uprawnień administratorów, co zapobiegło rozprzestrzenieniu się wirusa w obrębie całej sieci. Rzecznik banku zapewnił, że żadne dane nie zostały skradzione.

Jedno kliknięcie w link od, zdaje się zaufanego, nadawcy mogło w przypadku Banku Rezerwy Australii stać się kompletną kompromitacją i totalnym spadkiem zaufania. Skończyło się jednak na strachu i kilku zainfekowanych komputerach.

dodany: 08.03.2013 | tagi: , ,

Androidowy trojan w stylu Bollywood

0

Eksperci z McAfee odkryli nowy szczep trojanów przeznaczonych na urządzenia z Androidem na pokładzie. tym razem hakerzy postanowili pójść w stronę Bollywood.

McAfee Mobile Research zidentyfikowało 5 aplikacji zawierających Antroid Trojan/JobFraud.

Trojan niczym złoczyńca w niejednym bollywoodzkim filmie działa w tle, mącąc szczęście głównego bohatera. A gdy urządzenie jest uruchamiane pokazuje komunikat „Ważny e-mail od HR, zrób, co trzeba”. Gdy użytkownik zrobi co trzeba, zostaje przekierowany na stronę z fałszywą ofertą pracy.

mobile_tata_job_fraud

 

Źródło: McAfee

Trik polega na tym, aby ofiara uwierzyła, że została faktycznie wybrana jako kandydat do nowej pracy. W celu zabezpieczenia otrzymanego stanowiska muszą dokonać wpłaty na podane konto bankowe.

mobile_tata_job_fraud2

Fałszywy mail, którego nadawcą rzekomo jest firma TATA. Źródło: McAfee

Dochodzenie McAfee pokazało, że istnieją dwie wersje tego oszustwa. Jedno krążyło po sieci w styczniu drugie w lutym. Odnoszą się one jednak do tej samej oferty pracy z niewielkimi różnicami w datach.

dodany: 26.02.2013 | tagi: , , , ,

Jak hakerzy wykorzystali raport bezpieczeństwa do wysyłania Trojanów

0

Hakerzy osadzili wirusy w raporcie bezpieczeństwa opublikowanym przez Mandiant, amerykańskiego dostawcy zabezpieczeń IT. Zapisane w raporcie kontrowersyjne słowa o powiązaniu ataków cybernetycznych na USA z chińską armią zadziałały jak płachta na byka.

Symantec odkrył, że hakerzy postanowili wykorzystać cyfrową wersję raportu jako przynętę i osadzili w niej złośliwe oprogramowanie o nazwie Trojan.Pidief. Po pobraniu skażonej wersji raportu zawarte w nim wirusy pozwalały na zdalne przejęcie komputera, gdy jego użytkownik starał się ów raport przeczytać. Gdy ofiara otwiera rzekomy raport, jej oczom ukazywał się pusty dokument PDF. Bez wiedzy użytkownika zainfekowany raport uruchamiał kod eksploita dla Adobe Acrobata i Readera.

fake_maile_symantec

Symantec dotarł do maila w języku japońskim wysłanego do kogoś z branży medialnej, w załączniku znajdował się zainfekowany raport.
Źródło: Symantec

Chińskie Ministerstwo Obrony odrzuca te doniesienia i określa je nieprawdziwymi oraz twierdzi. Dodaje również  że twórcy raportu mnie posiadają technicznych podstaw do wysnucia wniosków o chińskim pochodzeniu ataków.W raporcie Mandiant wskazał na 12-piętrowy budynek w Szanghaju, jako miejsce pracy sponsorowanej przez rząd grupy APT1 zajmującej się szpiegostwem internetowym. Głównym celem APT1 było atakowanie kolejnych amerykańskich przedsiębiorstw i organizacji rządowych. W raporcie Mandiant napisał, że duża liczba adresów IP APT1 zdradza ich prawdziwą lokalizację i język operatorów.

dodany: 29.01.2013 | tagi: , ,

Trojan atakuje pokerzystów na Facebooku

0

Analitycy zagrożeń z firmy antywirusowej ESET przyczynili się do likwidacji groźnego trojana atakującego facebookowych pokerzystów. Twórca zagrożenia wykradł za jego pośrednictwem ponad 16 tysięcy haseł i loginów oraz dane kart kredytowych użytkowników Texas HoldEm Poker. Popularna aplikacja produkcji Zynga Inc. notuje 35 milionów odwiedzających miesięcznie.

Jak podkreślają eksperci z laboratorium antywirusowego ESET koń trojański MSIL/Agent.NKY został wykryty już w grudniu 2011. Atakował głównie na terenie Izraela, a jego celem byli użytkownicy popularnej na Facebooku aplikacji Texas HoldEm Poker. System proaktywnej ochrony ESET już wtedy chronił użytkowników, a z początkiem 2012 specjaliści producenta programów antywirusowych powiadomili o zagrożeniu izraelski CERT (z ang. Computer Emergency Response Team) oraz izraelską policję. W ostatnich dniach doprowadziły one do likwidacji zagrożenia. Zakończenie śledztwa pozwala rzucić więcej światła na niebezpieczny malware, którego ofiarą mogły paść tysiące wirtualnych pokerzystów.

Twórcy zagrożenia udało się wykraść loginy i hasła dostępu do Facebooka ponad 16 tys. graczy. W momencie uruchomienia aplikacji za pośrednictwem FB trojan kojarzył dane dostępowe użytkownika z jego wynikami w grze oraz wybranymi metodami płatności. Ponieważ aplikacja pozwala uzupełniać żetony do gry realnymi pieniędzmi z karty kredytowej lub konta PayPal, trojan sprawdzał liczbę zarejestrowanych kart kredytowych przypisanych do konta danego gracza.

Jeżeli użytkownik nie posiadał karty kredytowej lub miał niski wynik w grze to zainfekowany komputer umieszczał na jego ścianie Facebooka link do strony wyłudzającej dane. Krzykliwymi, tabloidowymi treściami wabiła ona znajomych nieświadomego gracza do witryny przypominającej startowy ekran FB. Zalogowanie przez nią oznaczało powierzenie swoich danych cyberprzestępcy i dalszy rozwój procederu. Specjaliści ESET ustalili, że na dzień dzisiejszy ofiarą ataku mogło paść 16 194 użytkowników oraz że praktycznie każda aplikacja mogła zostać zainfekowana w taki sam sposób jak wirtualny poker.

By uchronić się przed atakami bazującymi na tego rodzaju sztuczkach psychologicznych nie wystarczy dobry program ochronny. Użytkownik musi być szczególnie wyczulony, zwłaszcza że w grę wchodzą prawdziwe pieniądze. Użytkownik rozpoznałby, że strona logowania FB została podmieniona, gdyby sprawdził adres URL stron

– mówi Robert Lipovsky, główny analityk zagrożeń ESET.

Liczba zagrożeń wykorzystujących Facebooka stale rośnie. Wychodząc naprzeciw rosnącemu zapotrzebowaniu ESET wprowadza bezpłatną aplikację bezpieczeństwa ESET Social Media Scanner. Program chroni użytkownika i pozwala bezpiecznie korzystać z popularnego serwisu społecznościowego.

Skaner sprawdza i usuwa zagrożenia na twoim profilu, a także informuje o podejrzanych postach wykrytych na profilach twoich znajomych.

Informacja ze strony producenta.

dodany: 20.01.2013 | tagi: , , ,

Niebezpieczny trojan szerzący się przez Skype’a

0
Niebezpieczny trojan szerzący się przez Skype’a

Niech nie zmyli was niepozorna nazwa nowego trojana Shylock – nie ma się on czego wstydzić, gdyż jest on skierowany do ataków na konta bankowe użytkowników domowych. Jego możliwości są regularnie ulepszane. Jak podaje CSIS Security Group obecnie trojan ten rozszerza się pod przykrywką pluginu dla Skype’a. Do tej pory identyfikowano go w pliku msg.gsm, który pozwala na wysyłanie złośliwego oprogramowania bezpośrednio przez wiadomości znanego komunikatora, bądź bezpośrednio przez funkcję wysyłania plików.

Trojan jest na tyle sprytny, że fakt ten ukrywa w historii wiadomości oraz transferu. Oprócz tego posiada obejście zabezpieczeń serwerów komunikatora, pozwalając na bezpośredni przesył niebezpiecznych plików.

skype-plugin

 

Niestety to nie jest jedyna droga infekcji Shylocka – potrafi on także rozprzestrzeniać się przez sieć lokalną oraz oczywiście przenośne pamięci.

 

Jakie są możliwości trojana?

Atakujący ma możliwość kradzieży plików cookie, wstrzykiwania danych w protokół HTTP, a także zestawienia zdalnego połączenia VNC oraz może przesyłać pliki na zainfekowany komputer. Oprócz tego haker może po cichu uruchomić dowolny plik. Jeśli włamywacz uzna, iż zebrał wystarczające dane, może  usunąć trojana i zatrzeć wszelkie ślady, których nie zauważy standardowy użytkownik.

 

Czy jestem bezpieczny?

Niestety Shylock, mimo że został rozpoznany w swojej obecnej formie już w grudniu ubiegłego roku, to nadal spora część programów zabezpieczających nie radzi sobie zupełnie z jego detekcją – na chwilę obecną aż 20 programów AV nie potrafi wykryć zagrożenia, jakie kryje za sobą plugin msg.gsm. Zaledwie 3 dni temu, zanim CSIS podniosło ostrzeżenie wykrywalność wśród wszystkich 46 programów była zerowa! Sam trojan po raz pierwszy został rozpoznany przez firmę Truster w 2011 roku.

Z czego to wynika? Shylock już od dłuższego czasu posiada detekcję odpalenia w środowisku wirtualnej maszyny, przez co dezaktywuje swoją działalność, ograniczając tym samym możliwości zbadania przez firmy badawcze.

 

Kogo głównie atakuje trojan?

Poza USA, najwięcej infekcji trojanem Shylock stwierdzono w Wielkiej Brytanii, aczkolwiek w samej Europie Środkowej odnotowano także wiele przypadków zarażenia – w tym także u naszych rodaków.

shylock_sink

Czas ataku nie jest do końca przypadkowy, gdyż nie tak dawno Microsoft nawoływał do zmiany swojego dotychczasowego komunikatora Messenger na przejętego Skype’a – takie globalne akcje niestety przyciągają hakerów.