Pierwszy jesienny miesiąc tego roku obfitował w wiele ważnych wydarzeń, które w przyszłości mogą mieć poważny wpływ na sferę bezpieczeństwa IT. Na początku września zarejestrowano pojawienie się niebezpiecznego backdoor’a zdolnego do wykonywania wysyłanych przez przestępców poleceń, a trochę później specjaliści Doctor Web wykryli jeden z najliczniejszych botnetów w historii, złożony z ponad 200 tysięcy zainfekowanych urządzeń pracujących pod kontrolą systemu Google Android. We wrześniu ujawniono także znaczną liczbę innych złośliwych programów atakujących tę platformę mobilną.
Wirusy
Bazując na danych zebranych przez aplikację Dr.Web CureIt! we wrześniu 2013 spośród najczęściej wykrywanych w komputerach użytkowników zagrożeń palmę pierwszeństwa zdobył Trojan.LoadMoney.1ukryty jako automatycznie ładujący się „załącznik” do programu-nosiciela Loadmoney. Na drugiej pozycji znalazł się Trojan.Hosts.6815 – niebezpieczny program modyfikująca plik hosts systemu operacyjnego w celu przekierowania przeglądarki internetowej w komputerze użytkownika na strony wyłudzające informacje (phishing) lub mające na celu oszukanie odwiedzającego je internauty. Na trzecim miejscu uplasował się Trojan.InstallMonster.28 – jeszcze jeden wirus opierający swoje działanie na ładowaniu niebezpiecznych plików „podłączony” do aplikacji InstallMonster. Za nimi znalazły się trojan reklamowyTrojan.Packed.24524 i złośliwy program Trojan.Mods.3 podmieniający przeglądane przez użytkownika strony www na inne.
Botnety
Niestety, botnet oparty na komputerach z systemami operacyjnymi z rodziny Microsoft Windows, zainfekowanych wirusem plikowym Win32.Rmnet.12, we wrześniu 2013 nadal zwiększał swą liczebność. Podczas gdy w sierpniu pierwsza z kontrolowanych przez specjalistów Doctor Web podsieci przyrosła o 12000 nowozarażonych komputerów, to we wrześniu odnotowano w niej, średnio licząc, 16000 nowozainfekowanych stacji roboczych.
Z rzeczy pozytywnych – odnotowano praktyczne zatrzymanie się wzrostu liczebności botnetu złożonego z komputerów kontrolowanych przez złoczyńców za pośrednictwem wirusa plikowego Win32.Rmnet.16 – o ile w sierpniu 2013 średni dzienny przyrost tej sieci wynosił 1500 nowozainfekowanych maszyn, to od 1-go do 20-go września odnotowano raptem średnio nie więcej niż 20 zarażeń dziennie, a po 20.09 ta liczba spadła praktycznie do zera. Analogiczny obraz odnotowano w przypadku sieci kontrolowanej przez inny złośliwy program, detekowany przez oprogramowanie Dr.Web jako Trojan.Rmnet.19 – we wrześniu średni dzienny przyrost tej sieci wynosił 15 nowozarażonych maszyn, a w związku z tym liczebność botnetu spadła z 5014 zarażonych komputerów do 4640.
Praktycznie nie zmieniła się dynamika wzrostu botnetu wirusa BackDoor.Bulknet.739 – wciąż, tak jak to miało miejsce w sierpniu, w ciągu doby liczebność tego botnetu zwiększała się o 500-600 nowych komputerów.
Nie zmieniła się też liczebność botnetu opracowanego przez przestępców w celu kradzieży informacji z zasobów firm farmaceutycznych, opartego o komputery zarażone trojanem BackDoor.Dande. We wrześniu całkowita ilość zarażonych maszyn w tym botnecie wyniosła 1232 sztuk, co dało wynik o 47 sztuk mniejszy, niż w sierpniu 2013.
Bez zmian pozostała też liczebność botnetu wirusa BackDoor.Flashback.39 atakującego komputery z systemem Mac OS X. Pod koniec sierpnia było ich 38822, pod koniec września przybyły 534 „Maki”, co dało w sumie wynik 38288 zarażonych komputerów.
Pod koniec września specjaliści Doctor Web wykryli jeden z największych botnetów w historii, oparty na urządzeniach działających pod kontrolą systemu Android. Przestępcy utworzyli sieć składającą się z ponad 200 tysięcy zarażonych urządzeń mobilnych z tym systemem, zainfekowanych wirusami z rodziny Android.SmsSend, że szczególnym uwzględnieniem najnowszego Android.SmsSend.754.origin. To zdarzenie było już szczegółowo opisywane na naszym profilu, ale warto wspomnieć, że zasięg georgaficzny botnetu wykroczył daleko poza państwa wchodzące kiedyś w skład byłego ZSRR, a zaawansowanie techniczne trojanów użytych do jego stworzenia pozwala na zdalne kontrolowanie zainfekowanych urządzeń i wykorzystywanie ich przez przestępców do własnych celów.
Wirus miesiąca
Na początku września analitycy Doctor Web wykryli trojana BackDoor.Saker.1, którego jedną z funkcji było przechwytywanie wszystkich wprowadzanych przez użytkownika znaków na klawiaturze (keylogger). Oprócz tego trojan był w stanie obejść mechanizmy UAC systemu Windows i przekazać złoczyńcom wiele danych dotyczących zainfekowanej maszyny, po czym wejść w tryb oferowania swoim „właścicielom” wielu funkcjonalności mających na celu wykorzystanie maszyny do własnych celów i reagowania na zestaw komend służących głównie do ingerowania w system plików danego, zainfekowanego komputera, włącznie z dowolnym „penetrowaniem” zapisanej na dysku struktury katalogów i plików, zarówno systemowych, jak i użytkownika. Jego szczegółowy opis został już zamieszczony na naszym profilu w postaci osobnej notki.
Wirusy dla systemu Android
We wrześniu 2013 zdecydowanymi liderami w tej grupie zagrożeń były trojany z rodzinyAndroid.SmsSend, głównie z przyczyny utworzonego za ich pomocą botnetu. Główną rolę odegrał tam opisywany w artykule dotyczącym botnetu wirus Android.SmsSend.754.origin, ale niestety nie oznaczało to końca aktywności cyberprzestępców na tym polu, bo do końca września specjaliści Doctor Web wykryli kolejne dwie jego mutacje – Android.SmsSend.760.origin i Android.SmsSend.761.origin.
Pierwszy trojan ukrywał się na stronie z wietnamskim oprogramowaniem dla Androida pod płaszczykiem różnych gier i załączników do innych aplikacji, a jego działanie, podobnie jak w przypadku poprzednich mutacji, polegało na wysyłaniu SMS-ów o płatności Premium i przekierowywaniu przeglądarki urządzenia na strony wykradające dane z zainfekowanego telefonu.
Niestety na tym nie kończyła się przydatność trojana dla jego właścieli – odtąd każdy załadowany program lub gra były modyfikowane przez przedsiębiorczych oszustów i każde ich uruchomienie również wiązało się z wysłaniem serii słono płatnych SMS-ów. Zmienione w ten sposób programy są wykrywane przez oprogramowanie Dr.Web jako Android.SmsSend.761.origin.
Niestety stosunkowo duża łatwość tworzenia wirusów z tej rodziny gwarantuje, że szybko o niej nie zapomnimy.
Za „krewnego” powyższej rodziny można również uznać złośliwy program Android.SmsBot.5, wykryty w połowie miesiąca. Ukrywający się pod postacią klienta rosyjskiej sieci społecznościowej „W kontakcie” trojan po uruchomieniu się wyświetla na ekranie komunikat o przydzielonym użytkownikowi kodzie dostępu, po czym wysyła na numer należący do przestępców zaszyfrowany SMS i usuwa swoją ikonę z głównego ekranu systemu operacyjnego (oczywiście sam złośliwy program nadal pozostaje w zainfekowanym telefonie).
W następnym kroku Android.SmsBot.5 przechodzi w tryb oczekiwania, sprawdza wszystkie przychodzące SMS-y pod kątem specjalnych poleceń, wymuszających takie operacje jak np. wyświetlenie do wysłania lub skasowanie treści wiadomości SMS, otwarcie w przeglądarce przekazanego adresu URL, zebranie informacji o urządzeniu lub przechwycenie listy wykonanych połączeń.
Również we wrześniu wykryto pojawienie się kilku trojanów szpiegujacych z rodziny Android.SmsSpy, które rozpowszechniały się pod postacią znanych narzędzi, np. Adobe Flash Player’a. Główną funkcją tych programów była kradzież wszystkich przychodzących SMS-ów mogących zawierać w sobie kody do bankowości elektronicznej.
Godnym zauważenia jest również wykrycie rodziny fałszywych antywirusów dla Androida – we wrześniu specjaliści Doctor Web wykryli trzy z nich – Android.Fakealert.8.origin, Android.Fakealert.9.origin i Android.Fakealert.10.origin. Warto pamiętać, że podobne załączniki zawierają w sobie „oszukańcze” produkty, wykrywające na urządzeniach mobilnych nieistniejące zagrożenia i żądające za ich „leczenie” ustalonej w treści powiadomienia zapłaty. Interesujące jest to, że jeden z tych programów, konkretnie Android.Fakealert.10.origin, rozpowszechniał się jako narzędzie do oglądania „filmów dla dorosłych”, choć po uruchomieniu naśladował wygląd zewnętrzny istniejącego w rzeczywistości antywirusa i demonstrował ostrzeżenie o konieczności sprawdzenia urządzenia pod kątem wirusów. Wykryte w przyszłości „zagrożenia” powinny być unieszkodliwiane, więc „wirus-naciągacz” proponował użytkownikowi zakup pełnej wersji „programu”.
Także we wrześniu została wykryta kolejna modyfikacja trojana Obad, znanego w bazach antywirusowych Dr.Web jako Android.Siggen.3.origin. Ten złośliwy program potrafi wysyłać wiadomości SMS na numery Premium, a także ładować na urządzenie mobilne inne złośliwe załączniki, jakkolwiek jedną z jego głównych cech jest wykorzystanie błędu w OS Android pozwalającej trojanowi uniknąć deinstalacji. Podczas instalacji w systemie Android.Siggen.3.origin prosi użytkownika o udzielenie dostępu do funkcji administratora urządzenia (root) i po uzyskaniu uprawnień ukrywa siebie na liście aplikacji systemowych, wyłączając w ten sposób możliwość dokonania przez użytkownika zmian w ustawieniach systemu operacyjnego i minimalizując prawdopodobieństwo swojego usunięcia przy użyciu standardowych procedur deinstalacyjnych. Warto dodać, że oprogramowanie antywirusowe Dr.Web dla systemu Android posiada specjalny algorytm do walki z tego typu zagrożeniami i bez problemu daje sobie radę z usunięciem tego trojana z systemu.
Pozostałe zdarzenia miesiąca
Wysyłka e-mail wirusa typu backdoor w nawiązaniu do szczytu G20 w Sankt-Peterburgu
Podając się za jedną z firm antywirusowych oszuści wykorzystali szczyt G20 w Sankt-Peterburgu do wysyłki wiadomości, w ktorych w załączniku dodany był zainfekowany plik archiwum RAR. W archiwum zawarty był jeden plik linku systemu Windows (LNK) i dwa pliki z wirusami. Odkrywcy tego zdarzenia wykryli, że te dwa pliki traktowane oddzielnie nie stanowią żadnego zagrożenia, tyle że w rzeczywistości są dwoma częściami tego samego, złośliwego pliku. Plik linku zawiera komendy, które dokonują scalenia tych dwóch części w jeden plik i niniejszym dokonują infekcji na zaatakowanym komputerze. Następnie backdoor łączy się z serwerem przestępców w celu wykonania ich poleceń w zarażonym systemie, a także ładuje wtyczki realizujące funkcje keyloggera i przechwytujące zawartość ekranu w postaci zrzutów. Wtyczki uruchamiają się w kontekście procesu backdoora, dlatego nie są widoczne na liście uruchomionych procesów, co utrudnia ich wykrycie i neutralizację. Opisane zagrożenie jest zamieszczone w bazach antywirusowych Dr.Web jako Win32.HLLW.Autoruner1.54698.
Atak trojana bankowego na południe Europy, Turcję i Wielką Brytanię
Zgodnie z informacją jednej z zachodnich firm antywirusowych w Turcji, Czechach, Portugalii i Wielkiej Brytanii wykryto ataki nowego trojana bankowego, podobnego do znanych już trojanów Zeus i SpyEye (realizowane przez niego funkcje to keylogging, dokonywanie zrzutów z ekranu, realizowanie przekazów wideo z aktywności użytkownika, uruchomienie przestępczego serwera proxy, przechwytywanie ruchu i wykorzystanie web-injectów, a nowością jest umiejętność uruchomienia przez trojana ukrytego serwera VNC dla potrzeb przestępców). Przy pomocy tego trojana złoczyńcy zdobywają dane bankowe ofiary, pozyskują dostęp do jej rachunku bankowego i zalecają jej uruchomienie w telefonie komórkowym złośliwego oprogramowania w charakterze programu zabezpieczającego („wspierane” systemy to Symbian, Blackberry i Android). Następnie ofiara otrzymuje złośliwy plik z rozszerzeniem *.pdf.exe wieńczący atak, który na pierwszy rzut oka pochodzi od służb pocztowych danego kraju lub od operatora komórkowego (interesujące, że użytkownicy w Czechach podczas bezpośredniego odwołania się do fałszywego adresu Czeskiej Poczty – ceskaposta.net byli przekierowywani na jej prawdziwą stronę ceskaposta.cz). Specjaliści Doctor Web wykryli kilka wersji tego trojana – Trojan.Inject1.27640, Trojan.DownLoader10.3567, Trojan.DownLoader9.22851 i Trojan.DownLoader10.10165. Najwcześniejszy wpis w bazie antywirusowej Dr.Web dotyczący tego zagrożenia pochodzi z 31 czerwca 2013.
Trojan w pirackiej wersji gry GTA V
We wrześniu na wielu stronach pojawiło się ostrzeżenie o trojanie, rozprzestrzeniającym się z piracką wersją gry Grand Theft Auto V (GTA V). Według rosyjskiego portalu Gamebomb.ru nielegalną wersję GTA V można już pobrać z sieci. Jest to dość popularna gra i z tego powodu znalazła się na celowniku cyberprzestępców, skutkiem czego na serwerach torrent pod płaszczykiem tej gry rozprzestrzenia się plik, będący niebezpiecznym malware. W pobieranym pliku zawarty jest trojan, przy pomocy którego złoczyńcy proponują graczowi wprowadzenie w stosowny formularz numeru jego telefonu komórkowego i kodu potwierdzającego, otrzymanego w osobnej wiadomości SMS. Jeśli ofiara wyśle SMS z kodem, zostaje zapisana do pewnej, związanej z grą usługi, a w charakterze opłaty za jej korzystanie rachunek karty SIM telefonu jest obciążany kwotą 1 EUR za każdy dzień, tak długo, aż użytkownik nie jej wypowie. Warto nadmienić, że ten złośliwy program wygląda na typowego przedstawiciela rodziny Trojan.SmsSend.
Trojan bankowy próbuje kontrolować operacje walutowe na Bliskim Wschodzie i w Azji
Pracownicy jednego z zagranicznych laboratoriów antywirusowych przechwycili niewielką, ale efektywną wysyłkę wiadomości typu SPAM zawierających złośliwe archiwum typu ZIP. Na skutek jej działania poszkodowane zostały organizacje finansowe w Zjedoczonych Emiratacj Arabskich, Pakistanie, Nepalu i, być może, w innych krajach regionu. Przypuszczalnie te wiadomości były wysłane z przechwyconych skrzynek pocztowych korporacji finansowych w Indiach i Pakistanie i miały na celu rozpowszechnienie wirusa Trojan.PWS.Panda, znanego również jako Zeus. W bazach antywirusowych Dr.Web ta złośliwa aplikacja znana jest jako Trojan.PWS.Panda.2401 i została w nich zamieszczona 10 września 2013. Program ten jest o tyle niebezpieczny, że potrafi przechwytywać dane bezpośrednio z zaatakowanego systemu bankowego korzystając z zainfekowanego komputera PC.
Trojan dla Mac OS – made in SEA?
We wrześniu 2013 zagraniczni specjaliści wykryli trojana BackDoor.Leverage.1. Jego obraz został wysłany przez białoruskiego użytkownika do analizy w serwisie antywirusowym on-line VirusTotal. Póki co nie wiadomo, w jaki sposób to złośliwe oprogramowanie znalazło się w komputerach ofiar. Być może zostało wysłane pocztą lub pobranie z jakiejś strony internetowej. Do 17 września serwer sterujący zarządzany przez przestępców nie wysyłał jeszcze komend na maszyny poszkodowanych użytkowników.
Wykryte złośliwe oprogramowanie maskuje się pod postacią pliku JPEG i może stanowić zagrożenie dla użytkowników systemu Mac OS X, jeśli w ich systemach nie ustawiono powiązań rozrzerzeń zarejestrowanych typów plików z właściwymi programami. Między plikami, które program ładuje na zarażony komputer znalazł się logotyp grupy hakerskiej Syrian Electronic Army (SEA). Według opinii specjalistów narażone na ten złośliwy program są tylko wczesne wersje Mac OS X, dla znacznie późniejszej wersji Mac OS X 10.8 nie stanowi on już żadnego zagrożenia. Inaczej mówiąc – można unieszkodliwić to malware tylko porzez dokonanie upgrade’u systemu operacyjnego posiadanego „Maka”. To złośliwe oprogramowanie zostało dodane do baz Dr.Web 18 września 2013. Przypuszczalnie póki co służy ono przestępcom wyłącznie do ściśle ukierunkowanych ataków i na chwilę obecną nie stanowi większego zagrożenia w szerszym ujęciu problemu.
Ataki trojanów „w chmurze”
Według informacji opublikowanej przez Thomasa Ziberta, eksperta firmy G Data w atakach na użytkowników bankowości elektronicznej oszuści zaczęli wykorzystywać technologie przetwarzania w chmurze. W takim przypadku oddzielny komponent zmodyfikowanego trojana Zeus lub Ciavax umieszczany jest na serwerze w chmurze, stamtąd trafia na komputer ofiary i również z tego źródła ładuje pozostałe komponenty trojana. Przy pomocy takich trojanów złoczyńcy przechwytują dane operacji płatniczych z zaatakowanego urządzenia. Cytując słowa Ziberta „teraz, gdy niemożliwe stało się określenie źródeł ataku, a sprawdzanie adresów IP stało się nieefektywne, mnożenie zapytań może tylko ściągnąć na nas zainteresowanie złoczyńców”.
Według opinii specjalistów z G Data metody przetwarzania w chmurze wykorzystane do dystrybucji malware skutecznie opóźniają jego analizę i utrudniają opracowanie efektywnych sposobów walki z nimi. Antywirus Dr.Web wykrywa te zagrożenia jako trojany z rodziny Trojan.PWS.Panda, trojan Ciavax jest dekodowany jako Trojan.Mayachok.18612, dodany do bazy wirusów Dr.Web w kwietniu 2013.
źródło: Dr.Web
