Tag: malware

Szacowanie wielkości botnetów w Polsce

Data publikacji: 19/05/2014, Łukasz Siewierski

computer_wormRaport roczny CERT Polska za 2013 rok będzie już niedługo dostępny na naszej stronie. W tym roku postanowiliśmy zmienić trochę formułę, przykładając – kosztem suchych statystyk – większą wagę do opisu ważnych trendów i zjawisk dostrzeżonych w ubiegłym roku. W oczekiwaniu na publikację zachęcamy do lektury fragmentu raportu znajdującego się poniżej. Fragment zawiera opis naszej metody szacowania wielkości botnetów aktywnych w Polsce oraz wyniki tego szacowania. Niektóre odnośniki do materiałów źródłowych zostały usunięte w celu polepszenia czytelności tekstu na stronie, ale oczywiście znajdą się w raporcie.

Czytaj więcej

Nowy trojan bankowy napisany w .NET (VBKlip): bez sieci, bez rejestru, nie wykrywany przez AV

Data publikacji: 23/01/2014, Łukasz Siewierski

2014-01-21-iconNiedawno informowaliśmy o nowym zagrożeniu dla polskich użytkowników bankowości elektronicznej, nazwanym przez nas VBKlip. Polegało ono na podmianie numeru rachunku bankowego, który znalazł się w schowku. Od tego czasu zaobserwowaliśmy zmiany w kodzie tego malware’u. Nowa wersja napisana jest w języku .NET i zawiera kilka ciekawych usprawnień, które powodują, że każda próbka w chwili znalezienia jej przez CERT Polska nie była wykrywana przez żaden z produktów antywirusowych obecnych na VirusTotal. Nowy VBKlip rozprzestrzenia się udając aplikację „Adobe Flash Player” i opatrzony jest ikoną taką, jak ta zaprezentowana na początku artykułu.
Czytaj więcej

Wykradacz haseł jednorazowych na Androida udający mobilnego antywirusa

Data publikacji: 17/12/2013, Łukasz Siewierski

malware-icon

Aplikacja E-Security pojawiła się, w wersji atakującej polskich użytkowników, na początku tego roku. W ostatnich tygodniach zauważyliśmy, że o ile sam schemat infekcji jest podobny – wciąż po zalogowaniu się do strony banku wyświetlany jest komunikat o potrzebie instalacji aplikacji mobilnej – o tyle nie jest to już „certyfikat bezpieczeństwa”, a „program antywirusowy”. Ten nowy malware, przeznaczony na systemy z rodziny Android, odznacza się znacznie większymi możliwościami niż E-Security.
Czytaj więcej

(Nowy?) botnet DDoS w wersji na Linuksa i Windowsa

Data publikacji: 16/12/2013, Łukasz Siewierski

malware-icon

Na początku grudnia zauważyliśmy nowy botnet, którego boty występują w wersji zarówno na systemy z rodziny Linuks jak i Windows. Bot był instalowany, w przypadku systemów Linuks, w wyniku ataku typu brute-force na hasło użytkownika usługi SSH. Następnie atakujący loguje się na serwer, pobiera plik bota i go uruchamia. Bot jest dosyć prosty – jedyną jego funkcjonalnością jest możliwość wykonania ataków typu DDoS, a dokładnie DNS Amplification. Istnieje również wersja na systemy operacyjne z rodziny Windows, która instaluje nową usługę, aby utrudnić usunięcie bota z systemu. Wykrywalność wersji na systemy Windows jest wysoka: 34/48, przy czym wykrywalność wersji na systemy Linuks jest dosyć niska: 3/47.
Czytaj więcej

Android 4.4 KitKat – zmiany w bezpieczeństwie

Data publikacji: 08/11/2013, Łukasz Siewierski

malware-icon

Ostatniego dnia października, Google ogłosiło wydanie nowej wersji mobilnego systemu operacyjnego Android. Wersja ta jest oznaczona numerem 4.4 i, zgodnie z konwencją nazywania kolejnych wersji, nazwana KitKat. Wprowadza ona wiele udogodnień dla użytkowników, ale również kilka dodatkowych funkcji odpowiedzialnych za bezpieczeństwo. Pojawiła się również dodatkowa funkcja, związana z obsługą wiadomości SMS, która ułatwia użytkownikom zaobserwowanie infekcji telefonu złośliwym oprogramowaniem. Osiągnięte zostało to niejako przypadkiem, gdyż ta dodatkowa funkcjonalność nie jest ogłoszona jako usprawnienie bezpieczeństwa.
Czytaj więcej

Jak rozpoznać i unieszkodliwić VBKlip?

Data publikacji: 31/10/2013, Łukasz Siewierski

malware-icon

W poprzednim artykule pisaliśmy na temat nowego malware’u, nazwanego przez nas VBKlip, podmieniającego numer rachunku bankowego, który był skopiowany do schowka. W celu sprawdzenia czy nasz komputer jest zainfekowany wystarczy skopiować dowolny numer przypominający formatem numer rachunku bankowego (na przykład ten: 12 1234 1234 1234 1234 1234 1234) i spróbować go wkleić w edytorze tekstu (np. Microsoft Word, Notatnik), a następnie sprawdzić czy wklejony numer jest taki sam jak skopiowany.
Czytaj więcej

Uwaga! Malware podmieniający numer konta podczas kopiowania ze schowka Windows

Data publikacji: 22/10/2013, Łukasz Siewierski

malware-icon

Na początku października otrzymaliśmy informację o nowym rodzaju zagrożenia dla polskich użytkowników bankowości elektronicznej. Uzyskaliśmy próbkę złośliwego oprogramowania, napisanego w Visual Basic 6, którego mechanizm działania był nadzwyczaj prosty jak na zagrożenia tego typu. Jego działanie opierało się na podmienianiu numeru konta na numer konta kontrolowany przez cyberprzestępców. Podmiana ta następowała jeśli jakikolwiek numer konta został skopiowany do schowka systemu Windows.
Czytaj więcej

Analiza przypadku: botnet PowerZeus, przypadek infekcji polskich użytkowników

Data publikacji: 18/10/2013, Łukasz Siewierski

Publikujemy kolejny raport techniczny dotyczący malware’u atakującego polskich użytkowników. W lipcu 2013 roku do CERT Polska dotarły informacje kradzieży środków z kont polskich użytkowników przy użyciu nowego rodzaju malware. Pomimo, że używane przez ten malware techniki oraz aplikacja mobilna była znana już od kwietnia, to od lipca cyberprzestępcy zaczęli używać nowego botnetu jako kanału dystrybucji. Udało się ustalić, iż komputery ofiar zainfekowane są oprogramowaniem, które posiada możliwości podobne do znanego wcześniej malware’u ZeuS, m.in. modyfikacja treści strony po stronie klienta. Złośliwe oprogramowanie po tym jak użytkownik zaloguje się do systemu bankowego wykrada dane dostępowe oraz nakłania użytkownika do zainstalowania specjalnej, rzekomo przygotowanej przez bank aplikacji na telefonie z systemem Android. Mając kontrolę nad telefonem przestępcy mogą obejść zabezpieczenie polegające na potwierdzeniu zlecenia przelewu poprzez SMS z kodem autoryzacyjnym. W ten sposób wyprowadzają oni środki z kont zainfekowanych użytkowników. Poniższy raport opisuje każdy z elementów wykorzystanych przy opisanym procederze. Zawarte są zarówno ogólne informacje jak, techniczne szczegóły oraz zalecenia w jaki sposób radzić sobie z zagrożeniem. Malware ten znany jest jako KINS lub PowerZeus.
Czytaj więcej

Ransomware wciąż groźny

Data publikacji: 19/09/2013, Łukasz Siewierski

malware-icon

W miesiącach wakacyjnych zauważyliśmy wzmożoną aktywność złośliwego oprogramowania typu ransomware, które już kilkukrotnie opisywaliśmy (tutaj znajduje się opis podobnego zagrożenia, natomiast tutaj znajduje się informacja jak usunąć je z komputera). Dotarły do nas trzy próbki tego oprogramowania i przy każdej byliśmy w stanie ustalić wektor infekcji komputera ofiary. Prawdopodobnie wszystkie te próbki są dystrybuowane przez tę samą grupę przestępczą. Jedna z tych próbek została uzyskana we współpracy z CERT.GOV.PL, podczas rutynowego skanowania stron w domenie gov.pl, kolejna pochodziła ze strony w domenie .eu, ostatnia pochodziła z systemu reklam znajdującego się na jednej ze stron w domenie .pl. Podobny przypadek kampanii malware na stronie rządowej opisywaliśmy wcześniej.
Czytaj więcej