Uwaga na AKTA CAŁE 1-20.exe „od Stonogi”, przestępcy rozsyłają szkodliwe oprogramowanie

18 czerwca, 2015

Jak donosi polski zespół ds. szybkiego reagowania na incydenty komputerowe CERT.pl, w sieci rozprzestrzeniane jest szkodliwe oprogramowanie o brzmiącej nazwie „AKTA CAŁE 1-20.exe”, którego celem jest wzbudzenie zaufania użytkownika nakłaniając go do uruchomienia niebezpiecznego z punktu widzenia bezpieczeństwa pliku.

Dlaczego o tym ostrzegamy? Otóż taka jest już nasza w tym rola, aby o wszelkich incydentach komputerowych informować Was wszystkich – potencjalne ofiary cyberprzestępczych kampanii. Sam atak z pewnością nie jest finezyjny, jednak jak pokazują poprzednie wydarzenia związane ze spamem „na Pocztę Polską” lub „na DLH” – z identyfikacją co jest spamem a co nie, wcale nie jest tak dobrze jak mogłoby się wydawać.

Robak Rebhip

Cyberprzestępcy rozsyłając szkodliwe dokumenty mają nadzieję, że ofiara otworzy niebezpieczny plik, który najprawdopodobniej podszywa się pod PDF lub pliki graficzne upublicznionych niedawno zdjęć akt afery podsłuchowej, które za sprawą Zbigniewa Stonogi, a wcześniej „nieznanych sprawców” ujrzały światło dzienne na chińskich serwerach.

Zdefiniowany malware jako robak Rebhip został odkryty już ładnych kilka lat wcześniej. Wygląda więc na to, że powrócił, lecz na całe szczęście większość oprogramowania antywirusowego skutecznie wykrywa go poprzez własne sygnatury lecznicze – według serwisu VirusTotal.

Malware po zainfekowaniu komputera wykonuje szereg zdefiniowanych instrukcji. Potrafi min.:

  • Wykradać hasła zapisane w Internet Explorer oraz Firefox – jego pierwsze próbki zidentyfikowane w 2009 roku atakowały wyłącznie przeglądarkę IE.
  • Powiela swoją kopię na wszystkie podłączone dyski przenośne oraz tworzy plik AUTORUN.INF, który pozwala mu na uruchomienie się w przypadku, kiedy opcja autostartu jest aktywna.
  • Potrafi oszukać firewall – wstrzykuje do procesów explorer.exe oraz iexplore.exe złośliwy kod i komunikuje się z serwerem C2. Omija w ten sposób firewalle, które dopuszczają do komunikacji sieciowej przeglądarkę.
  • Dodaje cztery swoje wpisy w rejestrze, aby umożliwić sobie uruchomienie podczas restartu systemu.

Co więcej, autorzy robaka wyposażyli go w funkcje wykrywające uruchomione niektóre procesy, które mogłoby wskazywać na działanie narzędzi wykorzystywanych do analizy i debuggowania szkodliwego oprogramowania.  

Złośliwe oprogramowanie implementuje również wiele metod, które pozwalają na uniknięcie środowisk do analizy. Bazują one na sprawdzeniu klucza instalacji systemu Windows, istnienia pewnych bibliotek DLL lub usług. Po wykradnięciu danych przesyłane one są pod adres w domenie no-ip.info, który rozwiązuje się na adres IP w sieci UPC. no-ip.info jest dostawcą usług “dynamicznego DNS”, co oznacza, że adres IP, na który rozwiązuje się nazwa domenowa może się szybko zmieniać. – cert.pl

P.S Gdybyście dostali coś takiego na maila prosimy o próbkę na malware(malpa)avlab.pl

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]