Kaspersky Lab: szkodliwe programy III 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy II 2012

W Rosji doniesienia o aresztowaniu cyberprzestępców należą do rzadkości, dlatego wiadomość ta została bardzo dobrze przyjęta. Jednak dochodzenie objęło tylko jedną grupę, która wykorzystywała gotowy kod Carberp i rozprzestrzeniała go przy pomocy usług sieci partnerskich. W oświadczeniu publicznym wyjaśniono, że grupa ta składała się z botmasterów oraz tzw. słupów pieniężnych, którzy pobierali skradzione pieniądze z bankomatów. Jednak autor tego trojana i jego sieci partnerów nadal znajdują się na wolności. Trojan Carberp nadal jest sprzedawany na specjalistycznych forach, co oznacza, że wciąż jest w użyciu i będzie używany przez inne grupy. Od dzisiaj monitorujemy aktywność kilku botnetów Carberp. To, czy należą one do jednej czy wielu różnych grup, nadal nie jest jasne.

Ataki na użytkowników indywidualnych

Bot „bez pliku”

Na początku marca eksperci z Kaspersky Lab wykryli unikatowy szkodliwy atak, w którym wykorzystywano szkodliwe oprogramowanie potrafiące działać bez tworzenia plików w zainfekowanym systemie.

Szkodliwy kod rozprzestrzeniał się za pośrednictwem sieci teaserów, która obejmowała kilka popularnych rosyjskich źródeł wiadomości. JavaScript dla jednego z teaserów załadowanych na stronę zawierał ramkę iframe, która przekierowywała użytkownika na szkodliwą stronę w domenie .EU zawierającą exploit Javy.

W przeciwieństwie do typowych ataków drive-by szkodliwe oprogramowanie nie zostało pobrane na dysk twardy, ale działało wyłącznie w pamięci RAM. Działając jako bot szkodnik wysyłał do kontrolowanego przez cyberprzestępców serwera zapytania zawierające dane dotyczące historii surfowania, pobrane z danych dotyczących przeglądarki użytkownika. Jeżeli dane wysłane do szkodliwego serwera zawierały informacje wskazujące na to, że użytkownik korzystał z systemów zdalnej bankowości, wtedy na zainfekowanym komputerze został zainstalowany trojan Lurk. Jego celem jest kradzież poufnych danych użytkowników umożliwiających zdobycie dostępu do usług bankowości online oferowanych przez kilka dużych rosyjskich banków

Ofiarą tego ataku padli rosyjscy użytkownicy. Nie można jednak wykluczyć, że ten sam exploit i ten sam „bezplikowy” bot zostaną użyte do ataków na osoby w innych częściach świata: mogą być rozprzestrzeniane za pośrednictwem podobnych sieci bannerów i teaserów w innych państwach.

Po raz pierwszy od wielu lat trafiliśmy na tak rzadki rodzaj szkodliwego oprogramowania – tak zwane „bezplikowe” szkodliwe programy. Programy te nie istnieją jako pliki na dysku twardym - działają jedynie w pamięci RAM zainfekowanego komputera, znacznie utrudniając ich wykrywanie przez rozwiązania antywirusowe.

Chociaż „bezplikowe” szkodliwe oprogramowanie działa tylko do powtórnego uruchomienia systemu operacyjnego, szanse na to, że użytkownik ponownie odwiedzi zainfekowana stronę zwykle są wysokie.

Eksperci z Kaspersky Lab często podkreślają, że niezwłoczne łatanie dziur stanowi jedyną pewną metodę ochrony przed szkodliwym oprogramowaniem, które wykorzystuje luki w zabezpieczeniach. W tym przypadku, zalecamy zainstalowanie łaty dostarczanej przez Oracle, która usuwa lukę CVE-2011-3544 w Javie. Łata może zostać pobrana ze strony: www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html.

Kolejna kradzież certyfikatów

Pojawia się coraz więcej podpisanych szkodliwych programów. Kolejne szkodniki z ważnymi podpisami cyfrowymi – trojany Mediyes – zostały wykryte w połowie marca, wraz z licznymi plikami droppera, które zostały podpisane między grudniem 2011 r. a 7 marca 2012 r. We wszystkich tych przypadkach wykorzystano certyfikat wydany dla szwajcarskiej firmy Conpavi AG. Wiadomo, że firma ta współpracuje ze szwajcarskimi lokalnymi władzami rządowymi.