Kaspersky Lab: szkodliwe programy IV 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy III 2012

Po tym, jak użytkownik odwiedził zhakowaną stronę, jego komputer próbowały zainfekować trzy różne exploity: CVE 2011-3544, CVE 2008-5353 oraz CVE 2012-0507, lub był nakłaniany do pobrania i zainstalowania pliku JAR ze sfałszowanym podpisem firmy Apple. Jeżeli jeden z exploitów został pomyślnie uruchomiony, atakowana maszyna została zainfekowana bez konieczności dodatkowej interakcji ze strony użytkownika. Podpisany plik JAR działałby tylko wtedy, gdyby użytkownik zaakceptował instalację.

Jednak kluczem do sukcesu tej kampanii była nie tylko nowa metoda dystrybucji, ale również wykorzystywane exploity. Interesujące jest to, że wszystkie z nich atakowały Javę, w przypadku której implementacja i dystrybucja łat bezpieczeństwa dla systemu Mac OS X jest dokonywana przez Apple zamiast bezpośrednio przez Oracle, co spowodowało opóźnienia w dystrybucji łat bezpieczeństwa dla użytkowników końcowych. Na przykład luka CVE 2012-0507 została załatana dla wszystkich innych platform przez Oracle 14 lutego, jednak Apple nie udostępnił swojej łaty aż do 3 kwietnia, pozostawiając użytkowników systemu Mac OS X bez ochrony przez długi czas. Java nie jest instalowana w systemie Lion domyślnie, niemniej każdy użytkownik może zainstalować ją indywidualnie. Wreszcie, w momencie opublikowania łaty była ona dostępna jedynie dla użytkowników systemów Lion oraz Snow Leopard.

W efekcie tej kampanii ponad 700 000 użytkowników zostało zainfekowanych trojanem Flashfake, z czego 58% pochodziło ze Stanów Zjednoczonych. Kaspersky Lab stworzył stronę Flashbackcheck.com, na której użytkownicy mogli sprawdzić, czy ich komputery zostały zainfekowane, i pobrać darmowe narzędzie umożliwiające usunięcie szkodliwego oprogramowania.

SabPub: nowe złożone, długotrwałe działanie skierowane na konkretne cele

W kwietniu został zidentyfikowany SabPub - zaawansowany, długotrwały atak skierowany na konkretne cele, który wykorzystywał dwa rodzaje backdoorów w celu infekowania komputerów użytkowników. Pierwszy z trojanów uzyskiwał dostęp do systemu poprzez wykorzystywanie luki w Microsoft Word i został stworzony w lutym 2012 r. Drugi wariant SabPuba, stworzony w marcu 2012, atakował platformę Mac OS X poprzez wykorzystywanie luki w Javie. Po zainfekowaniu maszyny ofiary backdoor mógł wykonywać zrzuty ekranu bieżącej sesji użytkownika oraz wykonywać zdalne polecenia cyberprzestępców na zainfekowanym komputerze. Obecnie grupa stojąca za SabPubem nadal aktywnie atakuje użytkowników komputerów.

Nowe kampanie spamowe wykorzystujące zestawy tworzenia exploitów BlackHole

Aktywna kampania spamowa na Twitterze

Kaspersky Lab wykrył nową kampanię spamową na Twitterze, w ramach której do użytkowników rozsyłane były osadzone odsyłacze, które przekierowywały ich na szkodliwe strony hostujące BlackHole Exploit Kit. Strony te instalowały oprogramowanie scareware na komputerach ofiar w postaci fałszywych powiadomień antywirusowych, które zachęcały użytkownika do przeskanowania swojego systemu w celu wykrycia infekcji. Klienci firmy Kaspersky Lab byli chronieni już od samego początku tej kampanii, a zagrożenia, o których mowa, wykrywane są jako: Trojan-FakeAV.Win32.Agent.dqs oraz Trojan-FakeAV.Win32.Romeo.dv.