Kaspersky Lab: szkodliwe programy III 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy II 2012

Atak ten nie był jedynym przykładem wykorzystywania przez Chiny szkodliwego oprogramowania w celu przeprowadzania ataków na organizacje tybetańskie. Zaledwie tydzień później w podobnej wysyłce spamu znaleziono plik DOC, wykrywany przez Kaspersky Lab jako Exploit.MSWord.CVE-2009-0563.a. Exploit ten infekował komputery użytkowników systemu Mac OS X szkodliwym programem Backdoor.OSX.MaControl.a. Szkodnik ten otrzymywał polecenia dla zainfekowanych komputerów z serwera freetibet2012.xicp.net zlokalizowanego w Chinach.

W marcu wykryto również nową modyfikację szkodliwego programu Backdoor.OSX.Imuler, o której pisaliśmy w naszym raporcie obejmującym wrzesień 2011 r. Szkodliwe programy należące do tej rodziny są rozprzestrzeniane pod przykrywką plików z bezpiecznymi rozszerzeniami. Podczas marcowego ataku cyberprzestępcy rozprzestrzeniali spam z erotycznymi obrazami o rozszerzeniach .JPG i szkodliwymi plikami wykonywalnymi zamaskowanymi jako obrazy.

W miesiącu tym pojawiła się jeszcze jedna “innowacja”: szkodliwe programy z rodziny Trojan-Downloader.OSX.Flashfake wykorzystują teraz Twittera jako serwer kontroli. W celu rozprzestrzenienia tych szkodliwych programów cyberprzestępcy wykorzystali 200 000 zhakowanych blogów działających w ramach systemu WordPress.

Zagrożenia mobilne

Trojan bankowy dla Androida

Około 18 miesięcy temu wykryto mobilną wersję niesławnego trojana ZeuS, który otrzymał nazwę ZitMo (ZeuS-in-the-Mobile). Celem tego szkodnika była kradzież numerów służących do uwierzytelniania transakcji mobilnych (mTAN), które banki wysyłają na telefony komórkowe swoich klientów za pośrednictwem SMS-ów. Chociaż tego rodzaju zagrożenie mobilne było dalej rozwijane, dopiero w marcu 2012 roku wykryto szkodliwe oprogramowanie mobilne, które potrafiło kraść dane służące do uwierzytelniania transakcji bankowości online (login i hasło).

W połowie marca został zidentyfikowany szkodliwy program, którego celem były nie tylko wiadomości SMS zawierające kody mTAN, ale również dane uwierzytelniające transakcje bankowości online. Kaspersky Lab wykrywa ten program jako Trojan-SMS.AndroidOS.Stealer.a.

Po uruchomieniu szkodliwa aplikacja wyświetla okno, które zawiera rzekomo dialog generowania tokenów. Aby umożliwić „wygenerowanie” tokena, użytkownik jest proszony o wprowadzenie klucza wymaganego do początkowego uwierzytelnienia w systemie bankowości online. Następnie szkodnik generuje fałszywy token (losowo wybrany numer), a dane wprowadzane przez użytkownika są wysyłane na numer komórkowy cyberprzestępców oraz zdalny serwer, wraz z numerami IMEI oraz IMSI. Ponadto, szkodliwy program może otrzymywać wiele poleceń ze zdalnego serwera (w większości związanych z kradzieżą numerów mTAN).

Pojawienie się tego rodzaju szkodliwego oprogramowania nie było żadną niespodzianką, jednak pewne szczegóły zwróciły naszą uwagę. Jak dotąd wszystkie znane próbki tego szkodliwego programu atakowały klientów hiszpańskich banków. Jednak jeden ze zdalnych serwerów, z którymi próbuje połączyć się szkodliwe oprogramowanie, znajdował się w strefie .ru (domena ta jest obecnie wyłączona). Co więcej, numer telefonu komórkowego, na który wysyłane są skradzione dane, jest rosyjski i należy do operatora regionalnego. To oznacza, że w tworzenie tego szkodnika prawdopodobnie zamieszani byli rosyjscy autorzy szkodliwego oprogramowania.

Ataki na korporacje/rządy/organizacje

Szpiegostwo kosmiczne

W marcu pojawiły się doniesienia o kilku atakach hakerskich na agencje badań przestrzeni kosmicznej.

Szczególnie interesujący był raport o incydentach ujawnionych przez NASA. Został on przedstawiony przez inspektora generalnego tej agencji przed Komitetem ds. Nauki, Przestrzeni Kosmicznej i Technologii Kongresu Stanów Zjednoczonych.