VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 26 min 37 sek zpět

Nové způsoby vykrádání peněz z našich bankovních účtů

11 Červen, 2018 - 18:08

Havěť s označením „BackSwap“ přináší pár zajímavých novinek, resp. nepříjemných novinek pro případnou oběť…

O havěti „BackSwap“ se na blogu We Live Security sice psalo již v květnu, nicméně to nemá na charakter tohoto článku vliv. Názvem „BackSwap“ byla označena havěť, která používá zcela nové metody vykrádání peněz z bankovních účtů obětí. Novinky jsou jak „filozofické“, tak i technologické. Zrovna tato havěť útočila na uživatele v Polsku a byla tak namířena na polské bankovní instituce. Nelze ale vyloučit, že se podobný útok objeví v budoucnu u nás. Pokrok prostě nezastavíš!

Zfušovaný trojský kůň

Havěť se šířila prostřednictvím elektronické pošty. V příloze lákavého e-mailu byl umístěn javaskriptový downloader (přípona souboru je .JS) z rodiny Nemucod, který po spuštění postahoval další svinstvo. Resp. ono šlo o legitimní programy typu 7Zip, WinRAR, avšak vhodně poupravené havětí. Výsledkem bylo, že na očekávanou činnost nedošlo a naopak byla spuštěna havěť, která byla nedílnou součástí zmiňovaných aplikací. Technicky k tomu posloužila modifikace inicializační rutiny standardní C runtime knihovny. Trochu to připomíná historickou dobu, kdy se havěť schvoválala za legitimní aplikaci a projevila se až po delší době. Prostě trojský kůň a analogie z řecké mytologie. Zde bohužel nebyla celá myšlenka dotažena a původní kód legitimní aplikace nebyl spuštěn. Proto si dovolím říci, že šlo o zfušovaného trojského koně. Z technického pohledu tenhle způsob modifikace způsobil komplikace alespoň při analýze havěti.

Hlavně jednoduše

U havěti pro vykrádání peněz z bankovních účtů je typické, že provedou tzv. injektáž do internetových prohlížečů a tím nad ními přeberou kontrolu. Mohou pak sledovat a šahat do komunikace třeba v momentě, kdy se uživatel přihlašuje do internetového bankovnictví. Injektáž je ale komplikovaná věc. Jednak tu máme několik prohlížečů (Google Chrome, Mozilla Firefox, …), ty existují v řadě odlišných verzí a co více, existují i ve variantě 32-bit a 64-bit. To vše musí brát útočník v potaz a na všechny tyto kombinace havěť připravit.

„BackSwap“ jde cestou „poslechu“ událostí skrze Windows message loop. Nevím, jak to jednoduše vysvětlit, ale havěť dokáže snadno zjistit, kde uživatel surfuje, zda to není náhodou internetové bankovnictví a přitom se vyhnout všem patáliím okolo injektáže prohlížeče. Jakmile je uživatel na webu internetového bankovnictví, havěť ve vhodný okamžik „stiskne“ kombinaci kláves CTRL+SHIFT+J (Google Chrome), případně CTRL+SHIFT+K (Mozilla Firefox), do vývojářské konzole nakopíruje škodlivý javaskript (za uživatele stiskne CTRL+V pro vložení) a celé to stiskem klávesy ENTER odešle. Novější verze pak kopírují škodlivý javaskript přímo do adresního řádku (CTRL+L – za prefix „javascript:“). Výsledkem je, že škodlivý javaskript se spustí v kontextu webu internetového bankovnictví, bez vědomí uživatele (tem může zaznamenat pouze krátké „zakousnutí“ prohlížeče) a útočník si tak může začít posílat cizí peníze…

Peníze odchází jinam

Havěť (resp. škodlivý javaskript) se postará o to, že těsně předtím, než oběť potvrdí bankovní transakci, vymění cílový účet! Peníze tak odchází jinam – útočníkovi! Tedy v případě, že si této změny (jiného účtu) nevšimne uživatel v potvrzující SMS zprávě. Tím, že útočník nemá pod kontrolou mobilní telefon, je toto jediné místo, kde může být podvod odhalen. Na druhou stranu, kolik z nás ověřuje, zda se cílové číslo účtu v SMS shoduje s tím, na které jsme chtěli peníze poslat? Já se přiznám: většinou jen tupě opíšu autorizační kód…

Pokud pominu fakt s SMS, oběť nemusí nic zvláštního poznat i díky tomu, že stav jeho konta v internetovém bankovnictví opravdu odpovídá realitě i včetně historie transakcí co do množství odeslaných peněz. Kouzlo je prostě jen v tom jiném čísle účtu, které může útočník na zavirovaném počítači též maskovat…

The post Nové způsoby vykrádání peněz z našich bankovních účtů appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Chcete nový mobil s havětí přímo od jeho výrobce? Není problém!

31 Květen, 2018 - 16:10

Na Avast blogu se objevila zpráva o havěti, která se vyskytuje na některých nových mobilních telefonech a tabletech s Androidem. Jsou mezi nimi i modely, které lze zakoupit na českém trhu. Třeba některé modely značek ZTE nebo Archos.Přesněji se jedná o adware / dropper s názvem „Cosiloon“. Uživatel je tak běhěm užívání mobilu / tabletu obtěžován reklamou, která se zobrazí přes aplikaci, kterou zrovna používá. Havěť se v zařízení nachází už při jeho prvním zapnutí. Je prostě nedílnou součástí operačního systému telefonu a nelze se jí zbavit ani resetem zařízení do továrního nastavení, natož pak antivirem. Ve skutečnosti jde o hodně „tupou“ aplikaci, která pouze stahuje a instaluje další svinstvo z internetu dle instrukcí, které dostává z řídící adresy http://www.cosiloon.com/version.xml (odtud její název). Jde tak o systémovou aplikaci, čili má výhradní práva, takže ji to s rezervou stačí i jako ochrana před antiviry. Antiviry si můžete představit v roli hodně ostrých loveckých psů, avšak uvázaných na krátkém řetězu

Kategorie: Viry a Červi

WannaCry, rok poté

28 Květen, 2018 - 13:00

Přibližně před rokem se začal masově šířit ransomware WannaCry. Řádil tak ve velkém, že ho uživatelé mohli „vidět“ na nádražích i billboardech…

Červ i ransomware v jednom

Zatímco většina dnešní havěti sází na tzv. sociální inženýrství, kdy prostě uživatele obelstí a ten si havěť spustí de facto dobrovolně sám, WannyCry byla jiná. Sázela na chybu v operačním systému Microsoft Windows (přesněji ve službě Server Message Block – SMB, port 445). Uživatel tak nemusel pro ztrátu, resp. šifrování souborů dělat nic. Havěť se dokázala sama šířit po firemní síti z jednoho počítače do druhého a všude tam zanechala spoušť – zašifrované soubory, kdy jako výpalné za obnovu dat požadovala 300$, případně 600$ (tj. šlo o ransomware).

Nebezpečná bezpečnostní agentura (NSA)

Tuto chybu přitom dokázal zneužít programový kód (tzv. exploit) s názvem EternalBlue, který využívala americká Národní bezpečnostní agentura (NSA) a používala ho minimálně od roku 2016 ke šmírování. O existující chybě pochopitelně Microsoft neinformovala a minimálně do 14. března 2017 tak šlo o zero-day exploit. Tj. chyba, na kterou neexistuje záplata. Toho dne zveřejnil Microsoft oficiální záplatu (MS17-010).

Exploit EternalBlue byl NSA patrně v roce 2016 ukraden a do internetu se dostal 14. dubna 2017 díky hackerské skupině Shadow Brokers. V polovině května 2017 se pak světem rozletěla havěť WannyCry, která tohoto veřejného objevu využila a díky EternalBlue podpořila svoje masivní šíření. Ač byla záplata dvě měsíce na světě, evidentně byla nainstalovaná na nedostatečném množství počítačů…

Na nádražích, na billboardech…

Výsledek působení havěti WannyCry tak byl vidět například na nádražích:

 

Nebo na billboardech:

Velkou galerii ze života lze najít například zde.

Bývalý hrdina, který to vypnul

Havěť WannaCry měla i svého hrdinu. Teda chvíli. V kódu totiž existoval tzv. „kill switch“. Tj. přepínač, který dokázal tuto havěť celosvětově vypnout z jednoho místa. Tímto spínačem přitom byla internetová doména s názvem www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Havěť ověřovala, zda existuje. Pokud existuje, přestane se dále šířit. Této vymoženosti si rychle všiml analytik z Velké Británie a doménu za pár drobných zaregistroval. Stal se tak neznámým hrdinou, než jeho jeho identitu odhalil deník The Guardian. Byl jím Marcus Hutchins. Hrdinou byl ale jen do srpna 2017, kdy byl zatčen na letišti v Las Vegas za to, že se podílel na vývoji a šíření bankovní havěti Kronos v letech 2014 a 2015. V článku „Who Is Marcus Hutchins?“ lze pak najít skvělou detektivní práci a zjistit, že to byl v reálu pěkný vejlupek a to výše uvedené byla patrně jeho jediná světlejší chvíle!

The post WannaCry, rok poté appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Havěť VPNFilter na půl milionu routerů různých značek!

25 Květen, 2018 - 23:09

V rámci projektu Cisco Talos byly zveřejněny první informace o nově objevené havěti nazvané VPNFilter. Ta napadá síťová zařízení – routery značek Linksys, MikroTik, Netgear a TP-Link a tvoří z nich botnet.

Vydaná zpráva není stále kompletní, jasné ale je, že běžní uživatelé nemají s touto havětí možnost příliš bojovat, protože cílem útoku je router (tj. na krabičce, kterou jsme připojeni k internetu) a na počítač prostě v žádné typické podobě nedorazí (to až na popud útočníků). Značky routerů jako Linksys, MikroTik, Netgear a TP-Link rozhodně nejsou v našich končinách exotické a pokud zpráva odhaduje 500 tisíc zavirovaných routerů, nelze vyloužit, že se nějaký nachází i na území ČR/SR (ač drtivá většina jich je na území Ukrajiny).

Na druhou stranu, běžní uživatelé nejsou pravděpodobně ani cílem útoku, pouze „přestupní“ stanicí. Havěť VPNFilter totiž monitoruje protokoly Modbus a SCADA, které se používají k řízení ve velkých továrnách. A tu doma asi nemáme

Kategorie: Viry a Červi