Kaspersky Lab: szkodliwe programy II kw. 2013

Przeczytaj także: Kaspersky Lab: szkodliwe programy III kw. 2012

Szkodliwe oprogramowanie i ataki hakerskie w drugim kwartale

Historia Carberpa

W marcu i kwietniu tego roku aresztowano członków różnych grup cyberprzestępczych w związku z kradzieżą środków z kont bankowych w Rosji i na Ukrainie.

Aresztowana szajka składała się z użytkowników i twórców trojana Carberp, który jest klasycznym przykładem szkodnika wykorzystywanego zarówno podczas oszustw z dziedziny bankowości online jak i tworzenia setek botnetów na całym świecie. Autorzy tego trojana przez lata aktywnie sprzedawali go na forach „podziemia”, często tworząc go na zamówienie. Szkodnik ten przeniknął nawet do świata mobilnego, przechwytując numery autoryzacji transakcji (TAN) i wysyłając je za pośrednictwem SMS-ów.

W czerwcu 2013 r. zostało publicznie udostępnione 2 GB archiwum zawierające kod źródłowy trojana Carberp. Mimo spadku liczby ataków z wykorzystaniem modyfikacji trojana Carberp nie jest to niestety koniec tej historii. Podobnie jak we wcześniejszych przypadkach wycieku kodu źródłowego popularnego szkodliwego oprogramowania, można przypuścić, że rywalizujący cyberprzestępcy będą ponownie wykorzystywać jego fragmenty, aby ulepszać własne twory i zwiększyć „udziału w rynku” jak również tworzyć własne warianty Carberpa - tak jak obserwowaliśmy po wycieku kodu źródłowego ZeuSa w 2011 r.

Szaleństwo z Bitcoinem w tle

Wartość Bitcointów znacząco wzrosła w ciągu ostatniego roku. Wcześniej równowartość jednej monety wynosiła mniej niż jeden cent, po czym nagle wrosła do 130 dolarów. Mimo niestabilności tej waluty jej kurs nadal stopniowo rośnie. Niestety, tam, gdzie można zarobić pieniądze, będzie kwitła przestępczość. Dotyczy to również Bitcoinów.

Bitcoin to popularna waluta w świecie cyberprzestępczym, ponieważ jest trudniejsza do monitorowania przez organy ścigania, przez co stanowi bezpieczniejszą, anonimową metodę płatności.

W kwietniu zespół badawczy firmy Kaspersky Lab wykrył kampanię, w której cyberprzestępcy wykorzystywali Skype’a do dystrybucji szkodliwego oprogramowania w celu wydobywania Bitcoinów. Cyberprzestępcy stosowali socjotechnikę jako początkowy wektor ataku i pobierali kolejne szkodliwe oprogramowanie do zainstalowania na maszynie ofiary. Współczynnik kliknięć w kampanii wynosił 2 000 na godzinę. Bitcoiny wydobywane przez zainfekowane maszyny były następnie wysyłane na konto cyberprzestępcy stojącego za tą kampanią.

Miesiąc później nasz zespół badawczy zidentyfikował brazylijską kampanię phishingową, której celem były Bitcoiny. Phisherzy włamywali się na legalne strony i umieszczali na nich ramki iFrame w celu uruchomienia apletu Javy, który z kolei przekierowywał użytkowników na fałszywą stronę internetową MtGox przy użyciu plików PAC. MtGox to japońska platforma wymiany Bitcoinów, która – jak podaje – obsługuje ponad 80% wszystkich transakcji Bitcoinów. Celem wspomnianej kampanii było przechwycenie danych uwierzytelniających logowanie ofiary i kradzież Bitcoinów.

Bezpieczeństwo sieciowe i incydenty naruszenia poufności danych

W drugim kwartale 2013 roku odnotowaliśmy również pewien odsetek przypadków naruszenia poufności danych, w tym dotyczących użytkowników.

Niestety ryzyko stania się ofiarą naruszenia poufności danych wzrasta, zwłaszcza w przypadku użytkowników posiadających wiele kont – każdego miesiąca tego kwartału odnotowywaliśmy incydenty, których celem były znane organizacje lub osoby.

Poniżej kilka przykładów:

Pod koniec maja Drupal poinformował swoich użytkowników, że hakerom udało się uzyskać dostęp do takich danych jak: nazwy użytkowników, adresy e-mail oraz zahashowane hasła. W ramach prewencji twórca systemów zarządzania zawartością zresetował wszystkie hasła. Na szczęście hasła były w większości przechowywane z wykorzystaniem hasha oraz ciągu zaburzającego. Podczas włamania, wykrytego przy okazji audytu bezpieczeństwa, wykorzystano lukę w oprogramowaniu firmy trzeciej, zainstalowanym na portalu internetowym Drupala. Według Drupala, sprawcy nie uzyskali dostępu do informacji dotyczących karty kredytowej.

19 czerwca przeglądarka internetowa Opera dostarczała swoim użytkownikom szkodliwe aktualizacje na skutek włamania się do jej wewnętrznej sieci i kradzieży certyfikatu do podpisu kodu. Chociaż w momencie ataku certyfikat utracił już swoją ważność, nadal mógł przyczyniać się do infekcji, ponieważ nie wszystkie wersje Windowsa wystarczająco dokładnie sprawdzają certyfikaty. Mimo że szkodliwa funkcja była aktywna przez krótki czas, aktualizacja mogła trafić do kilku tysięcy użytkowników Opery. Kaspersky Lab wykrywa wykorzystywanego w tym ataku trojana ze zdolnościami keyloggera i możliwością kradzieży danych pod nazwą Trojan-PSW.Win32.Tepfer.msdu.

Specjalności botnetowe

Ataki na instalacje Wordpressa przy użyciu botnetu

Na początku kwietnia GatorHost poinformował o istnieniu botnetu składającego się z ponad 90 000 unikatowych adresów IP, który był wykorzystywany do przeprowadzenia globalnego ataku „brute force” na instalacje Wordpress. Osoby atakujące chciały prawdopodobnie umieścić backdoora na serwerach w celu przyłączenia ich do istniejącego bonetu. W niektórych przypadkach udało się zaimplementować zestaw exploitów BlackHole.

Cyberprzestępcy mogą wiele ugrać na posiadaniu dostępu do serwerów Wordpressa i wykorzystywaniu ich do szkodliwych celów ze względu na większą przepustowość i wydajność w porównaniu z większością komputerów stacjonarnych. Trzeba dodać tu jeszcze możliwość dalszego rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem popularnych blogów posiadających stałych czytelników.