Tag: spyware

Analiza złośliwego oprogramowania Emotet v4

Data publikacji: 24/05/2017, Paweł Srokosz

Wstęp

Emotet jest modularnym koniem trojańskim, który po raz pierwszy został zaobserwowany w czerwcu 2014 roku przez Trend Micro. Ten rodzaj złośliwego oprogramowania jest ściśle powiązany z innymi rodzajami, takimi jak Geodo, Bugat czy Dridex, które uznawane są za warianty należące do jednej rodziny.

Zadebiutował jako zaawansowany banker – u swych początków wykorzystywany był do wykradania pieniędzy z kont zainfekowanych ofiar. Jego początkowa wersja była wymierzona w klientów niemieckich i austriackich banków. Przejmowanie kont odbywało się z użyciem techniki Man-in-the-Browser, polegającej na przejęciu kontroli nad przeglądarką i przechwytywaniu komunikacji sieciowej przez podsłuchiwanie wywołań odpowiednich funkcji systemowych.

W kolejnej wersji (v2) arsenał Emoteta został uzupełniony o automatyczne wyprowadzanie pieniędzy z kont przy pomocy systemów ATS (Automatic Transfer System) (dokładniejszy opis tej techniki można znaleźć na 20 stronie raportu CERT Polska z 2013 r.). Jest to sposób powszechnie wykorzystywany również w innych bankerach, m.in. w ISFB (Gozi) i Tinbie.

Na początku kwietnia 2017r. zaobserwowaliśmy szeroką kampanię spamową, w której były dystrybuowane fałszywe maile pochodzące rzekomo od firmy kurierskiej DHL. Maile zawierały odnośnik prowadzący do nieznanego wcześniej, nowego wariantu złośliwego oprogramowania znanego pod nazwą Emotet.

W przypadku tej kampanii, zmiany w kodzie oprogramowania, a także w sposobie komunikacji z serwerami Command&Control wskazywały, iż mamy do czynienia z Emotetem w wersji 4. Z tego względu postanowiliśmy szczegółowo przeanalizować to zagrożenie.

Czytaj więcej

Wesołych świąt życzy Komornik Sądowy!

Data publikacji: 03/12/2014, alex

W ciągu ostatnich dwóch tygodni zespół CERT Polska otrzymał wiele zgłoszeń dotyczących podejrzanych wiadomości e-mail, pochodzących rzekomo od Komornika Sądowego działającego przy Sądzie Rejonowym dla Warszawy-Woli. Treść wiadomości nie zawiera szczegółowych informacji o rzekomej należności, co ma skłonić odbiorcę do kliknięcia w załącznik PDF opisany jako fotokopia nakazu zapłaty.Czytaj więcej

ZeuS-P2P internals – opis wykorzystywanych mechanizmów

Data publikacji: 07/06/2013, CERT Polska

zp2p_ico

Na początku 2012 roku pisaliśmy o pojawieniu się nowej wersji ZeuSa – nazywanej ZeuS-P2P lub Gameover. Wykorzystuje ona sieć P2P (Peer-To-Peer) do komunikacji oraz wymiany danych z Centrum Zarządzania CnC. Malware ten jest nadal aktywny – zagrożenie od ponad roku monitorowanie oraz badane przez CERT Polska. W drugiej połowie 2012 roku dotknęło ono bezpośrednio Polskich użytkowników – konkretnie użytkowników bankowości elektronicznej.
Czytaj więcej

Coraz bardziej wyrafinowane ataki spyware na klientów bankowości internetowej

Data publikacji: 25/09/2012, CERT Polska

javascrip inject

Wakacje się skończyły, młodzież ruszyła do szkół, studenci na poprawki egzaminów, a przestępcy komputerowi do pracy. Od początku września monitorujemy pojawiające się w plikach konfiguracyjnych oprogramowania szpiegowskiego wpisy dotyczące systemów transakcyjnych polskich banków. Atakuje ono komputery użytkowników systemu Windows, a po zainstalowaniu podsłuchuje wszystkie przesyłane informacje (w tym głównie loginy i hasła), oraz – jeżeli posiada dodatkowe instrukcje w pliku konfiguracyjnym – dokonuje podmiany treści wybranych stron internetowych tuż przed ich wyświetleniem. To złośliwe oprogramowanie to najnowsze odmiany ZeuS-a: Citadel oraz Zeus-p2p (malware oparty na kodzie ZeuS 2.0.8.9, który wyciekł wiosną 2011 roku).

Czytaj więcej

ZeuS – wariant P2P+DGA – analiza nowego zagrożenia

Data publikacji: 04/01/2012, CERT Polska

zeus p2p

Jesienią 2011 roku zarejestrowano infekcje nowym złośliwym oprogramowaniem. Analiza mechanizmu uruchamiania złośliwego oprogramowania, proces jego ukrywania, czy też sposób składowania konfiguracji wskazywały na ZeuSa. Jednak podczas monitorowania zainfekowanych maszyn nie udało się zauważyć charakterystycznej dla tego trojana komunikacji z centrum C&C. Po głębszej analizie okazało się, iż próbka to najprawdopodobniej nowa wersja trojana ZeuS oparta na upublicznionym przypadkiem kodzie.

zeus3_infograf-300x243

W nowej wersji trojana autorzy skupili się na eliminacji najsłabszego ogniwa – scentralizowanego systemu dystrybucji informacji.
Poprzednie wersje ZeuS-a oparte było o jeden (lub kilka) zdefiniowanych adresów, pod którymi dostępne było centrum zarządzania C&C. Pozwalało to łatwo namierzyć takie adresy i poprzez ich blokowanie uczynić botnet bezużytecznym. Badany wariant trojana wykorzystuje dwa nowe kanały komunikacyjne do pobierania nowych rozkazów (rys. po prawej):

 

  1. Komunikacja w sieci peer-to-peer
  2. Mechanizm Generowania Domen

W internecie dostępne były już wcześniej informacje na temat nowego wariantu zeusa (np: abuse.ch), ale – z informacji jakie posiadamy – dotychczasowa praca badawcza skupiała się na zarejestrowaniu i monitorowaniu ruchu do domen zeusowych. Podczas naszej pracy skupiliśmy się na poznaniu oraz monitorowaniu mechanizmów wymiany informacji przez sieć P2P oraz próbie zebrania danych na temat jej kształtu.

Czytaj więcej

Halo, tu ZITMO – czyli jak usunąć malware z telefonu.

Data publikacji: 04/03/2011, CERT Polska

zeus_zitmo2

Parę dni temu opisywaliśmy lutowy atak ZeuSa oraz ZITMO, który skierowany był na klientów polskich banków. Jest to nowa strategia ataku polegająca na zainfekowaniu nie tylko komputera ale również telefonu ofiary. Komunikacja zainfekowanego telefonu z C&C (centrum zarządzania) odbywa się poprzez wiadomości SMS wysyłane na określony numer. Atakujący ma możliwość np.: całkowicie zablokować możliwość wykonywania oraz odbierania rozmów, czy też przekierować wszystkie przychodzące wiadomości SMS na jego numer (wiadomości te nie są widoczne na telefonie ofiary). Podczas analizy zebranych próbek CERT Polska znalazł trzy różne numery telefonów. Wszystkie pasują do schematu: +44778148****.

  Jedną z możliwych (i skutecznych) kuracji telefonu jest FACTORY RESET. Przywraca on urządzenie do stanu „pierwotnego”, tym samym usuwając szkodnika z pamięci. Niestety usuwa również wszystkie inne informacje i ustawienia zapisane w telefonie. W przypadku infekcji komputera dostępna jest instrukcja usunięcia ZeuSa umieszczona na stronie banku ING.

Poniżej zamieszczamy krótki opis każdego z „gatunków” lutowego ZITMO:

Czytaj więcej

Nowe zagrożenie: ZITMO atakuje!

Data publikacji: 23/02/2011, CERT Polska

zitmo1

ZeuS jest „popularnym” oprogramowaniem szpiegującym. Jego szczegółową analizę można znaleźć w artykule Analiza bota Zeus na naszej stronie. ZITMO, czyli Zeus In The Mobile jest nowym zagrożeniem, które w ciągu ostatnich tygodni pojawiło się w Polsce. Jest to nowa odmiana ZeuSa przeznaczona na telefony komórkowe. Główne niebezpieczeństwo związane jest z możliwościami jakie daje zainfekowanie telefonu. Atakujący może czytać oraz modyfikować informacje zawarte w SMS – np: kody autoryzacji transakcji czy wiadomości potwierdzające wykonane operacje bankowe. Pierwsze informacje dotyczące nowego ataku pojawiły się na stronie banku ING.

Czytaj więcej