Tag: trojan

Analiza polskiego BankBota

Data publikacji: 16/01/2018, Agnieszka Bielec


    Analiza polskiego BankBota

    Niedawno zaobserwowaliśmy kampanie z wykorzystaniem złośliwego oprogramowania na systemy Android skierowane do polskich użytkowników. Malware stanowi wariant popularnej rodziny BankBot, różniący się od oryginalnego oprogramowania kilkoma szczegółami. Do infekcji dochodziło przez instalację aplikacji z serwisu Google Play Store. W Google Play Store zostały umieszczone co najmniej 3 próbki, które obeszły jego zabezpieczenia antywirusowe. Nazwy złośliwych aplikacji to:

    • Crypto Monitor
    • StorySaver
    • Cryptocurrencies Market Prices

    Zgodnie z analizą firmy ESET dwie pierwsze próbki z samego Google Play Store zostały pobrane od 1000 do 5000 razy. Niemniej za każdym razem malware kamuflował się jako niegroźna aplikacja.

    Czytaj więcej

    Analiza złośliwego oprogramowania Emotet v4

    Data publikacji: 24/05/2017, Paweł Srokosz

    Wstęp

    Emotet jest modularnym koniem trojańskim, który po raz pierwszy został zaobserwowany w czerwcu 2014 roku przez Trend Micro. Ten rodzaj złośliwego oprogramowania jest ściśle powiązany z innymi rodzajami, takimi jak Geodo, Bugat czy Dridex, które uznawane są za warianty należące do jednej rodziny.

    Zadebiutował jako zaawansowany banker – u swych początków wykorzystywany był do wykradania pieniędzy z kont zainfekowanych ofiar. Jego początkowa wersja była wymierzona w klientów niemieckich i austriackich banków. Przejmowanie kont odbywało się z użyciem techniki Man-in-the-Browser, polegającej na przejęciu kontroli nad przeglądarką i przechwytywaniu komunikacji sieciowej przez podsłuchiwanie wywołań odpowiednich funkcji systemowych.

    W kolejnej wersji (v2) arsenał Emoteta został uzupełniony o automatyczne wyprowadzanie pieniędzy z kont przy pomocy systemów ATS (Automatic Transfer System) (dokładniejszy opis tej techniki można znaleźć na 20 stronie raportu CERT Polska z 2013 r.). Jest to sposób powszechnie wykorzystywany również w innych bankerach, m.in. w ISFB (Gozi) i Tinbie.

    Na początku kwietnia 2017r. zaobserwowaliśmy szeroką kampanię spamową, w której były dystrybuowane fałszywe maile pochodzące rzekomo od firmy kurierskiej DHL. Maile zawierały odnośnik prowadzący do nieznanego wcześniej, nowego wariantu złośliwego oprogramowania znanego pod nazwą Emotet.

    W przypadku tej kampanii, zmiany w kodzie oprogramowania, a także w sposobie komunikacji z serwerami Command&Control wskazywały, iż mamy do czynienia z Emotetem w wersji 4. Z tego względu postanowiliśmy szczegółowo przeanalizować to zagrożenie.

    Czytaj więcej

    Nymaim atakuje ponownie

    Data publikacji: 30/01/2017, Jarosław Jedynak

    logo

    Wstęp

    Nymaim nie jest nową rodziną złośliwego oprogramowania – pierwszy raz został napotkany w 2013 roku. Wtedy był wykorzystywany jedynie jako dropper, używany głównie do dystrybucji TorrentLockera.

    W lutym 2016 ponownie stał się popularny, po tym jak do jego kodu zostały dołączone fragmenty kodu ISFB, który wcześniej wyciekł. Zyskał wtedy przydomek „Goznym”. Ta inkarnacja Nymaima była dla nas szczególnie interesująca, ponieważ zyskała możliwości bankera i stała się poważnym zagrożeniem w Polsce. Z tego powodu przeprowadziliśmy dokładną analizę tego zagrożenia i byliśmy w stanie śledzić aktywność Nymaima od tamtego czasu.

    Przez ostatnie dwa miesiące, wiele rzeczy się zmieniło. Przede wszystkim, sieć fast-flux nazywana „Avalanche” (wykorzystywana intensywnie przez Nymaima) została wyłączona na skutek skoordynowanych działań organów ścigania kilku krajów. Przez prawie dwa tygodnie Nymaim był zupełnie nieaktywny, a do dzisiaj jest cieniem tego czym był jeszcze niedawno. Mimo że jest ciągle aktywny w Niemczech (z nowymi injectami), dopiero niedawno powrócił do Polski.

    Czytaj więcej

    Grupa Pocztowa

    Data publikacji: 14/10/2015, Łukasz Siewierski

    Podczas konferencji SECURE zaprezentowaliśmy nasze ustalenia dotyczące działalności grupy przestępczej, którą nazwaliśmy „Grupą Pocztową” ze względu na ich modus operandi. Szczegółowe ustalenia dotyczące tej grupy zebraliśmy również w formie raportu dostępnego pod poniższym linkiem.Czytaj więcej

    GMBot: Androidowa uboższa wersja webinjectów

    Data publikacji: 02/10/2015, Łukasz Siewierski

    maldroidOstatnio do laboratorium CERT Polska trafiła próbka nowego złośliwego oprogramowania na systemy Android o nazwie GMBot. Oprogramowanie to stara się ulepszyć obecną technikę trojanów bankowych, która składa się z dwóch części: jednej na systemy Windows i jednej na systemy Android. Zamiast tego używana jest technika o nazwie application overlay (po polsku będziemy to nazywać przesłonięciem aplikacji), która ma służyć uzyskaniu danych do logowania do konta bankowego ofiary za pomocą ataku phishingowego. Znaleźliśmy także wcześniejszy kod źródłowy tego złośliwego oprogramowania na jednej z rosyjskich stron służących do dzielenia się plikami. Przesłonięcie aplikacji w GMBot jest bardzo podobne do metody używania webinjectów w systemach z rodziny Windows. Gdy pojawił się Zeus, webinjecty szybko stały się standardem. Czy podobnie będzie z GMBotem?
    Czytaj więcej

    Slave, Banatrix i maile od Poczty Polskiej

    Data publikacji: 03/07/2015, Łukasz Siewierski

    loveletter1W marcu 2015 firma S12sec poinformowała o nowym koniu trojańskim atakującym użytkowników polskiej bankowości elektronicznej. Nazwali to zagrożenie “Slave”, wywodząc nazwę z jednej ze ścieżek do dołączonych bibliotek, którą znaleźli w analizowanej próbce. W tym artykule postaramy się przedstawić nasze nowe ustalenia na temat tego złośliwego oprogramowania. Jesteśmy również przekonani (częściowo dzięki informacjom zawartym na kernelmode.info), że oprogramowanie to zostało napisane przez tego samego autora (bądź grupę autorów) co wcześniej opisywany przez nas Banatrix czy kampania mailowa, rzekomo od Poczty Polskiej, zawierająca oprogramowanie typu ransomware. Oznacza to, że autorami tego oprogramowania jest najprawdopodobniej osoba lub grupa osób pochodząca z Polski.

    Czytaj więcej

    Złośliwe oprogramowanie udaje akta “afery podsłuchowej”

    Data publikacji: 17/06/2015, Łukasz Siewierski

    loveletter1Niedawny wyciek dokumentów związanych z aferą podsłuchową stał się pretekstem do łatwiejszych ataków socjotechnicznych na użytkowników polskiego Internetu. W jednym z takich przypadków plik o nazwie AKTA CAŁE 1-20.exe, mający udawać akta związane ze śledztwem, tak naprawdę jest złośliwym oprogramowaniem z dosyć szerokim wachlarzem możliwości. Logowanie wciśniętych klawiszy, rozprzestrzenianie się przez dyski przenośne czy kradzież zapisanych w przeglądarkach i rejestrze systemu haseł to tylko niektóre z nieprzyjemności, jakie możemy napotkać uruchamiając wspomniany plik.

    Czytaj więcej

    Wesołych świąt życzy Komornik Sądowy!

    Data publikacji: 03/12/2014, alex

    W ciągu ostatnich dwóch tygodni zespół CERT Polska otrzymał wiele zgłoszeń dotyczących podejrzanych wiadomości e-mail, pochodzących rzekomo od Komornika Sądowego działającego przy Sądzie Rejonowym dla Warszawy-Woli. Treść wiadomości nie zawiera szczegółowych informacji o rzekomej należności, co ma skłonić odbiorcę do kliknięcia w załącznik PDF opisany jako fotokopia nakazu zapłaty.Czytaj więcej

    VBKlip 2.0: bez schowka, za to z efektami specjalnymi

    Data publikacji: 05/09/2014, Łukasz Siewierski

    PL_malwareW ostatnich tygodniach otrzymywaliśmy sygnały od użytkowników o nowym rodzaju złośliwego oprogramowania, podobnym w działaniu do opisywanego przez nas wcześniej VBKlip. Tym razem jednak opisy były co najmniej nieprawdopodobne. Użytkownicy pisali do nas, że próbowali skopiować numer rachunku do strony z przelewem, ale numer im się zmieniał. Wtedy pomyśleli, że padli ofiarą VBKlip, więc jako tymczasowe rozwiązanie postanowili przepisać numer rachunku. Po przepisaniu jednak numer się zmienił, jak napisał jeden z użytkowników, „na ich oczach”. Brzmiało to podobnie do słynnej grafiki z filmu Matrix, gdzie kolejne cyfry, przelatują przed oczami widzów. Dzięki uprzejmości jednego ze zgłaszających udało nam się uzyskać próbkę tego złośliwego oprogramowania, które nazwaliśmy Banatrix, i zobaczyć na własne oczy jak zmieniają się cyfry wpisywanych numerów rachunków.
    Czytaj więcej

    Nowy trojan bankowy napisany w .NET (VBKlip): bez sieci, bez rejestru, nie wykrywany przez AV

    Data publikacji: 23/01/2014, Łukasz Siewierski

    2014-01-21-iconNiedawno informowaliśmy o nowym zagrożeniu dla polskich użytkowników bankowości elektronicznej, nazwanym przez nas VBKlip. Polegało ono na podmianie numeru rachunku bankowego, który znalazł się w schowku. Od tego czasu zaobserwowaliśmy zmiany w kodzie tego malware’u. Nowa wersja napisana jest w języku .NET i zawiera kilka ciekawych usprawnień, które powodują, że każda próbka w chwili znalezienia jej przez CERT Polska nie była wykrywana przez żaden z produktów antywirusowych obecnych na VirusTotal. Nowy VBKlip rozprzestrzenia się udając aplikację „Adobe Flash Player” i opatrzony jest ikoną taką, jak ta zaprezentowana na początku artykułu.
    Czytaj więcej