15

Uwaga na przelewy internetowe! Złośliwa aplikacja w akcji!

To złośliwe oprogramowanie można by nazwać zemstą na polskich dziennikarzach. Niestety, atakuje każdego nieostrożnego internautę. Według CERT Polska zainfekowanych zostało już trzy tysiące użytkowników. Jeśli korzystasz z bankowości internetowej, musisz się mieć na baczności… Dlaczego na dziennikarzach? To już taka moja mała uszczypliwość – malware bowiem działa poprzez instytucję kopiuj/wklej, a tak dziś tworzy się […]

To złośliwe oprogramowanie można by nazwać zemstą na polskich dziennikarzach. Niestety, atakuje każdego nieostrożnego internautę. Według CERT Polska zainfekowanych zostało już trzy tysiące użytkowników. Jeśli korzystasz z bankowości internetowej, musisz się mieć na baczności…

Dlaczego na dziennikarzach? To już taka moja mała uszczypliwość – malware bowiem działa poprzez instytucję kopiuj/wklej, a tak dziś tworzy się media – kopiując cudze błędy. Ale do rzeczy! Złośliwa aplikacja napisana została w Visual Basic 6, a jej łupem padają pieniądze przesyłane przez internet. Sposób działania jest zaiste banalny. W momencie, gdy używamy ctrl+c i ctrl+v, by przekleić przez schowek Windows numer konta osoby, której chcemy wysłać przelew, malware podmienia numer i w ten sposób zadeklarowana kwota wpływa na rachunek sprytnego oszusta.

Jak zostajemy zainfekowani?

To też banalna sprawa – klasyczny atak phishingowy. Otrzymujemy e-mail, w którym załącznikiem jest archiwum zip. W paczce z kolei znajduje się plik o rozszerzeniu .scr (wygaszacz ekranu), o nazwie i ikonie sugerującej, że to interesujący nas plik .pdf. Co dalej? Aplikacja tworzy fałszywe klony znanych plików systemowych.

W celu zapewnienia uruchomienia przy starcie systemu, dodaje się on do klucza rejestru: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Dodatkowo, ukrywa swoją obecność przejmując wywołanie niektórych funkcji WinAPI. Dzięki temu, mimo obecności wpisu w rejestrze ciężko jest odnaleźć plik na dysku, gdyż nie jest widoczny nawet po włączeniu opcji pokazywania plików ukrytych i systemowych. (źródło)

Po stworzeniu klonów, malware uruchamia je. Każdy z nich wykonuje osobną pracę.

Elementem, który komunikuje się z serwerem C&C jest taskmgr.exe. Komunikacja odbywa się na dwa sposoby – za pomocą protokołu SMTP (!!!), wysyłając e-mail korzystając z danych logowania zawartych w kodzie oprogramowania. E-mail zawiera dane dotyczące komputera (system operacyjny, nazwa użytkownika etc.). Dzięki temu cyberprzestępcy są w stanie śledzić infekcję. Oprócz tego wysyłane jest żądanie HTTP do strony, która generuje statystyki odwiedzin. (źródło).

Teraz wystarczy, że chcemy wysłać komuś przelew – być może właśnie kupiliśmy coś na Allegro lub musimy opłacić czynsz. Jeśli nie mamy w bankowości elektronicznej zdefiniowanych przelewów na określone konta bankowe, kopiujemy 26-cyfrowy numer z maila czy strony www i przeklejamy go poprzez schowek Windows. W tym momencie złośliwa aplikacja podmienia dane i tym samym w poleceniu przelewu wklejamy już nieświadomie numer oszusta. Et voilà!

Raport 2012

Opisywany przypadek nie jest, niestety, wyjątkiem. Według raportu CERT Polska za rok 2012 pt. „Analiza incydentów naruszających bezpieczeństwo teleinformatyczne”, obserwuje się systematyczny wzrost liczby incydentów związanych z phishingiem – zarówno w tradycyjnej formie, polegającej na tworzeniu stron podszywających się pod banki, sklepy internetowe itp., jak i związanego ze złośliwym oprogramowaniem potrafiącym modyfikować zawartość stron bankowych odwiedzanych przez użytkownika.

Na początku września 2012 roku zauważyliśmy pojawiające się w plikach konfiguracyjnych oprogramowania szpiegowskiego wpisy, dotyczące systemów transakcyjnych polskich banków. Oprogramowanie atakowało komputery użytkowników systemu Windows. Po zainstalowaniu podsłuchiwało wszystkie przesyłane informacje (w tym głównie loginy i hasła) oraz, jeżeli posiadało dodatkowe instrukcje w pliku konfiguracyjnym, dokonywało podmiany treści wybranych stron internetowych tuż przed ich wyświetleniem. Tym złośliwym oprogramowaniem okazały się najnowsze odmiany ZeuSa: Citadel oraz ZeuS P2P (malware oparty na kodzie ZeuS 2.0.8.9, który wyciekł wiosną 2011 roku). (źródło)

Celem takich ataków są użytkownicy, czyli osoby takie jak my. Nasze komputery są infekowane i podsłuchiwane przez cyberwłamywaczy. Od początku września 2012 CERT zaobserwował w plikach konfiguracyjnych wpisy odnoszące się do aż 15 różnych systemów transakcyjnych.

Zainfekowanie komputera umożliwia modyfikację treści strony banku. Atakujący może wyświetlić na monitorze dowolny komunikat. Sposób ataku i treść komunikatów ograniczone są jedynie przez inwencję twórczą przestępców, którzy cały czas mają pełną kontrolę nad komputerem. To świetny przykład połączenia metod socjotechniki oraz możliwości dostępu do zainfekowanego systemu. Użytkownik będzie przeświadczony, że czytane przez niego komunikaty pochodzą od banku. Pojawiły się przecież po zalogowaniu na konto i ponadto są podpisane przez “dział bezpieczeństwa Twojego Banku”! Ponieważ zmiany dokonywane są dopiero na etapie prezentacji treści użytkownikowi podczas ich wyświetlania w przeglądarce, nie wpływają one również w żaden sposób na alarmy związane z zabezpieczeniem transmisji szyfrowaniem SSL. (źródło)

O CERT

CERT (Computer Emergency Response Team) Polska jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet. CERT Polska działa od 1996 roku (do końca roku 2000 pod nazwą CERT NASK), a od roku 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams). W ramach tej organizacji współpracuje z podobnymi zespołami na całym świecie. Zespół CERT Polska działa w strukturach Naukowej i Akademickiej Sieci Komputerowej. Działalność zespołu jest finansowana przez NASK.

Do głównych zadań zespołu należy:

– rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci
– alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń
– współpraca z innymi zespołami IRT (Incidents Response Team) w ramach FIRST
– prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego
– prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu
– niezależne testowanie produktów i rozwiązań z dziedziny bezpieczeństwa teleinformatycznego
– prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a także klasyfikacji i tworzenia statystyk