Ewolucja złośliwego oprogramowania I kw. 2015

Przeczytaj także: Ewolucja złośliwego oprogramowania I kw. 2014

Ciekawym aspektem tej kampanii jest fakt, że celem NBOT – jednego ze szkodliwych programów wykorzystywanych przez grupę – jest przeprowadzanie ataków DDoS. Funkcjonalność ta nie jest powszechnie wykorzystywana przez typowe grupy APT. Ponadto, jedno ze szkodliwych “zwierząt” posiada dziwną nazwę Tafacalou – która jest prawdopodobnie słowem z języka oksytańskiego, którym posługują się między innymi mieszkańcy Francji.

Upatre – aktywna dystrybucja trojana bankowego Dyre/Dyreza

W zeszłym kwartale najbardziej rozpowszechnionym przykładem trojana bankowego był Upatre – downloader finansowego szkodliwego oprogramowania Dyre, znanego również jako Dyreza. Trojan ten pojawił się po raz pierwszy w 2014 r. Jego celem są użytkownicy różnych organizacji finansowych. Szkodnik wykorzystuje technikę umożliwiającą obejście ochrony SSl w celu kradzieży informacji dotyczących płatności. Może być również wykorzystywany jako narzędzie zdalnej administracji (ang. RAT), które pozwala osobom atakującym wykonać ręcznie transakcje w imieniu użytkowników bankowości online.

Downloader Upatre jest dostarczany użytkownikom w wiadomościach spamowych, z których wiele przypomina legalne wiadomości z instytucji finansowych. Wśród banków atakowanych przez trojana bankera Dyre, który jest pobierany przez Upatre, znajdują się Bank of America, Natwest, Citibank, RBS oraz Ulsterbank. Według badaczy, zdecydowana część aktywności Dyre obejmuje obecnie Wielką Brytanię.

PoSeidon – ataki na terminale PoS

Wykryto nowego trojana bankowego atakującego terminale PoS. PoSeidon skanuje pamięć systemu PoS w celu znalezienia informacji płatniczych przechowywanych w czystym tekście, a znalezione informacje wysyła osobom atakującym.

Badacze z Cisco Security Solutions zidentyfikowali trzy komponenty szkodliwego oprogramowania, które prawdopodobnie są związane z PoSeidonem: keylogger, loader oraz narzędzie do czyszczenia pamięci, które posiada również funkcjonalność keyloggera. Celem keyloggera jest kradzież danych uwierzytelniających dla aplikacji zdalnego dostępu LogMeIn. Usuwa on zaszyfrowane hasła i profile LogMeIna, które są przechowywane w rejestrze systemu, aby skłonić użytkowników do ich ponownego wpisania. Według badaczy, keylogger ten jest potencjalnie wykorzystywany do kradzieży danych uwierzytelniających zdalny dostęp, które są niezbędne do włamania się do systemów point-of-sale oraz zainstalowania PoSeidona.

Jak tylko osoby stojące za PoSeidonem uzyskają dostęp do terminalu PoS, instalują loadera. Komponent ten pobiera plik o nazwie FindStr z serwerów kontroli grupy. FindStr jest wykorzystywany do wyszukiwania ciągów, które odpowiadają numerom kart płatniczych w pamięci uruchomionych procesów. Co ciekawe, szkodnik ten szuka tylko numerów kart rozpoczynających się od określonych cyfr.

Dane statystyczne

Wszystkie dane statystyczne wykorzystane w tym raporcie zostały uzyskane przy użyciu Kaspersky Security Network (KSN), rozproszonej sieci antywirusowej, która współpracuje z różnymi komponentami ochrony antywirusowej. Dane te pochodzą od użytkowników KSN, którzy zgodzili się je udostępnić. Miliony użytkowników produktów firmy Kaspersky Lab z 213 krajów oraz terytoriów na całym świecie uczestniczy w globalnej wymianie informacji dotyczących szkodliwej aktywności.

Zagrożenia mobilne

Głównym kierunkiem ewolucji mobilnego szkodliwego oprogramowania jest monetyzacja – twórcy szkodliwego oprogramowania próbują rozwijać programy, które przy użyciu różnych technik potrafią uzyskać pieniądze i dane bankowe użytkowników.

Coraz więcej trojanów SMS posiada funkcje, które pozwalają im atakować konta bankowe ofiar. Przykładem jest tutaj Trojan-SMS.AndroidOS.OpFake.cc, który potrafi atakować co najmniej 29 banków i aplikacji finansowych.

Twórcy szkodliwego oprogramowania zaczynają również wbudowywać funkcjonalność ransomware w swoje trojany SMS. W celu uzyskania danych dotyczących kart bankowych swoich ofiar Trojan-SMS.AndroidOS.FakeInst.ep wykorzystuje techniki typowe dla programów ransomware: otwierane przez szkodliwe oprogramowanie okna nie mogą zostać zamknięte, dopóki nie zostaną wprowadzone dane.