BlackHats - Bezpieczeństwo Online

Kaspersky Lab informuje o pojawieniu się nowego ataku phishingowego na użytkowników popularnego polskiego portalu aukcyjnego Allegro.
Cyberprzestępcy podszywają się pod Zespół Allegro i próbują namawiać odbiorców sfałszowanej wiadomości e-mail na kliknięcie odsyłacza, który rzekomo ma zwiększyć bezpieczeństwo konta na Allegro. Atak został przygotowany starannie i stanowi potencjalne zagrożenie dla poufności wielu użytkowników.

Wiadomość dociera do potencjalnych ofiar ataku z adresu powiadomeinia@allegro.pl, co na pierwszy rzut oka nie wzbudza podejrzeń. Osoby, które przyjrzą się bliżej temu adresowi, zauważą, że znajduje się w nim literówka (powiadomEInia zamiast powiadomIEnia).
Temat wiadomości to "Zwiększamy bezpieczeństwo Twojego konta Allegro", a w treści można przeczytać, że w celu ochrony danych użytkownicy muszą obowiązkowo połączyć swoje konta ze adresami e-mail. Aby tego dokonać, wystarczy według atakujących kliknąć link nazwany "Sprzężenie konta Allegro z kontem e-mail".Po kliknięciu ofiara jest przenoszona na stronę zawierającą formularz, w którym należy podać następujące dane: nazwa użytkownika Allegro, hasło do konta Allegro, adres e-mail oraz hasło do konta pocztowego powiązanego z Allegro. Strona przypomina witrynę logowania Allegro. Wszystkie dane, które użytkownik pozostawi w formularzu, trafiają do cyberprzestępców.

Kaspersky Lab Polska podkreśla, że serwis Allegro nie ma nic wspólnego z wysyłaniem tej wiadomości e-mail. Jest to typowy atak phishingowy mający na celu wyłudzenie informacji od użytkowników. Cyberprzestępcy nielegalnie wykorzystali wizerunek Allegro.

Źródło: Kaspersky Lab

DNSChanger, to złośliwe oprogramowanie, które podmienia adresy IP serwerów DNS na zainfekowanym komputerze. Powoduje to, iż wykonywane – przed połączenia ze stroną internetową – zapytanie DNS przekierowane jest na złośliwe serwery DNS. Daje to przestępcom możliwość fałszowania informacji w odpowiedziach wysyłanych do zainfekowanego komputera.

Skala zagrożenia jest bardzo duża.
W 2011 roku DNSchanger pod względem ilości zainfekowanych komputerów w Polsce znalazł się na trzecim miejscu. Jego wynik sięga prawie 370 tysięcy.

Aby sprawdzić ustawienia DNS:
Start --> Wszystkie programy --> Akcesoria --> PPM na Wiersz polecenia (uruchom jako Administrator)
lub
Start --> W okienko "Wyszukaj programy i pliki" wpisać Wiersz polecenia --> PPM na Wiersz polecenia (uruchom jako Administrator)
lub
Start --> Uruchom --> wpisać cmd i kliknąć OK.

W konsoli Wiersza polecenia należy wpisać:
ipconfig /all zatwierdzić klawiszem Enter
odszukać Serwery DNS...........:

W logu z OTL, ustawienia serwerów DNS widnieją pod wpisem 017

O17 – HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer =

Jeżeli na naszej liście figurują adresy z przedziałów na liście poniżej – komputer jest (lub był) zainfekowany DNSchangerem :
    od         85.255.112.0         do         85.255.127.255
    od         67.210.0.0             do         67.210.15.255
    od         93.188.160.0         do         93.188.167.255
    od         77.67.83.0             do         77.67.83.255
    od         213.109.64.0         do         213.109.79.255

CERT Polska przygotował specjalną stronę, która sprawdza jaki serwer DNS został użyty podczas próby połączenia.

KLIKNIJ, aby sprawdzić ustawienia DNS

Pojawienie się komunikatu na zielonym tle oznacza, iż zapytanie DNS nie pochodziło z adresów podejrzanych serwerów. Komunikat na czerwonym tle wskazuje, iż do rozwiązania nazwy został użyty serwer DNSChangera – zalecane jest sprawdzenie ustawień systemowych lub kontakt z administratorem.

Poprawne ustawienia DNS powinny być udostępniane przez dostawcę usług internetowych.

Wyłączenie "czystych" serwerów DNS ma nastąpić do dnia 9 lipca 2012 roku.

Źródło: CERT Polska

W styczniu 2012 roku, eksperci z firmy Kaspersky Lab, wykryli nowego trojana wykradającego dane bankowe.

Szkodnikowi nadano nazwę Trojan-Banker.MSIL.MultiPhishing.gen, który został stworzony w celu kradzieży danych dotyczących kont klientów różnych banków, w tym Santander, HSBC Bank UK, Metro Bank, Bank of Scotland, Lloyds TSB oraz Barclays.

Po uaktywnieniu się trojan czeka na uruchomienie przez użytkownika serwisu bankowości online. Następnie otwiera okno, które imituje formularz autoryzacyjny danego banku. Co ciekawe, trojan nie pozwala na żadne błędy, sprawdzając dokładność wprowadzanych danych.
W efekcie oszuści uzyskują poufne informacje, które dają im pełny dostęp do konta bankowego ofiary.
Trojan atakuje głównie użytkowników z Wielkiej Brytanii – w państwie tym zarejestrowano ponad 90% przypadków wykrycia tego szkodliwego programu.

Źródło: Kaspersky Lab

Czym grozi wprowadzenie ACTA
Obrazowo i zwięźle ale jakże wymownie

Filmik wysoce zalecany dla polskich posłów, którzy mają problemy z przeczytaniem i interpretacją tekstu umowy ACTA, aby wiedzieli czego to dotyczy i wiedzieli za czym głosują.
Uzasadnienie, wypowiedź posła, który nie wiedział za czym głosuje:
"Dzisiaj rano dowiedziałem się, że głosowałem za ACTA. Serio. I nie mam zamiaru się tego wypierać. Czy wiedziałem, za czym głosuję? Nie. Czy zawsze wiem, za czym głosuję? Rzadko. Czy inni posłowie i europosłowie wiedzą więcej? Nie" - napisał na swoim blogu europoseł Marek Migalski.

W ramach protestu przeciw podpisaniu ACTA, strona premiera premier.gov.pl, została zhackowana.
Rząd zapewnia, że jest świetnie przygotowany na ataki hackerów.
Jak?

Dane Panelu administratora serwisu:
Login: admin
Hasło: admin1

Tak wyglądała strona po podmianie:
http://webcache.googleusercontent.com/s … clnk&gl=pl
To jest kopia z pamięci podręcznej Google adresu http://www.kprm.gov.pl/. Zdjęcie przedstawia stan strony z 23 Sty 2012 05:45:04 GMT.

W końcu silne hasła to podstawa.
Tu nie potrzeba hackerów ale raczej nowych wyborów.

Jakie jeszcze ważne dane są w Polsce chronione tak silnymi hasłami?

Wieczorem 21 stycznia strona polskiego sejmu sejm.gov.pl, przestała działać.
Po godzinie 22 przestały działać między innymi: mf.gov.pl, stat.gov.pl, ets.gov.pl, praca.gov.pl, mkidn.gov.pl, mkidn.gov.pl, pip.gov.pl, mzios.gov.pl, arimr.gov.pl, uzp.gov.pl, premier.gov.pl, knf.gov.pl a także strona ABW.

Tymczasem w serwisie Twitter, grupa Anonymus przyznała się do ataków na polskie strony rządowe w ramach protestu przeciwko podpisaniu porozumienia ACTA.

Trwają spekulacje czy za atakiem stoi grupa Anonimowych i jaką metodą się posłużono.

Porozumienie ACTA trzymane było w tajemnicy przez trzy lata. Polska ma podpisać pakt "Wielkiego Brata Internetu" już 26 stycznia. Oczywiście wszystko za naszymi plecami.

Anti-Counterfeiting Trade Agreement (ACTA) to międzynarodowe porozumienie dotyczące walki z naruszeniami własności intelektualnej, w tym także piractwem internetowym.
Walka taka ma działać na zasadzie inwigilacji, monitorowanie działalności użytkownika w sieci! Interpretując odpowiednio oglądane strony, nie zawsze świadomie otwierane (przekierowania przez malware) Wielki Brat znajdzie haka na każdego!

To tak w małym skrócie.

Jeśli jeszcze nie wiesz co to ACTA? Przeczytaj i dowiedz się:
http://antyweb.pl/polska-podpisze-acta- … -blackout/

WIELKI BRAT OTWIERA OCZY!
STRZEŻ SIĘ!

Skuteczne wykorzystywanie luk w zabezpieczeniach może pozwolić na wykonanie dowolnego kodu oraz pozwolić może na przejęcie kontroli nad zaatakowanym systemem.


Krytyczne luki zgłaszane są w następujących produktach:

Adobe Reader X (10.1.1) i wcześniejsze 10.x wersje dla Windows i Macintosh
Adobe Reader 9.4.7 i wcześniejszych wersjach dla Windows 9.x
Adobe Reader 9.4.6 i wcześniejszych wersji 9.x dla systemu Macintosh
Adobe Acrobat X (10.1.1) i wcześniejsze 10.x wersje dla Windows i Macintosh
Adobe Acrobat 9.4.7 i wcześniejszych wersjach dla Windows 9.x
Adobe Acrobat 9.4.6 i wcześniejszych wersji 9.x dla systemu Macintosh

Wysoce zalecana jest natychmiastowa aktualizacja do wersji 9.5 lub X (10.1.2.)

Za wykorzystywanie luk w kodzie gry Call of Duty: Modern Warfare 3, operatorzy serwerów zablokowali już ponad 1 600 kont.
Roberta Bowling z Infinity Ward, zachęca do raportowania nieuczciwych graczy oraz zapowiada kolejne bany za cheating:

„Wszelakie próby oszukiwania, modyfikacji kodu i wykorzystywania luk w kodzie nie będą tolerowane”.

Zapowiadane są także następne bany w kolejnych aktualizacjach oraz stopniowe łatanie luk i naprawianie błędów w kodzie gry.

Źródło: http://news.hitb.org/

W ostatnich dniach pojawiła się nowa mutacja trojana Zeus. Jest to kolejna wersja zbudowana na podstawie źródeł, które wyciekły na początku maja. Tak jak poprzednio, do dystrybucji plików konfiguracyjnych używane są mechanizmy P2P. Twórcy  zrezygnowali z charakterystycznego dla Murofeta mechanizmu DGA (algorytm generowania domen)  i powrócili do umieszczenia adresu C&C w zaszyfrowanym pliku konfiguracyjnym.

Jak dokładnie działa nowa mutacja ?

Po zainfekowaniu  komputer ofiary odczytuje liste węzłów sieci P2P, która jest ukryta w ciele trojana. Następnie łaczy się  do nich po protokole UDP, pobiera listy kolejnych węzłów oraz  nowszą wersję pliku konfiguracyjnego (jeżeli takową znajdzie). Pobranie konfigu odbywa się po wysokim porcie TCP. Następnie zgłasza się do kontrolera z wykorzystaniem  HTTP POST.

W pliku konfiguracyjnym znajduje się około 200 unikalnych webinjectów. Mutacja nie atakuje bezpośrednio polskich podmiotów. Wykrada za to każdej ofierze dane przesyłane formularzem, m.in. loginy i hasła wpisywane podczas logowania. Na przestrzeni 3 dni zainfekowana maszyna połączyła się z 360 unikalnymi węzłami sieci P2P. Najwięcej z nich znajdowało się w USA (143 węzły). W  Polsce odnotowaliśmy 12 maszyn.

Źródło: CERT Polska

W październiku pięć niemieckich landów przyznało się do wykorzystywania podczas prowadzenia dochodzenia trojana Backdoor.Win32.R2D2 – co wywołało ogólne oburzenie.
Niemieckie prawo federalne pozwala policji na przechwytywanie komunikacji podejrzanych osób prowadzonej jedynie za pośrednictwem Skype’a. W tym przypadku jednak szkodnik potrafił szpiegować również wiele innych rodzajów komunikatorów oraz aplikacji. Dochodzenie przeprowadzone przez Chaos Computer Club, niemiecką społeczność hakerów, w którym później uczestniczyli eksperci z niemieckiego biura Kaspersky Lab, wykazało, że trojan przechwytywał wiadomości nie tylko w programie Skype, ale również w najpopularniejszych przeglądarkach, rozmaitych komunikatorach oraz programach VoIP: ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster oraz Yahoo! Messenger. Okazało się, że backdoor ten potrafił również działać w 64-bitowych wersjach systemów Windows.

Incydent ten po raz kolejny zwraca uwagę na problem istnienia tak zwanych „rządowych trojanów” oraz kwestie prawne związane z ich wykorzystywaniem.

Warto podkreślić, że Kaspersky Lab, jak większość innych producentów rozwiązań antywirusowych, posiada twarde stanowisko w tych sprawach: produkty firmy wykrywają i nadal będą wykrywać wszystkie szkodliwe programy niezależnie od tego, kto je stworzył i dlaczego.

Źródło: Kaspersky Lab

Odnotowano poważne błędy w Apple QuickTime, które mogą zostać wykorzystane do przejęcia kontroli nad zaatakowanym systemem.

1. Błąd podczas przetwarzania pliku PICT, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku Pict.
2. Błąd podczas przetwarzania tabel z fontami w plikach filmowych, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku video.
3. Błąd w plikach FLIC, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku.
4. Błąd podczas obsługi plików zakodowanych w JPEG2000, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku video.
5. Błąd podczas obsługi TKHD w plikach video QuickTime, może zostać wykorzystany za pomocą specjalnie spreparowanego pliku video.

*Luki 1 i 5 nie mają wpływu na system Mac OS X.

Dla systemów Windows zalecana jest natychmiastowa aktualizacja --> QuickTime 7.7.1 for Windows

Źródło: Secunia

Eksperci z Kaspersky Lab nadal badają nowy szkodliwy program Duqu posiadający pewne cechy wspólne z niesławnym robakiem Stuxnet, który atakował instalacje przemysłowe w Iranie. Chociaż wciąż nie wiadomo, w jakim celu zostało stworzone to najnowsze cyberzagrożenie, z dotychczasowych ustaleń wynika, że Duqu jest uniwersalnym narzędziem wykorzystywanym do przeprowadzania ukierunkowanych ataków na wyselekcjonowaną liczbę obiektów, które może zostać zmodyfikowane w zależności od danego zadania.

Pierwszy etap analizy Duqu przeprowadzonej przez specjalistów z Kaspersky Lab ujawnił kilka interesujących cech trojana. Po pierwsze, każda wykryta modyfikacja tego szkodnika posiadała inne sterowniki wykorzystywane do infekowania systemów. W jednym przypadku sterownik wykorzystał fałszywy podpis cyfrowy, w innych – w ogóle nie został podpisany. Po drugie, coraz więcej przemawia za tym, że prawdopodobnie istniały też inne elementy Duqu, ale jak dotąd nie zostały jeszcze odnalezione. Na tej podstawie możemy założyć, że szkodliwy program potrafi zmieniać swoje zachowanie w zależności od atakowanego celu.

Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: „Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele”.

Źródło: Kaspersky Lab


BitDefender wykrywając malware jako Rootkit.Duqu.A, przygotował specjalny darmowy skaner, który wykrywa i usuwa infekcję.
Sprawdź swój system narzędziem Duqu_Removal_Tool.

Skanery antywirusowe wykrywają zagrożenie jako:

AhnLab-V3 -  Win-Trojan/Duqu.29568
AntiVir -  TR/Duqu.A.3
Antiy-AVL -  Trojan/Win32.Duqu.gen
AVG -  Duqu.A
BitDefender -  Rootkit.Duqu.A
CAT-QuickHeal -  Rootkit.Duqu.A6
ClamAV -  Trojan.Duqu.Infostealer
Commtouch -  W32/Duqu.B
Comodo -  TrojWare.Win32.Rootkit.Duqu.a
DrWeb -  Trojan.Duqu.1
Emsisoft -  Trojan.Win32.Duqu!IK
eSafe -  Win32.Horse
eTrust-Vet -  Win32/Duqu.A
F-Prot -  W32/Duqu.B
F-Secure -  Backdoor:W32/Duqu.B
Fortinet -  W32/Duqu.ROOTKIT!tr.pws
GData -  Rootkit.Duqu.A
Ikarus -  Trojan.Win32.Duqu
Jiangmin -  Trojan/Duqu.a
K7AntiVirus -  Trojan
Kaspersky -  Trojan.Win32.Duqu.a
McAfee -  PWS-Duqu!rootkit
McAfee-GW-Edition -  PWS-Duqu!rootkit
Microsoft  -  Trojan:WinNT/Duqu.A
NOD32 -  Win32/Duqu.A
Norman -  Duqu_gen.A
nProtect -  Trojan/W32.Duqu.29568
Panda -  Trj/Duqu.A
PCTools -  Malware.Duqu
Sophos -  Mal/Duqu-A
Symantec -  W32.Duqu
TrendMicro -  RTKT_DUQU.A
TrendMicro-HouseCall -  RTKT_DUQU.A
VBA32 -  Trojan.Duqu.21105
VIPRE -  Trojan.Win32.Duqu
ViRobot -  Trojan.Win32.S.Duqu.29568
VirusBuster  -  Trojan.Duqu!5GX0xuP5QyA

Firma ESET, producent proaktywnych rozwiązań antywirusowych, opublikowała raport najpopularniejszych zagrożeń występujących w sierpniu 2011 roku.

1. INF/Autorun
Programy tego typu wykorzystują pliki autorun.inf, powodujące automatyczne uruchamianie nośników, do infekowania komputerów użytkowników. Programy rozprzestrzeniają się bardzo szybko z powodu popularnej metody przenoszenia danych za pomocą nośników pendrive, zawierających właśnie pliki autorun.

Przed tego typu infekcją zabezpieczymy system programem UsbFix.

2. Win32/Conficker
Robak internetowy, który rozprzestrzenia się wykorzystując załataną już lukę w usłudze RPC systemów operacyjnych Windows. Po zagnieżdżeniu się w systemie Conficker łączy się z ustalonymi domenami, z których pobiera instrukcje dalszego działania m.in. pobrania kolejnych zagrożeń. W zależności od wariantu Conficker może rozprzestrzeniać się za pośrednictwem załączników do poczty elektronicznej lub przenośnych dysków USB, wykorzystując do infekowania pliki automatycznego startu.

3. HTML/Iframe.B.Gen
To zagrożenia, ukrywające się na stronach WWW w postaci niewidocznych ramek, których kliknięcie powoduje przekierowanie do innego serwisu internetowego i zainfekowanie komputera nowym zagrożeniem.

4. Win32/Dorkbot
Win32/Dorkbot.A to robak rozprzestrzeniający się za pomocą wymiennych nośników danych. Zawiera on backdoor i może być kontrolowany zdalnie. Podczas gdy użytkownik przegląda różne witryny, robak zbiera podawane przez niego dane – m.in. nazwy użytkownika i hasła, a następnie wysyła zgromadzone informacje do zdalnej maszyny.

5. Win32/Sality
Sality to zagrożenie polimorficzne. Po zagnieżdżeniu się w komputerze swojej ofiary usuwa z rejestru klucze powiązane z aplikacjami zabezpieczającymi, a następnie tworzy w rejestrze wpis, dzięki któremu może uruchamiać się każdorazowo przy starcie systemu operacyjnego. Sality modyfikuje pliki z rozszerzeniami EXE oraz SCR.

6. HTML/ScrInject.B
ESET oznacza jako HTML/ScrInject.B wszystkie zagrożenia wykrywane na stronach HTML jako skrypty powodujące automatyczne pobieranie na komputer użytkownika kolejnych złośliwych programów.

7. Win32/Autoit
Robak internetowy, który rozprzestrzenia się za pośrednictwem nośników danych lub przez MSN. Win32/Autoit przedostaje się do komputera z zainfekowanej strony internetowej lub jako jeden z elementów innego złośliwego programu. Po zainfekowaniu systemu zagrożenie szuka na dysku wszystkich plików wykonywalnych i zastępuje je swoją kopią.

8. Win32/PSW.OnLineGames
Rodzina zagrożeń oznaczana przez laboratoria ESET jako Win32/PSW.OnLineGames to programy typu koń trojański, które działają również jako keyloggery oraz rootkity. Gromadzą one loginy oraz hasła, za pomocą których gracze logują się do gier typu MMORPG, takich jak Lineage, World of Warcraft czy Second Life, a następnie przesyłają je do hakera. Ten typ zagrożeń jest wyjątkowo popularny wśród polskich użytkowników.

9. JS/TrojanDownloader.Iframe.NKE
Koń trojański, który przekierowuje przeglądarkę na określony adres URL, pod którym mieści się złośliwe oprogramowanie. Kod złośliwego programu zwykle najczęściej się na stronach HTML.

10. Win32/Ramnit
Wirus infekuje pliki dll i exe oraz wyszukuje pliki htm i html, w które wpisuje złośliwe instrukcje. Program uruchamia się przy każdym starcie systemu. Wykorzystuje lukę systemu, pozwalającą na uruchomienie dowolnego kodu. Może być sterowany zdalnie i zapisywać zrzuty ekranu użytkownika, wysyłać zgromadzone informacje, ściągać pliki ze zdalnego komputera lub Internetu, a także uruchamiać pliki wykonywalne i uruchamiać lub wyłączać komputer.

Źródło: ESET

System komputerowy centrum kontroli lotów dronów został zainfekowany nieznanym wirusem, nad którym eksperci nie mogą zapanować. Nikt nie wie jak doszło do zainfekowania wirusem, który może śledzić każdy ruch latających bezzałogowych maszyn bojowych.

"Wirus zaraz po usunięciu wciąż uporczywie wraca" - mówi jeden z ekspertów.

Specjaliści do spraw bezpieczeństwa nie wiedzą czy malware dostał się do systemu celowo czy przez przypadek. Nikt nie wie także jak rozprzestrzenia się infekcja i jaki ma charakter.
Istnieje jedynie obawa, że tajne dane mogą być przechwytywane i upublicznione poprzez Internet.

Czytaj więcej w artykule: Exclusive: Computer Virus Hits U.S. Drone Fleet

Kaspersky Lab informuje o pojawieniu się fałszywych zaproszeń do testowania oczekiwanej gry Diablo III. Szkodliwa wiadomość docierająca do użytkowników nakłania do wypełnienia sfałszowanego formularza i tym samym pozwala cyberprzestępcom na kradzież kont oraz danych graczy.

Długo oczekiwane zamknięte testy beta Diablo III ruszyły, a firma Blizzard, producent gry, rozesłała już pierwsze zaproszenia do zarejestrowanych graczy na całym świecie. Aby znaleźć się w gronie szczęśliwców, którzy mogą zagrać w tę grę jeszcze przed premierą, trzeba posiadać konto Battle.Net oraz zapisać się do udziału w zamkniętym teście beta.

W nowym zagrożeniu odbiorca jest namawiany do kliknięcia określonego odsyłacza i wprowadzenia swoich danych uwierzytelniających na stronie docelowej, która stanowi replikę oryginalnej witryny atakowanej gry. W efekcie konto gracza zostaje skradzione.

Screen przedstawiający legalne zaproszenie od firmy Blizzard

Warto pamiętać, że oryginalna wiadomość z zaproszeniem, wysyłana przez firmę Blizzard, nie wymaga od użytkownika kliknięcia odsyłacza. Informuje go jedynie, że musi zalogować się do swojego konta Battle.Net i przejść do sekcji “Account”, aby kontynuować.

Atak przeszedł znaczną ewolucję i z biegiem czasu jakość sfałszowanych wiadomości bardzo się poprawiła. Problemy z ich identyfikacją mogą mieć nawet doświadczeni użytkownicy.

Źródło: Kaspersky Lab