W ciągu ostatnich dwóch tygodni zespół CERT Polska otrzymał wiele zgłoszeń dotyczących podejrzanych wiadomości e-mail, pochodzących rzekomo od Komornika Sądowego działającego przy Sądzie Rejonowym dla Warszawy-Woli. Treść wiadomości nie zawiera szczegółowych informacji o rzekomej należności, co ma skłonić odbiorcę do kliknięcia w załącznik PDF opisany jako fotokopia nakazu zapłaty.Czytaj więcej
Na początku października otrzymaliśmy informację o nowym rodzaju zagrożenia dla polskich użytkowników bankowości elektronicznej. Uzyskaliśmy próbkę złośliwego oprogramowania, napisanego w Visual Basic 6, którego mechanizm działania był nadzwyczaj prosty jak na zagrożenia tego typu. Jego działanie opierało się na podmienianiu numeru konta na numer konta kontrolowany przez cyberprzestępców. Podmiana ta następowała jeśli jakikolwiek numer konta został skopiowany do schowka systemu Windows.
Czytaj więcej
W miesiącach wakacyjnych zauważyliśmy wzmożoną aktywność złośliwego oprogramowania typu ransomware, które już kilkukrotnie opisywaliśmy (tutaj znajduje się opis podobnego zagrożenia, natomiast tutaj znajduje się informacja jak usunąć je z komputera). Dotarły do nas trzy próbki tego oprogramowania i przy każdej byliśmy w stanie ustalić wektor infekcji komputera ofiary. Prawdopodobnie wszystkie te próbki są dystrybuowane przez tę samą grupę przestępczą. Jedna z tych próbek została uzyskana we współpracy z CERT.GOV.PL, podczas rutynowego skanowania stron w domenie gov.pl, kolejna pochodziła ze strony w domenie .eu, ostatnia pochodziła z systemu reklam znajdującego się na jednej ze stron w domenie .pl. Podobny przypadek kampanii malware na stronie rządowej opisywaliśmy wcześniej.
Czytaj więcej
W maju mieliśmy w Polsce do czynienia z infekcjami złośliwym oprogramowaniem, które blokowało dostęp do komputera, żądając wpłacenia okupu w zamian za usunięcie blokady. ‚Opłata karna’ wynosi 100 euro (można również dokonać dwóch płatności po 50 euro) i powinna zostać dokonana poprzez podanie numeru vouchera UKASH. Jak twierdzi wyświetlany na komputerze komunikat, kara ta wynika z tajemniczych przepisów o ‚kontroli informacyjnej oraz zabezpieczenia informacji’ z 2012 roku. Sam komunikat napisany jest poprawną polszczyzną i opatrzony logiem policji! (patrz zrzut ekranu poniżej). Programy antywirusowe oznaczają to zagrożenie jako ‚Trojan/Weelsof’.
Parę dni temu opisywaliśmy lutowy atak ZeuSa oraz ZITMO, który skierowany był na klientów polskich banków. Jest to nowa strategia ataku polegająca na zainfekowaniu nie tylko komputera ale również telefonu ofiary. Komunikacja zainfekowanego telefonu z C&C (centrum zarządzania) odbywa się poprzez wiadomości SMS wysyłane na określony numer. Atakujący ma możliwość np.: całkowicie zablokować możliwość wykonywania oraz odbierania rozmów, czy też przekierować wszystkie przychodzące wiadomości SMS na jego numer (wiadomości te nie są widoczne na telefonie ofiary). Podczas analizy zebranych próbek CERT Polska znalazł trzy różne numery telefonów. Wszystkie pasują do schematu: +44778148****.
Jedną z możliwych (i skutecznych) kuracji telefonu jest FACTORY RESET. Przywraca on urządzenie do stanu „pierwotnego”, tym samym usuwając szkodnika z pamięci. Niestety usuwa również wszystkie inne informacje i ustawienia zapisane w telefonie. W przypadku infekcji komputera dostępna jest instrukcja usunięcia ZeuSa umieszczona na stronie banku ING.
Poniżej zamieszczamy krótki opis każdego z „gatunków” lutowego ZITMO:
