Aktualności

Slave, Banatrix i maile od Poczty Polskiej

Data publikacji: 03/07/2015, Łukasz Siewierski

loveletter1W marcu 2015 firma S12sec poinformowała o nowym koniu trojańskim atakującym użytkowników polskiej bankowości elektronicznej. Nazwali to zagrożenie “Slave”, wywodząc nazwę z jednej ze ścieżek do dołączonych bibliotek, którą znaleźli w analizowanej próbce. W tym artykule postaramy się przedstawić nasze nowe ustalenia na temat tego złośliwego oprogramowania. Jesteśmy również przekonani (częściowo dzięki informacjom zawartym na kernelmode.info), że oprogramowanie to zostało napisane przez tego samego autora (bądź grupę autorów) co wcześniej opisywany przez nas Banatrix czy kampania mailowa, rzekomo od Poczty Polskiej, zawierająca oprogramowanie typu ransomware. Oznacza to, że autorami tego oprogramowania jest najprawdopodobniej osoba lub grupa osób pochodząca z Polski.

Czytaj więcej

Złośliwe oprogramowanie udaje akta “afery podsłuchowej”

Data publikacji: 17/06/2015, Łukasz Siewierski

loveletter1Niedawny wyciek dokumentów związanych z aferą podsłuchową stał się pretekstem do łatwiejszych ataków socjotechnicznych na użytkowników polskiego Internetu. W jednym z takich przypadków plik o nazwie AKTA CAŁE 1-20.exe, mający udawać akta związane ze śledztwem, tak naprawdę jest złośliwym oprogramowaniem z dosyć szerokim wachlarzem możliwości. Logowanie wciśniętych klawiszy, rozprzestrzenianie się przez dyski przenośne czy kradzież zapisanych w przeglądarkach i rejestrze systemu haseł to tylko niektóre z nieprzyjemności, jakie możemy napotkać uruchamiając wspomniany plik.

Czytaj więcej

Malware na Windows i Android w jednej kampanii

Data publikacji: 22/05/2015, Łukasz Siewierski

loveletter1W dniu 7 maja 2015 zaobserwowaliśmy kolejną kampanię mailową, w której atakujący używał loga i nazwy Poczty Polskiej. Maile rzekomo miały informować o nieodebranej paczce, ale w rzeczywistości zawierały link, który po wielu przekierowaniach doprowadzał do pliku exe bądź apk (w zależności od używanej przeglądarki). Poniżej prezentujemy dokładną analizę zagrożenia zarówno na systemy Windows jak i Android.

 

Czytaj więcej

Trzecie miejsce dla Polski w ćwiczeniach Locked Shields 2015

Data publikacji: 28/04/2015, alex

Polska drużyna zajęła trzecie miejsce w ćwiczeniach obronności internetowej NATO Locked Shields 2015 („złączone tarcze”). W skład polskiej drużyny – organizowanej przez Ministerstwo Obrony Narodowej – wchodzili również specjaliści z CERT Polska. W ćwiczeniach zwyciężyła drużyna NATO CIRC (zespołu reagowania na incydenty komputerowe NATO) a drugie miejsce zajęła drużyna Estonii.

Czytaj więcej

Wykrywanie botnetowych domen DGA: o fałszywych alarmach w detekcji

Data publikacji: 17/04/2015, piotrb

dga_icon

Algorytmy generowania domen (Domain Generation Algorithms) używane są w botnetach do tworzenia specjalnie skonstruowanych nazw domenowych odsyłających do serwerów C&C. Ma to na celu uniemożliwienie przejęcia domen botnetowych lub utrudnienie zablokowania połączeń do tych serwerów (np. przez blacklisty). Domeny te składają się najczęściej ze zbitek losowych znaków, np.: gdvf5yt.pl, które dla ludzi nie mają żadnego sensu, ale z powodzeniem zapewniają łączność. Zajmując się wykrywaniem domen generowanych przez DGA (ich użycie opisywaliśmy np. tu i tu) natrafiliśmy na domeny, które w pewnym stopniu są podobne do tych botnetowych ze względu na dziwny wygląd, ale które jednak są używane do innych celów. Znajomość tych domen przydaje się w wyeliminowaniu dużej liczby fałszywych alarmów systemów detekcji botnetów DGA. W tym wpisie przedstawione zostaną przykłady niezłośliwego występowania takich dziwnych domen, a w kolejnym przypadki, które można rozpatrywać jako zagrożenie.
Czytaj więcej

Betabot w Twoich wezwaniach do zapłaty

Data publikacji: 20/03/2015, Łukasz Siewierski

W ciągu ostatnich kilku dni zaobserwowaliśmy kampanię atakującą tylko polskich użytkowników Internetu za pomocą wiadomości e-mail zawierających złośliwe oprogramowanie. Pobiera ono bota o nazwie Betabot, który następnie przekazuje cyberprzestępcy pełną kontrolę nad komputerem ofiary. Celem atakującego jest zdobycie danych oraz zainstalowanie dodatkowych rodzajów malware’u, które potrafią na przykład podmienić numer rachunku bankowego na stronie bankowości elektronicznej. Poniżej znajduje się opis szczegółów kampanii, a także użytego złośliwego oprogramowania.

Czytaj więcej

...34567...1020...