Artykuły dotyczące tematu: Zeus

dodany: 11.06.2013 | tagi: , ,

Gameover, czyli groźny wirus atakujący klientów bankowości elektronicznej nadal aktywny

0

Gameover to nowa mutacja wirusa ZeuS, który wciąż stanowi realne zagrożenie dla internautów. Złośliwe oprogramowanie pozwala cyberprzestępcom na modyfikowanie treści witryn bankowych w celu wyłudzania środków zgromadzonych na rachunku. W 2012 roku wirus zaatakował kilkadziesiąt tysięcy unikalnych adresów IP i znalazł się w pierwszej piątce najgroźniejszych botnetów w polskich sieciach komputerowych.

Dotychczasowe mutacje ZeuS-a oparte były o jeden lub kilka adresów, służących do centralnego zarządzania wirusem, które mogły być łatwo namierzone i zablokowane. Gameover jednak wykorzystuje własną sieć P2P do komunikacji i dystrybucji danych. To oznacza, że do przesyłania komunikatu nie potrzebuje centralnej kontroli i może swobodnie krążyć pomiędzy zainfekowanymi komputerami. Jak podkreślają eksperci, wykorzystanie nowego sposobu komunikacji, za pomocą sieci P2P znacznie utrudnia walkę ze złośliwym oprogramowaniem i pozwala przestępcom dłużej pozostawać w ukryciu. Dodatkowo, nawet jeśli mechanizm P2P zostanie zablokowany, wirus może automatycznie przełączyć się na zapasowy kanał komunikacyjny – DGA.

Przy użyciu Gameover cyberprzestępcy mogą modyfikować treść elektronicznych serwisów transakcyjnych i wyświetlać na monitorze użytkownika fałszywe komunikaty, często bardzo podobne do tych pochodzących z banku. Polscy użytkownicy, atakowani w drugiej połowie 2012 roku, po zalogowaniu się na stronie swojego banku otrzymywali monit nakłaniający do wykonania przelewu na określony numer konta. Nie mieli przy tym żadnej możliwości weryfikacji, czy wyświetlana strona nie została zmodyfikowana, co mogło doprowadzić do nieświadomego transferowania środków na konta przestępców.

Jak wynika z raportu CERT Polska, największa aktywność wirusa Gameover w polskich sieciach przypadała na okres między wrześniem a grudniem 2012 roku. Właśnie wtedy botnet został wyposażony w skrypty pozwalające zaatakować do 10 różnych systemów transakcyjnych polskich banków. Groźne dla polskich użytkowników skrypty zostały usunięte po 4 miesiącach aktywności złośliwego oprogramowania. Według specjalistów z CERT Polska w tym czasie zdążył on zaatakować 39 630 unikalnych adresów IP i był czwartym najczęściej występującym botnetem w polskich sieciach.

Niestety, ze względu na sposób działania wirusa, jego likwidacja jest znacznie utrudniona, przez co nie można wykluczyć kolejnego ataku na polskich internautów w przyszłości. Jedyną skuteczną metodą obrony przed tego typu atakami jest zachowanie czujności. Aby uchronić się przed stratą środków zgromadzonych na rachunku, użytkownicy powinni pamiętać o zasadzie ograniczonego zaufania wobec niestandardowych komunikatów wyświetlanych w elektronicznych serwisach transakcyjnych

– mówi Przemysław Jaroszewski z zespołu CERT Polska.

W celu zwiększenia bezpieczeństwa polskich użytkowników Internetu, instytut badawczy NASK oraz działający w jego ramach CERT Polska pragną wypracować platformę wymiany wiedzy, doświadczeń i informacji. Powinna się ona opierać na współpracy pomiędzy ekspertami do spraw cyberbezpieczeństwa a środowiskiem mediów. Dzięki temu sprawdzone i rzetelne informacje dotyczące sieciowych cyberzagrożeń, mogłyby skutecznie dotrzeć do polskich internautów, co przełożyłoby się na poprawę bezpieczeństwa w sieci.

Właśnie nawiązaniu tego rodzaju współpracy będzie służyć seminarium „Bezpieczeństwo z pewnego źródła„, które odbędzie się w najbliższy czwartek, 13 czerwca na Stadionie Narodowym w godz. od 10:00 do 14:00.

Raport dostępny jest pod adresem: cert.pl/PDF/2013-06-p2p-rap_pl.pdf

Źródło: CERT

dodany: 07.06.2013 | tagi: , , ,

Eksperci CERT Polska zidentyfikowali najgroźniejsze botnety w polskich sieciach komputerowych

0

Virut, DSNChanger i ZeuS to trzy botnety, które najczęściej atakowały użytkowników polskich sieci komputerowych w 2012 roku – wynika z raportu zespołu CERT Polska, działającego w ramach instytutu badawczego NASK. W minionym roku do zespołu trafiało dziennie około 8 tys. zgłoszeń o urządzeniach zainfekowanych tymi wirusami. Jak podkreślają eksperci, boty stanowią drugie, po spamie, najczęściej występujące zagrożenie sieciowe.

W minionym roku do zespołu CERT Polska trafiło 3 309 763 zgłoszeń, będących efektem działania botnetów, czyli sieci komputerów zarażonych złośliwym oprogramowaniem. Wirusy tego typu służą do przejmowania kontroli nad komputerami bez wiedzy i zgody użytkowników. Zainfekowane urządzenia, zwane botami, mogą być następnie wykorzystywane do działań niezgodnych z prawem. W minionym roku botnety zaatakowały blisko 2 miliony unikalnych adresów IP.

Najwięcej zgłoszeń w 2012 roku, dotyczyło botnetu Virut, który zainfekował 869 973 unikalnych adresów IP. Dziennie informowano średnio o blisko 4 tys. komputerów, kontrolowanych przez ten wirus. Rozpowszechniany był m.in. przez luki w przeglądarkach internetowych, a do zarażenia mogło dojść w wyniku odwiedzenia strony www, na której przestępcy umieścili Viruta. W efekcie tych działań zaatakowane komputery były wykorzystywane między innymi do rozsyłania spamu, kradzieży danych i ataków DDoS.

Drugie miejsce zajął DNSChanger, czyli złośliwe oprogramowanie, podmieniające na zainfekowanym komputerze adresy serwerów DNS. Pozwalało to na przekierowywanie ruchu sieciowego na fałszywe serwery, kontrolowane przez cyberprzestępców. W efekcie użytkownik zainfekowanego urządzenia, zamiast z właściwą stroną internetową, mógł zostać połączony z portalem przypominającym na przykład stronę banku czy sklepu internetowego. W lipcu ubiegłego roku FBI udało się wyłączyć serwery DNS, na które był kierowany ruch z zainfekowanych urządzeń. Do tego czasu w polskich sieciach zgłoszono 427 246 unikalnych adresów IP zarażonych botnetem.

Trzecim najgroźniejszym wirusem okazał się trojan bankowy ZeuS, który zaatakował blisko 250 tys. unikalnych adresów IP. Co więcej, wśród 10 największych botnetów, znalazły się jeszcze dwie odmiany tego wirusa, atakujące użytkowników bankowości elektronicznej – ZeuS P2P oraz ZeuS Citadel. Zainfekowanie nimi komputera umożliwia modyfikowanie treści stron internetowych tuż przed ich wyświetleniem. Tym samym atakujący mogą wysyłać do użytkownika dowolne komunikaty, które często do złudzenia przypominają te pochodzące z banku. Skutkiem zmian dokonywanych przez złośliwe oprogramowanie może być podmiana numeru konta, modyfikacje na liście wykonywanych operacji czy też monity z prośbą o podanie haseł jednorazowych lub wykonanie przelewu.

Botnety są jednym z najgroźniejszych zjawisk w polskich sieciach komputerowych. Niestety częstotliwość ich występowania świadczy o tym, że przestępcom wciąż skutecznie udaje się oszukać użytkowników, wykorzystując ich niewiedzę oraz brak zabezpieczeń. Od początku tego roku udało nam się przejąć polskie domeny największego botnetu Virut, a także instancji Citadel, co uniemożliwiło dalsze rozprzestrzenianie się tych wirusów. Trzeba jednak pamiętać, że w walce z zagrożeniami sieciowymi niezbędna jest ostrożność samych użytkowników

– mówi Piotr Kijewski, kierownik CERT Polska.

Informacje na temat incydentów sieciowych, zawarte w raporcie zespołu, pochodzą z systemów własnych CERT Polska oraz od zagranicznych instytucji zajmujących się bezpieczeństwem teleinformatycznym. Są one także wynikiem podejmowanych przez CERT działań na rzecz bezpieczeństwa sieci. W związku z tym, dane te dają szeroki obraz tego, co naprawdę dzieje się w polskim Internecie.

Raport CERT Polska można znaleźć na stronie www.cert.pl/raporty.

dodany: 10.04.2013 | tagi: , , ,

Botnet rozsiewa androidowe trojany

4

Botnet Cutwail, który możecie kojarzyć z rozprzestrzenianiem trojana bankowego Zeus postanowił zmienić branżę i uderzyć w użytkowników Androida.

Nowy trojan o nazwie Stels infekuje urządzenia z systemem Android podszywając się pod aktualizację Adobe Flash Playera. Co ciekawe trojan próbuje wedrzeć się do urządzeń z innymi systemami przekierowując z aktualizacji Flash Playera. Ze strony otwartej w jakiejkolwiek przeglądarce potencjalna ofiara zostaje przekierowana na stronę internetową z exploit kitem Blackhole.

Wg analizy scenariusza ataków wykonanego przez specjalistów z Della, atak zaczyna się wysyłanym spamem podającym się za amerykański Urząd Skarbowy (z ang. Internal Revenue Service, w skr. IRS). Jeśli użytkownik kliknie na link w treści e-maila skrypt zaczyna badać czy korzystasz z urządzenia z systemem Android. Jeśli jednak ofiara używa przeglądarki w innym systemie, to zostaje przekierowana na stronę wypełnioną exploit kitem Blackhole. Następnie exploit próbuje wykorzystać niezaktualizowane dodatki próbując zainfekować komputer.

Jeśli jednak ofiara korzysta z urządzenia z Androidem, to skrypt przekieruje ją  na stronę podającą się za witrynę produktową Flash Playera, gdzie aby zainstalować aktualizację musi wybrać opcję Pozwól na aplikacje z nieznanego źródła.

flaszplejer

Źródło: Dell

Kiedy ofiara zgodzi się na tę najgłupszą z możliwych opcji, trojan zostaje zainstalowany, po czy, ogłasza, że aktualizacja nie odpowiada i zostanie odinstalowana. Tymczasem spokojnie działa w tle bez wiedzy ofiary. Stels tworzy backdoora do pobierania jeszcze większej ilości złośliwego oprogramowania. Dodatkowo szpieguje listę kontaktów ofiary, może wysyłać SMS-y. Jeśli połączy się z Zeusem, będzie w stanie obejść dwustopniowe uwierzytelnianie.

appnejm

Źródło: Dell

Specjaliści z Della zauważyli jednak, że trojan nie używa dostępu do roota i jakoś specjalnie się ze swoimi działaniami na telefonie nie chowa. Fałszywa aplikacja jest dostępna w ostatnio otwartych aplikacjach. Sama nazwa aplikacji wskazuje, że Stels specjalnie o niewidoczność nie dba – APPNAME.

dodany: 07.12.2012 | tagi: ,

Gniew Zeusa wart 36 milionów euro

1

Zeus to słynny botnet, który był i jest utrapieniem wielu banków oraz jego klientów. Mimo, że malware ten jest tak długo na rynku, wciąż świetnie sobie radzi w pozyskiwaniu danych – pojawił się bowiem nowy wariant Zeusa, który przyczynił się do defraudacji łącznie ponad 36 milionów Euro należących do około 30 tysięcy niczego nieświadomych  klientów europejskich banków. W tej liczbie zawierają się także skradzione pieniądze z kont firmowych. Z tego powodu trojan zyskał nowy przydomek „Eurograbber”.

W jaki sposób działa nowy Zeus?

Po przejęciu numeru telefonu ofiary, malware wysyła SMS-a z linkiem do rzekomego oprogramowania zabezpieczającego, które pyta się o model używanego telefonu. Niestety wielu klientów daje się na to nabrać i tym samym zezwala na instalację złośliwego oprogramowania, które pozwala na wstrzyknięcie dodatkowych poleceń do skryptów przeglądarki czy też na atak phishingowy za pomocą e-maila. Nieświadomi użytkownicy podawali swój model telefonu, pod pretekstem rzekomego najlepszego dostosowania zabezpieczeń. Najczęstszymi ofiarami są użytkownicy smartfonów z Androidem oraz systemem Blackberry, które pozwalają na instalację nieautoryzowanych aplikacji.

Zeus aktywuje się w momencie logowania do jednych z popularniejszych banków online.  Gdy Eurograbber  już się zainstaluje to dla nie poznaki nie atakuje od razu, tylko dopiero po drugim logowaniu wykonuje nieautoryzowane przelewy. SMS z jednorazowym kodem potwierdzającym wykonywanie operacji bankowej zostaje przechwycony przez złośliwca – sam użytkownik nie jest nawet informowany o nowej wiadomości.

Malware ten nie oszczędza nikogo – szacuje się, że ofiarami nowej wersji złośliwca są klienci 30 banków. Nie jest zaskoczeniem fakt, iż 16 poszkodowanych banków dotyczy Italii.  Zazwyczaj przejęta nielegalnie  pula pieniędzy waha się miedzy 500 a 250 tysięcy euro! Ofiarami z innych krajów są obywatele Hiszpanii, Niemiec a także Holandii.

Niestety autorzy Eurograbbera nie zostali nadal namierzeni –  istnieją jedynie podejrzenia, iż jest to ktoś z Ukrainy. Atakujący zabezpieczyli się w prosty sposób, gdyż pieniądze nie trafiają bezpośrednio na ich konta a na pośredników, którzy nie są niczego świadomi. Otrzymują oni informację z propozycją pracy, która polega na pośrednictwie w finansach. Oszuści kuszą prowizją od jak najszybszego przeksięgowania otrzymanych pieniędzy – są na tyle bezczelni, że wysyłają fikcyjne umowy o pracę, które opiewają na spore wynagrodzenie.

Jak się bronić?

Jak widać „mądrzejszy” telefon nie przekłada się na większe bezpieczeństwo – wręcz przeciwnie, w rękach nieświadomego użytkownika staje się niebezpiecznym narzędziem. Nie pomaga tu nawet dwuetapowe uwierzytelnianie. W tym wypadku obronną tarczą jest wyłącznie zdrowy rozsądek. Jeśli zauważymy podejrzane działanie, przed podaniem naszych danych czy instalacją dodatkowego oprogramowania, skontaktujmy się z infolinią banku.  Niestety popularyzacja nowości poza wygodą przynosi także zwiększone ryzyko ataku.

dodany: 21.11.2012 | tagi: , , ,

Jak bezpiecznie wykonywać transakcje elektroniczne

0

Każdego roku coraz więcej osób płaci rachunki za pośrednictwem systemów bankowości online i dokonuje zakupów w sklepach internetowych. Według badania* instytutu Harris Interactive, przeprowadzonego na zlecenie Kaspersky Lab w okresie luty-marzec 2012, 57% użytkowników zdalnie zarządza swoim kontem bankowym i dokonuje zakupów online, podczas gdy 31% badanych przechowuje swoje dane bankowe na dysku twardym. Branża płatności elektronicznych, to rynek o wartości miliarda dolarów i nie jest żadną niespodzianką, że tego rodzaju informacje bankowe stanowią niezwykle atrakcyjny cel dla cyberprzestępców.

Głównym celem oszustów są dane, przy użyciu których mogą podszyć się pod właściciela konta elektronicznego i uzyskać do niego niemal nieograniczony dostęp. Jeżeli dojdzie do takiego ataku, pieniądze ofiary będą mogły zostać wykorzystane w dowolny sposób w celu przeprowadzania wszelkiego rodzaju transakcji finansowych. Przestępcy najczęściej próbują zdobyć login i hasło użytkownika i – w niektórych przypadkach – jednorazowe kody uwierzytelniające wymagane do potwierdzenia transakcji. Uzbrojeni w takie dane oszuści mogą łatwo przelać pieniądze z konta ofiary na swoje i dokonać wypłaty. Istnieje wiele sposobów kradzieży danych bankowych. Należą do nich metody techniczne obejmujące wykorzystywanie trojanów oraz socjotechnika, mająca na celu manipulowanie samym użytkownikiem.

W jaki sposób znikają pieniądze?

Jednym z najprostszych sposobów gromadzenia informacji finansowych jest wykorzystanie masowej wysyłki wiadomości e-mail rzekomo pochodzących od administracji banku.

W wysyłanym mailu oszuści zawsze podają jakiś pretekst, by zachęcić użytkowników do przekazania swoich danych osobistych lub odwiedzenia „oficjalnej strony” w celu rozwiązania jakiegoś problemu. Według badania przeprowadzonego na zlecenie Kaspersky Lab, 23% użytkowników na świecie otrzymało podobnego maila.

Oszuści mogą stworzyć kopię oficjalnej strony banku i umieścić ją w domenie o nazwie łudząco podobnej do oryginału. Użytkownik klika odsyłacz maila, myśląc, że odwiedza prawdziwą stronę, i podaje swoje dane, które w rzeczywistości trafiają do rąk cyberprzestępców. Inny wariant może kryć w sobie odsyłacz przekierowujący użytkownika do zasobu osób trzecich, zawierającego szkodliwy program. Kradzież informacji z zainfekowanego systemu odbywa się w taki sam sposób jak kradzież z fałszywej strony internetowej lub poprzez przechwycenie informacji wprowadzonych do przeglądarki. Możliwe jest również bezpośrednie przechwytywanie informacji przy użyciu keyloggerów – specjalnych aplikacji rejestrujących wszystkie znaki wprowadzane przez użytkownika z klawiatury komputera lub przychwytujących obrazki z zawartością ekranu zainfekowanej maszyny.

Dobrym przykładem jest trojan MultiPhishing wykryty przez ekspertów z Kaspersky Lab w styczniu 2012 r. Szkodnik ten został stworzony w celu kradzieży danych uwierzytelniających ze stron popularnych europejskich banków. Po przeniknięciu do komputera ofiary trojan nie ujawnia się aż do momentu zalogowania się użytkownika do serwisu bankowości online jednego z atakowanych banków. Gdy to nastąpi, szkodnik wyświetla okno imitujące formularz autoryzacyjny banku i zamyka prawdziwe pole do wpisywania danych. Jeżeli użytkownik nie nabierze podejrzeń i wprowadzi żądane dane, zostaną one natychmiast przesłane do właścicieli trojana. MultiPhishing jest wykrywany na całym świecie, jednak większość przypadków infekcji występuje w Wielkiej Brytanii.

Okno logowania do banku podstawione przez trojana MultiPhishing

Spośród metod stosowanych przez cyberprzestępców warto także wymienić trojany stworzone w celu przechwytywania informacji bankowych z plików przechowywanych na dysku komputera, w tym z menedżerów haseł w przeglądarkach internetowych. Niektóre szkodliwe programy potrafią „w locie” zamienić stronę banku na jej oszukańczy odpowiednik lub zmodyfikować elementy rzeczywistej strony poprzez dodanie własnych pól. Taką sztuczkę zastosował niesławny, uniwersalny trojan ZeuS, który w samych tylko Stanach Zjednoczonych zainfekował 3,5 miliona komputerów. Inny trojan, znany jako Carberp, przenika do systemu poprzez luki w zainstalowanym oprogramowaniu, a następnie kradnie pieniądze z kont bankowych.

Nie ustępuje sejfowi bankowemu

Aby zapewnić ochronę swoim klientom przed opisywanymi zagrożeniami, banki stosują własne, dość skuteczne techniki. Na przykład, w przypadku stosowania podwójnego uwierzytelnienia klient wykorzystuje dwa hasła: pierwsze w celu zalogowania się, drugie (jednorazowe) – do potwierdzenia płatności i innych transakcji. Metoda ta może być połączona z systemem haseł jednorazowych przysyłanych przez bank na telefon komórkowy użytkownika. Alternatywnie, klient może otrzymać token sprzętowy umożliwiający generowanie haseł na żądanie lub kartę-zdrapkę. Na koniec warto wspomnieć, że w przypadku transakcji online, serwisy bankowe wykorzystują bezpieczne połączenie SSL, które zmniejsza ryzyko kradzieży danych podczas transmisji.

Jednak ani bezpieczne połączenie, ani podwójne uwierzytelnienie nie jest panaceum na cyberkradzież. Mobilna wersja ZeuSa, znana jako ZitMo (Zeus-in-the-Mobile), potrafi przechwytywać SMS-y zawierające hasło jednorazowe oraz wysyłać je oszustom. Dlatego niezbędne jest wzięcie spraw we własne ręce i zainstalowanie oprogramowania bezpieczeństwa, które może znacznie wzmocnić ochronę zapewnianą przez bank.

Jak utrudnić życie cyberprzestępcom – zasady bezpiecznej bankowości online

Eksperci z Kaspersky Lab przygotowali kilka porad zwiększających bezpieczeństwo transakcji finansowych i zakupów online:

    • Loginy i hasła do konta bankowego powinny być trudne do odgadnięcia (przynajmniej 8 znaków, wielkie i małe litery oraz znaki specjalne).
    • Korzystając z bankowości internetowej, należy pamiętać o przestrzeganiu zasad bezpieczeństwa, a także stosować się do zaleceń banku w kwestii logowania.
    • Przed zalogowaniem się do banku należy sprawdzić autentyczność strony (czy strona posiada ważny i legalny certyfikat).
    • Kupujmy tylko w dużych i znanych sklepach, które są już na rynku dostatecznie długo i istnieje możliwość bezproblemowego skontaktowania się z nimi – najlepiej telefonicznie, a nawet osobiście.
    • W razie potrzeby dokonania zakupu w nieznanym nam sklepie poszukajmy w Internecie opinii o nim. Uważajmy w szczególności na firmy, które po sprzedaniu kilku artykułów znikają z rynku lub oferują markowe towary w podejrzanie atrakcyjnych cenach.
    • Uważajmy na gorące i atrakcyjne oferty, oszuści często w ten sposób starają się zachęcić do korzystania z ich „ofert”.

Więcej informacji o atakach związanych z bankowością online oraz metodach ochrony przed nimi zawiera artykuł „Wirtualna kradzież, prawdziwe pieniądze…” opublikowany w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=528.

Aby mieć pewność, że informacje bankowe – i cały system operacyjny – są bezpieczne, potrzebne jest niezawodne rozwiązanie antywirusowe klasy Internet Security. Rozwiązanie to powinno chronić komputer przed szkodliwym oprogramowaniem, atakami sieciowymi oraz szkodnikami w ruchu pocztowym przy użyciu zarówno tradycyjnych, jak i proaktywnych technologii. Ważne jest także, aby wybrany program chronił użytkownika podczas surfowania po Internecie i był wyposażony w klawiaturę wirtualną potrafiącą „oszukać” trojany, które przechwytują to, co wpisujemy oraz wykonują zrzuty zawartości ekranu.

Technologia „Bezpieczne pieniądze„, wprowadzona przez Kaspersky Lab wraz z premierą programu Kaspersky Internet Security 2013, zapewnia ochronę informacji bankowych oraz innych istotnych danych finansowych podczas dokonywania transakcji przez użytkownika.