Aktualności

Trojan oraz ransomware w kampanii podszywającej się pod InPost

Data publikacji: 11/12/2018, Mateusz Szymaniec

AsyncRATHidden-Tearransomwaretrojan

Przez kilka ostatnich dni obserwujemy kampanię e-mailową, w której fałszywi nadawcy podają się za firmę kurierską InPost. Wiadomości informują o przesyłce gotowej do odbioru w jednym z paczkomatów. Adres paczkomatu oraz pin potrzebny do odbioru przesyłki ma być dostępny po pobraniu pliku z linku widocznego w wiadomości. Do tej pory wyróżniliśmy dwa typy zagrożeń, które czekają na użytkowników po uruchomieniu pobranych plików. Jednym z nich jest trojan pozwalający na zdalny dostęp do komputera ofiary, a drugim oprogramowanie szyfrujące pliki – ransomware.

Osobom, których pliki zostały zaszyfrowane zdecydowanie odradzamy płacenia okupu. Prosimy takie osoby o bezpośredni kontakt pod adres [email protected], ponieważ jest szansa na odzyskanie Państwa plików.

Czytaj więcej

Automatyczne wyszukiwanie podatności bezpieczeństwa na dużą skalę

Data publikacji: 30/07/2018, Kamil Frankowicz

0dayanalizalukazagrożenia

Problematyka podatności bezpieczeństwa dotyczy praktycznie wszystkich programów lub bibliotek wykorzystywanych w codziennej pracy. Proaktywność w tej kwestii jest jednym z kluczy do dostarczania wysokiej jakości oprogramowania, które zapewni spokojny sen osobom zajmującym się bezpieczeństwem IT.

W ciągu ostatnich dwóch lat firma Google za pomocą inicjatywy OSS-Fuzz, wykryła oraz zgłosiła ponad osiem tysięcy błędów w szerokim spektrum projektów open source, m.in. Tor Browser, ImageMagick czy FreeType2.
Czytaj więcej

Analiza bota Smoke Loader

Data publikacji: 18/07/2018, Michał Praszmo

analysisdroppermalwaresmokeloaderWindows

Smoke Loader (znany także jako Dofoil) jest względnie małym, modularnym botem używanym do instalowania różnych rodzin złośliwego oprogramowania.

Mimo że został zaprojektowany głównie z myślą o pobieraniu oprogramowania, to posiada parę funkcji, które czynią go bardziej trojanem niż zwykłym dropperem.

Nie jest nowym zagrożeniem, ale nadal jest rozwijany i aktywny. W ostatnich miesiącach zaobserwowaliśmy jego udział w kampaniach malspamowych i RigEK.

W artykule pokażemy jak Smoke Loader rozpakowuje się i jak wygląda jego komunikacja z serwerem C2.

Czytaj więcej

Techniczne aspekty organizacji zawodów i ćwiczeń CTF

Data publikacji: 09/07/2018, Michał Leszczyński

ctfecsc


Zawody CTF (ang. Capture The Flag) bardzo często są znakomitą zabawą, ale pełnią również nieocenioną rolę w doskonaleniu umiejętności specjalistów IT security. Tego typu przedsięwzięcia stawiają wyzwania zarówno przed uczestnikami, jak i organizatorami. Ten artykuł omówi aspekty organizacyjne ćwiczeń z zakresu cyberbezpieczeństwa na przykładzie European Cyber Security Challenge 2018.

Czytaj więcej

Analiza złośliwego oprogramowania Backswap

Data publikacji: 19/06/2018, Hubert Barc

analizabackswapbanke-bankingmalwaretinba


    Backswap jest bankerem, który pojawił się w Polsce w okolicach marca 2018 r. Jest to wariant znanego od dawna oprogramowania o nazwie TinBa (od „tiny banker”), którego cechą charakterystyczną jest względnie mały rozmiar (mieszczący się zazwyczaj w zakresie 10-50 kB). Powody dla których uważamy, że jest to ten sam malware tylko z lekkimi modyfikacjami zamieszczamy w podsumowaniu.
    Czytaj więcej

    Krajowe kwalifikacje na zawody European Cyber Security Challenge 2018

    Data publikacji: 08/06/2018, Mateusz Szymaniec

    CERT Polska zaprasza wszystkie osoby w wieku od 14 do 25 lat do wzięcia udziału w kwalifikacjach do reprezentacji Polski na zawody European Cyber Security Challenge.

    ECSC jest międzynarodowym konkursem bezpieczeństwa teleinformatycznego typu Capture The Flag organizowanym pod auspicjami ENISA (Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji). W 2018 roku na finałach zawodów, które odbędą się 15-16 października w Londynie, rywalizować będą zespoły z 19 europejskich krajów. Jest to pierwsza edycja, w której udział bierze także Polska, a krajowe kwalifikacje organizowane są przez zespół CERT Polska będący częścią Naukowej i Akademickiej Sieci Komputerowej.

    Czytaj więcej

    Analiza złośliwego oprogramowania Ostap (Backswap dropper)

    Data publikacji: 01/06/2018, Paweł Srokosz

    analizabankbotnetdropperJScriptmalwareNemucodOstapWindows

      Od pewnego czasu obserwujemy rosnący stopień złożoności złośliwych skryptów rozsyłanych za pośrednictwem poczty elektronicznej. Zazwyczaj, widząc skrypt w załączniku wiadomości phishingowej, mogliśmy z dużym prawdopodobieństwem założyć, że będzie to prosty dropper, mający na celu wyłącznie pobranie i instalację złośliwego oprogramowania. Coraz częściej zdarza się jednak, że skrypt nie kończy działania po wykonaniu głównego zadania i czeka na dodatkowe komendy. Przykładami są m.in. vjw0rm wykorzystywany w kampaniach ransomware’u Vortex (opisany w 2016 r. przez Cert OPL), a także Ostap będący przedmiotem niniejszego artykułu.

      Artykuł stanowi wstęp do analizy złośliwego oprogramowania Backswap, dla którego Ostap jest pierwszym etapem infekcji. Nasza analiza Backswap pojawi się wkrótce!

      Czytaj więcej

      SECURE 2018 – Call for Speakers

      Data publikacji: 30/05/2018, piotrb

      konferencja secureSECURE


      Rozpoczynamy poszukiwanie prelegentów na tegoroczną edycję konferencji SECURE. Jeżeli posiadasz wiedzę na interesujący temat i chciałbyś przedstawić go w gronie światowej klasy ekspertów ds. bezpieczeństwa IT, zachęcamy do zapoznania się z zasadami zgłoszeń poniżej.
      Czytaj więcej

      Projekty
      cyberroad
      Polityka prywatność