Tag: botnet

Atak na klientów Allegro.pl oraz Booking.com

Data publikacji: 25/06/2014, Łukasz Siewierski

slammerW ciągu ostatnich kilku dni zaobserwowaliśmy atak polegający na podszywaniu się pod portal aukcyjny Allegro.pl lub pośrednika rezerwacji hotelowych – Booking.com. Ofiara otrzymywała spersonalizowaną wiadomość e-mail, w której zawarta była informacja o zablokowaniu konta w serwisie „z powodu nieuregulowanych oplat allegro”, albo z powodu „umieszczania w opisie Twojej aukcji tresci niezgodnych z regulaminem Allegro”. W przypadku serwisu Booking.com była to informacja na temat nieopłaconej faktury za (nieistniejącą) rezerwację. Obie te kampanie miały niemal identyczny schemat infekcji, co pozwala stwierdzić, że zostały przeprowadzone przez tę samą osobę, bądź grupę osób.
Czytaj więcej

Podsumowanie zagrożenia VBKlip

Data publikacji: 29/05/2014, Łukasz Siewierski

loveletter1Wielokrotnie informowaliśmy już o nowym zagrożeniu dla polskich użytkowników bankowości elektronicznej, które nazwaliśmy VBKlip. Przypominając, jest to rodzaj malware’u, którego działanie polega na podmianie numeru rachunku bankowego skopiowanego do schowka. W ten sposób, gdy np. opłacamy fakturę kopiując numer konta i następnie go wklejając, wysyłamy przelew na inne konto niż zamierzaliśmy. W tym wpisie przyjrzymy się temu zagrożeniu z perspektywy ostatnich kilku miesięcy, a także przedstawimy szczegółową jego analizę. Uważamy, że zagrożenie wciąż jest istotne, ponieważ wciąż dostajemy zgłoszenia od użytkowników, którzy zostali zainfekowani tym złośliwym oprogramowaniem i w wyniku jego działania stracili środki na koncie.

Czytaj więcej

Domeny rejestratora Domain Silver, Inc – statystyki z sinkhole’a

Data publikacji: 23/08/2013, Łukasz Siewierski

NASK 30 lipca 2013 roku podjął decyzję o wypowiedzeniu umowy z Domain Silver, Inc – sytuację tę opisywaliśmy w niedawno wydanym raporcie. Dzisiaj publikujemy wersję tego raportu zaktualizowaną o statystyki pochodzące z 20 botnetów sinkhole’owanych przez CERT Polska, których domeny C&C znajdowały się pod domenami zarejestrowanymi przez Domain Silver, Inc. Nie są to wszystkie botnety, a jedynie te, które były sinkhole’owane 23 lipca 2013 roku. Wśród nich znajdują się botnety stworzone za pomocą malware’u ZeuS ICE IX, Citadel, Andromeda/Gamarue oraz Dorkbot/NgrBot. Wśród tych botnetów znajdował się również botnet plitfi, z którego przejęcia raport publikowaliśmy wcześniej. Z zebranych danych wynika, że:
Czytaj więcej

Nowy rozdział w walce z zagrożeniami – przejęcie domen rejestratora Domain Silver, Inc

Data publikacji: 31/07/2013, Łukasz Siewierski

Dzisiaj publikujemy raport, który zawiera opis domen rejestrowanych za pośrednictwem firmy Domain Silver, Inc rejestratora działającego w domenie .pl. Rejestrator ten rozpoczął swoje działanie w maju 2012 roku. Od tego czasu zespół CERT Polska zaczął obserwować duży wzrost liczby rejestrowanych złośliwych domen (w tym do rozpowszechniania i zarządzania złośliwym oprogramowaniem) oraz otrzymywać wiele skarg z zewnątrz na domeny rejestrowane za pośrednictwem Domain Silver. W maju 2013 doszło do przejęcia i sinkhole’owania kilkudziesięciu złośliwych domen przez CERT Polska. Większość domen .pl zawierających złośliwą treść byłą rejestrowana właśnie przez Domain Silver. Po dalszych bezskutecznych próbach naprawienia tej sytuacji, NASK 30 lipca 2013 roku podjął decyzję o wypowiedzeniu umowy z partnerem. W kolejnych rozdziałach tego dokumentu omawiamy do czego wykorzystywane były zarejestrowane za pośrednictwem Domain Silver domeny (status na 9 lipca 2013), jakie rozpowszechniano złośliwe oprogramowanie i dlaczego stanowiło to zagrożenie dla Internautów.
Czytaj więcej

Ewolucja złośliwego oprogramowania na Androida – historia kolegi ZitMo

Data publikacji: 12/06/2013, Łukasz Siewierski

malware-icon

Niedawno pisaliśmy o nowym zagrożeniu dla polskich użytkowników elektronicznej bankowości – E-Security. Przypominając, wchodząc na już zainfekowanym komputerze na stronę banku wyświetlany został komunikat o potrzebie instalacji „certyfikatu bezpieczeństwa” na swoim telefonie z systemem Android. „Certyfikat” był w rzeczywistości aplikacją, która pozwalała przechwytywać wiadomości SMS. W ten sposób przestępcy posiadali login i hasło (ponieważ komputer był zainfekowany) oraz mogli przechwycić hasło SMSowe. Prowadziło to do możliwości wykonania przelewu, o którym użytkownik nie wiedział.

W poprzednim wpisie spekulowaliśmy na temat innego kanału komunikacji – zamiast przesyłać polecenia za pomocą wiadomości SMS, trojan ma możliwość połączenia się z C&C za pomocą protokołu HTTP. W tym artykule chcemy przedstawić historię rozwoju aplikacji E-Security, którą udało nam się odtworzyć na podstawie 10 próbek przedstawiających się czterema różnymi wersjami na platformę Android.

Czytaj więcej

Koledzy ZitMo: kradzież SMSowych haseł jednorazowych przez aplikację “E-Security”

Data publikacji: 25/04/2013, Łukasz Siewierski

ransomeware

Do laboratorium CERT Polska trafiła próbka złośliwego oprogramowania na platformę Android, która została przeznaczona dla polskich użytkowników bankowości elektronicznej. Plik zawierający aplikację nosi nazwę e-security.apk, a jej ikona jest pokazana na obrazku po lewej stronie. Malware jest dosyć prosty, ale skutecznie realizuje zadanie do którego został zaprojektowany – kradzież haseł jednorazowych do kont bankowości elektronicznej. Jednocześnie, po uruchomieniu, wyświetlany jest komunikat w języku polskim informujący o rzekomym zwiększeniu bezpieczeństwa transakcji internetowych i w związku z tym rzekomej konieczności przeprowadzenia pewnych działań …
Czytaj więcej

Raport na temat botnetu Citadel plitfi

Data publikacji: 15/04/2013, Łukasz Siewierski

Pod koniec lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 3 domenami używanymi do zarządzania jedną z instancji botnetu Citadel oznaczoną plitfi. Botnet ten był skierowany głównie na polskich użytkowników. Cały ruch skierowany do serwerów C&C botnetu został przekierowany do serwera kontrolowanego przez CERT Polska.
Czytaj więcej

Raport na temat botnetu Virut

Data publikacji: 21/02/2013, Łukasz Siewierski

Na przełomie stycznia i lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 43 nazwami domenowymi z końcówką .pl, które służyły do zarządzania botnetem Virut, a także do rozprzestrzeniania złośliwego oprogramowania. W wyniku tych działań ruch z komputerów zarażonych złośliwym oprogramowaniem Virut do centrum zarządzającego (C&C) botnetu został przekierowany do serwera kontrolowanego przez CERT Polska. Informacje, które znajdują się w raporcie to między innymi:

    • Codziennie serwer rejestruje około 270 tysięcy połączeń z unikalnych adresów IP.
    • Prawie połowa zainfekowanych maszyn znajduje się w jednym z trzech krajów: Egipt, Pakistan lub Indie.
    • Polska znajduje się na 19 miejscu pod względem liczby zainfekowanych maszyn.
    • Działalność kryminalna botnetu Virut może być powiązana również ze złośliwym oprogramowaniem typu FakeAV.
    • Niektóre wersje botów posiadały algorytm generowania nazw domenowych (DGA) oraz szyfrowanie strumieniowie, które są dokładnie opisane w raporcie.
    • Byliśmy w stanie rozróżnić kilkadziesiąt wersji Viruta.
    • Virut infekował maszyny z ośmioma różnymi systemami z rodziny Windows, od Windows 98 aż do Windows 8.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.

Przejęcie domen związanych z Virutem – c.d.

Data publikacji: 22/01/2013, przemek

Poniżej publikujemy kolejną informację prasową NASK związaną z działaniami przeciwko botnetowi Virut. Przy okazji, wszystkich operatorów zainteresowanych otrzymywaniem danych na temat infekcji w swoich sieciach, zachęcamy do korzystania z platformy n6.

NASK przejął kolejne 15 domen służących do sterowania i rozpowszechniania złośliwego oprogramowania o nazwie Virut. Tym samym uniemożliwił ich dalsze wykorzystywanie do działań przestępczych, niebezpiecznych dla wszystkich użytkowników Internetu. Akcja ta podjęta została w bliskiej współpracy z partnerem NASK, firmą Home.pl.

To kolejny z zapowiadanych przez Instytut etapów działań podjętych na rzecz poprawy bezpieczeństwa użytkowników Internetu. NASK zaprzestaje utrzymywania między innymi domeny lometr.pl stanowiącej jeden z głównych elementów niebezpiecznej sieci. Podjęte przez NASK działanie jest kontynuacją rozpoczętego w ubiegłym tygodniu procesu likwidacji zagrożenia ze strony groźnego botnetu.
Virut to groźny wirus zarażający komputery internautów. Rozpowszechnia się między innymi poprzez luki w przeglądarkach, a także poprzez zainfekowane strony www. Grupy zarażonych komputerów tworzą tzw. botnet i służą do działań niezgodnych z prawem – zmasowanych ataków sieciowych, rozsyłania spamu, czy tez kradzieży poufnych danych. Ten niebezpieczny proceder odbywa się bez wiedzy nieświadomych zagrożenia użytkowników komputerów.
Po przejęciu komunikacji w jednym z największych botnetów na świecie CERT Polska, funkcjonujący w NASK, prowadzi intensywną analizę połączeń z zarażonych komputerów użytkowników Internetu. Pozyskiwane informacje o działaniach botnetu pozwolą w przyszłości na jeszcze skuteczniejsze przeciwdziałanie zagrożeniom sieciowym. Jednocześnie CERT Polska przekazuje informacje o ofiarach Viruta do operatorów sieci.