Recently we blogged about a new threat to Polish e-banking users called “E-Security”. When a user, whose machine was infected, tried to access her internet banking site she was greeted with a message that instructed her to install “E-Security Certificate” application on her Android phone. This “certificate” was nothing more than a malware capable of forwarding short messages to the attacker. As the attacker had a login, password to the banking transaction system (this is because initially the user machine had to be infected) and could access the SMS one time password it was easily possibly for the attacker to initialize an unauthorized wire transfer from the victim’s account.

We then speculated about the other possible C&C communication channel. Instead of sending short messages via SMS, the malware could send all the messages using the HTTP protocol to a C&C server. This article presents a history of this malware that we were able to recover based on 10 different samples that claimed were four different versions. All of the samples were created for the Android platform.

Read more

At the beginning of 2012, we wrote about the emergence of a new version of ZeuS called ZeuS-P2P or Gameover. It utilizes a P2P (Peer-to-Peer) network topology to communicate with a hidden C&C center.This malware is still active and it has been monitored and investigated by CERT Polska for more than a year. In the second half of 2012, it directly affected the Polish users, namely that of internet banking.

One of the distinguishing features of Gameover compared to other mutations of the “ZeuS” family is the presence of only one instance of the botnet. Standard ZeuS and its successor, Citadel were sold as so called “crimeware toolkits”, which is a kind of self-assembly kit. Each purchaser had to set up his own instance of a botnet. That also meant infecting computers, collecting stolen information and giving instructions. ZeuS-P2P is not being sold that way. Instead, there is only one instance of it, hence one botnet.

This report contains information that should enable the average user to understand the nature of the threat, and show how one can identify an infected computer. More advanced users or malware analysts should also find some additional insight. Detailed description of the protocol and large sections of reconstructed code should explain the technical aspects of the P2P network and its capabilities.

Raport – wersja polska

Report – english version

Ewolucja Internetu w ostatnich dwóch dekadach przyniosła niesamowite zmiany w codziennym trybie życia i funkcjonowaniu każdego z nas. Nowe technologie przenikają i integrują się z każdym aspektem naszej pracy, życia rodzinnego i odpoczynku. Internet stał się potężnym narzędziem, które niestety jest także wykorzystywane do celów niezgodnych z prawem lub ogólnie przyjętymi normami. Stał się miejscem w którym, podobnie jak w świecie materialnym, na nieświadomą osobę czyhają niebezpieczeństwa. Najliczniejszą grupą jaka ma wpływ na ilość zagrożeń w sieci Internet są użytkownicy komputerów domowych oraz komputerów w małych i średnich firmach. To oni wpływają na poziom bezpieczeństwa Internetu, ponieważ są bezpośrednio narażeni na większość zagrożeń, a jednocześnie są grupą, która najsłabiej potrafi się przed nimi obronić.

Wiele organizacji i ekspertów stara się tej sytuacji przeciwdziałać, jednakże nie zawsze są w stanie dotrzeć do odbiorcy końcowego z ważną informacją, gdyż ginie ona w gąszczu szumu medialnego. Z drugiej strony, odnalezienie jej przez użytkownika końcowego na specjalistycznych portalach nie jest łatwe. CERT Polska oraz NASK starają się wyjść naprzeciw problemowi braku pomostu między specjalistami a zwykłymi użytkownikami komputerów powołując inicjatywę “Bezpieczeństwo z pewnego źródła”. Ma ona na celu zbudowanie platformy wymiany informacji pomiędzy ekspertami, którzy są w stanie dostarczyć sprawdzoną i rzetelną informację, a środowiskiem mediów, które z tą informacją potrafi skutecznie dotrzeć do użytkownika końcowego.

Serdecznie zapraszamy na seminarium “Bezpieczeństwo z pewnego źródła”, które odbędzie się 13 czerwca 2013 r. w Loży (nr 217/218) Stadionu Narodowego w godz. 10:00-14:00 (wejście od Wybrzeża Szczecińskiego). Liczba miejsc ograniczona. W celu rejestracji prosimy o kontakt na adres: pawel.jacewicz@cert.pl.

Read more