Tag: analiza

TorrentLocker: złośliwa faktura za telefon

Data publikacji: 24/10/2016, Paweł Srokosz

Na początku października otrzymaliśmy zgłoszenie o kolejnej kampanii spamowej, wymierzonej w klientów sieci Play i dystrybuującej oprogramowanie ransomware. Rozsyłane maile mają postać fałszywych faktur, z załączonym skryptem JS, który pobiera i uruchamia złośliwe oprogramowanie, znane pod nazwą TorrentLocker (określanym również jako Crypt0L0cker).

Czytaj więcej

Następca Banatrixa: dodatek do przeglądarki

Data publikacji: 21/01/2016, Malgorzata Debska

zorro_foxW ostatnim czasie do laboratorium naszego zespołu trafiła próbka złośliwego oprogramowania atakująca polskich użytkowników bankowości elektronicznej. Analiza tego zagrożenia daje nam podstawy twierdzić, że jest to kolejne oprogramowanie napisane przez tego samego autora (albo grupę autorów) co wcześniej opisywany przez nas Banatrix, kampania mailowa, rzekomo od Poczty Polskiej czy zeszłoroczny Slave .
Czytaj więcej

Smoke Loader jako wtyczka Microsoft Office

Data publikacji: 27/08/2015, Łukasz Siewierski

loveletter1

Serwis Zaufana Trzecia Strona udostępnił informację na temat nowej kampanii, wykorzystującej logo produktu Microsoft Office w celu dystrybucji wtyczki do przeglądarki. W rzeczywistości, instalator wtyczki do przeglądarki zawiera również niechciane oprogramowanie o nazwie Smoke Loader. Pozwala ono np. przekierować rozwiązania adresów domenowych albo wykradać dane z komputera ofiary. Zawiera również komponent, który ukrywa te działania, zwany rootkit. O Smoke Loader już pisaliśmy na naszym blogu przy okazji kampanii wykorzystującej strony w domenie gov.pl. Teraz opisujemy dokładniej najnowsze wcielenie tego złośliwego oprogramowania.
Czytaj więcej

Banatrix – szczegóły techniczne

Data publikacji: 15/12/2014, Łukasz Siewierski

PL_malwareZe wszystkich „polskich” rodzin malware, które zaobserwowaliśmy w zeszłym roku, najbardziej zaawansowaną technicznie był Banatrix. Malware ten podmieniał numer konta w pamięci procesu przeglądarki. Jednak jego budowa pozwalała na dużo więcej i zostało to wykorzystane do wykradania zapisanych w przeglądarce Mozilla Firefox haseł. Poniżej znajduje się omówienie szczegółów technicznych działania oraz szczegóły dotyczące infrastruktury serwera C&C tego złośliwego oprogramowania. W komunikacji z serwerem C&C wykorzystywana jest sieć TOR co utrudnia zarówno namierzenie sprawcy jak i unieszkodliwienie serwera sterującego.
Czytaj więcej

Atak na klientów Allegro.pl oraz Booking.com

Data publikacji: 25/06/2014, Łukasz Siewierski

slammerW ciągu ostatnich kilku dni zaobserwowaliśmy atak polegający na podszywaniu się pod portal aukcyjny Allegro.pl lub pośrednika rezerwacji hotelowych – Booking.com. Ofiara otrzymywała spersonalizowaną wiadomość e-mail, w której zawarta była informacja o zablokowaniu konta w serwisie „z powodu nieuregulowanych oplat allegro”, albo z powodu „umieszczania w opisie Twojej aukcji tresci niezgodnych z regulaminem Allegro”. W przypadku serwisu Booking.com była to informacja na temat nieopłaconej faktury za (nieistniejącą) rezerwację. Obie te kampanie miały niemal identyczny schemat infekcji, co pozwala stwierdzić, że zostały przeprowadzone przez tę samą osobę, bądź grupę osób.
Czytaj więcej

123