Οι ερευνητές της ESET έχουν ανακαλύψει ένα νέο Trojan malware που κλέβει δεδομένα, το οποίο ανιχνεύεται από την ESET ως Win32 / PSW.Stealer.NAI και ονομάστηκε USB Thief.
Αυτό το κακόβουλο λογισμικό χρησιμοποιεί αποκλειστικά συσκευές USB για να εξαπλωθεί, χωρίς να αφήνει κανένα αποδεικτικό στοιχείο στον υπολογιστή που έχει παραβιάσει. Οι δημιουργοί του έχουν επίσης χρησιμοποιήσει ειδικούς μηχανισμούς ώστε το malware να μην διατρέχει κίνδυνο να αναπαραχθεί ή να αντιγραφεί, γεγονός που καθιστά ακόμη πιο δύσκολο τον εντοπισμό και την ανάλυσή του.
Το γεγονός ότι το USB Thief διαχειρίζεται από μια αφαιρούμενη συσκευή USB σημαίνει ότι δεν αφήνει ίχνη, και ως εκ τούτου, τα θύματα δεν αντιλαμβάνονται καν ότι τα στοιχεία τους έχουν κλαπεί. Ένα άλλο χαρακτηριστικό – που επίσης καθιστά το USB Thief ασυνήθιστο - είναι ότι συνδέεται με μία μόνο συσκευή USB που αποτρέπει τη διαρροή στα συστήματα που αποτελούν στόχο. Πάνω από όλα, το USB Thief διαθέτει εξελιγμένη δυνατότητα εκτέλεσης μίας κρυπτογράφησης σε πολλά επίπεδα, που είναι επίσης συνδεδεμένη με τα χαρακτηριστικά της συσκευής USB που το φιλοξενεί. Αυτό καθιστά το USB Thief εξαιρετικά δύσκολο να εντοπιστεί και να αναλυθεί.
Το USB Thief μπορεί να αποθηκευτεί ως «plugin» πηγή φορητών εφαρμογών ή ως απλά μια βιβλιοθήκη - DLL - που χρησιμοποιείται από τη φορητή εφαρμογή. Ως εκ τούτου, κάθε φορά που εκτελείται μια τέτοια εφαρμογή, το κακόβουλο λογισμικό θα «τρέχει» στο παρασκήνιο. Κάτι που σημαίνει ότι οι χρήστες πρέπει να αντιληφθούν τους κινδύνους που συνοδεύουν τις συσκευές αποθήκευσης USB που προέρχονται από πηγές που μπορεί να μην είναι αξιόπιστες.
H ESET προειδοποιεί τους χρήστες για ένα αυξανόμενο αριθμό μολυσμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν ένα κακόβουλο συνημμένο, το οποίο κατεβάζει και εγκαθιστά ransomware στη μολυσμένη συσκευή.
Σε περίπτωση που χρήστης ανοίξει το μολυσμένο αρχείο τότε κρυπτογραφούνται τα αρχεία του στον υπολογιστή του και στη συνέχεια του ζητούνται λύτρα για την αποκρυπτογράφηση.
Το κακόβουλο downloader σύμφωνα με την ESET είναι το JS/TrojanDownloader.Nemucod, καταγράφοντας ασυνήθιστα υψηλή συχνότητα εμφάνισης της σε Ευρώπη, Βόρεια Αμερική, Αυστραλία και Ιαπωνία.
Το Nemucod εξαπλώνεται μέσω e-mail, τα οποία περιέχουν συνημμένα συμπιεσμένο αρχεία. Τα e-mails είναι γραμμένα με έναν πολύ αξιόπιστο τρόπο, και ισχυρίζονται ότι είναι τιμολόγια, δικαστικές κλήσεις ή άλλα επίσημα έγγραφα. Οι κυβερνοεγκληματίες προσπαθούν να πείσουν τους χρήστες να ανοίξουν το κακόβουλο συνημμένο που περιέχει ένα αρχείο JavaScript, το οποίο αφού ανοιχτεί, κατεβάζει και εγκαθιστά το Nemucod στους υπολογιστές των θυμάτων. Το Nemucod είναι γνωστό για την ικανότητά του να κατεβάζει μία σειρά από άλλα κακόβουλα προγράμματα.
«Το Nemucod στην παρούσα φάση κατεβάζει κυρίως ransomware, όπως το TeslaCrypt ή το Locky. Αυτά κρυπτογραφούν τα δεδομένα στον υπολογιστή του θύματος και ζητούν λύτρα» σημειώνει ο Peter Stančík, Security Evangelist της ESET.
Και τα δύο ransomware, TeslaCrypt και Locky, χρησιμοποιούν πρότυπα κρυπτογράφησης παρόμοια με αυτά που χρησιμοποιούνται από τα χρηματοπιστωτικά ιδρύματα, για την προστασία των online πληρωμών.
Για να προστατευτούν οι χρήστες θα πρέπει:
Να μην ανοίγουν συνημμένα που τους έχουν σταλεί στο e-mail από άγνωστους αποστολείς.
Να ενημερώσουν συναδέλφους οι οποίοι λαμβάνουν πιο συχνά μηνύματα ηλεκτρονικού ταχυδρομείου από εξωτερικές πηγές - για παράδειγμα σχετικά με οικονομικές υπηρεσίες ή ανθρώπινους πόρους.
Να πραγματοποιούν τακτικά αντίγραφα ασφαλείας για τα δεδομένα τους. Σε περίπτωση μόλυνσης, αυτό θα τους βοηθήσει να τα ανακτήσουν όλα. Εξωτερικοί δίσκοι ή άλλα μέσα αποθήκευσης δεν θα πρέπει να παραμένουν συνδεδεμένα με τον υπολογιστή, ώστε να αποφευχθεί η μόλυνση από filecoder.
Να πραγματοποιούν τακτικά τις ενημερώσεις του λειτουργικού σας συστήματος και άλλων λογισμικών που χρησιμοποιείτε. Αν εξακολουθούν να χρησιμοποιούν τα Windows XP, καλό είναι να εξετάσουν σοβαρά τη μετάβαση σε άλλο λειτουργικό σύστημα Windows που υποστηρίζει η συσκευή τους.
Το λογισμικό ασφαλείας πρέπει επίσης να έχει εγκατεστημένες όλες τις ενημερώσεις, ιδανικά με την τελευταία έκδοση. Οι εταιρίες λογισμικού IT ασφάλειας διαθέτουν συνεχώς νέες εκδόσεις του λογισμικού τους με πρόσθετα χαρακτηριστικά ασφάλειας.
newsit.gr
Οι ερευνητές της ESET εντοπισαν κακόβουλο λογισμικό που επιτίθεται σε smartphones και το οποίο μπορεί να κλέψει τους κωδικούς σύνδεσης των χρηστών υπηρεσιών mobile banking.
Το κακόβουλο λογισμικό, που ανιχνεύεται από τα συστήματα ασφαλείας της ESET ως Android/Spy.Agent.SI, εμφανίζει στα θύματα μια πλαστή έκδοση της οθόνης σύνδεσης των τραπεζικών εφαρμογών και κλειδώνει την οθόνη μέχρι να εισαχθούν το όνομα χρήστη και ο κωδικός πρόσβασης.
Χρησιμοποιώντας τα κλεμμένα δεδομένα σύνδεσης, οι κυβερνοεγκληματίες μπορούν στη συνέχεια να συνδεθούν στο λογαριασμό του θύματος από απόσταση και να μεταφέρουν χρήματα. Μπορούν επίσης να χρησιμοποιήσουν το κακόβουλο λογισμικό για να στείλουν όλα τα μηνύματα κειμένου SMS που έχουν ληφθεί στη μολυσμένη συσκευή, καθώς και να τα αφαιρέσουν. «Αυτό επιτρέπει την παράκαμψη της πιστοποίησης διπλού παράγοντα που χρησιμοποιεί SMS για να ανιχνεύει παράνομες συναλλαγές, χωρίς να υποψιαστεί οτιδήποτε ο ιδιοκτήτης της συσκευής» εξηγεί ο Lukáš Štefanko, Ερευνητής Malware της ESET με εξειδίκευση σε θέματα κακόβουλου λογισμικού σε Android. Το Trojan εξαπλώνεται ως απομίμηση της εφαρμογής Flash Player. Μετά την λήψη και εγκατάσταση, η εφαρμογή ζητά πρόσβαση στα δικαιώματα διαχείρισης της συσκευής, για να προστατευθεί από την εύκολη απεγκατάστασή της από τη συσκευή. Έπειτα, το κακόβουλο λογισμικό ελέγχει εάν είναι εγκατεστημένες στη συσκευή τραπεζικές εφαρμογές που θα μπορούσε να στοχεύσει, και, αν ναι, λαμβάνει ψεύτικες οθόνες σύνδεσης για κάθε τραπεζική εφαρμογή από τον command & control server. Στη συνέχεια, μόλις το θύμα χρησιμοποιήσει μια τραπεζική εφαρμογή, εμφανίζεται μία ψεύτικη οθόνη σύνδεσης πάνω από την κορυφή της νόμιμης εφαρμογής, αφήνοντας την οθόνη κλειδωμένη μέχρι το θύμα να υποβάλει τα στοιχεία σύνδεσης.
Το malware εξελίσσεται συνεχώς. Ενώ οι πρώτες εκδόσεις του ήταν απλές και ο κακόβουλος σκοπός αναγνωριζόταν εύκολα, οι πιο πρόσφατες εκδοχές είναι πιο πολύπλοκες και εμφανίζουν καλύτερη κρυπτογράφηση. Η εκστρατεία, που ανακαλύφθηκε από τους ερευνητές της ESET, στοχεύει μεγάλες τράπεζες στην Αυστραλία, τη Νέα Ζηλανδία και την Τουρκία. Στην πραγματικότητα, τα 20 χρηματοπιστωτικά ιδρύματα που έχει στοχεύσει μέχρι σήμερα η εφαρμογή αποτελούν τις μεγαλύτερες τράπεζες σε κάθε μία από τις τρεις χώρες. «Η επίθεση ήταν μαζική και μπορεί εύκολα να επικεντρωθεί ξανά σε οποιοδήποτε άλλο σύνολο τραπεζών», προειδοποιεί ο Lukáš Štefanko.
πηγη:philenews.gr
Τα Trojans «Porn clicker», τα οποία η ESET ανιχνεύει ως Android/Clicker, μεταμφιέζονται σε επίσημες εφαρμογές, κυρίως σε παιχνίδια.
Αυτή η οικογένεια malware έχει καταφέρει να εισέλθει στο επίσημο κατάστημα εφαρμογών για Android τουλάχιστον 307 φορές τους τελευταίους επτά μήνες, με αποτέλεσμα να θεωρείται μία από τις μεγαλύτερες εκστρατείες malware που έχουν γίνει στο Play Store μέχρι σήμερα. Η ESET θα συζητήσει το θέμα των απειλών στην πλατφόρμα Android στις 25 Φεβρουαρίου κατά τη διάρκεια του Mobile World Congress στη Βαρκελώνη.
«Έχουν καταγραφεί πολλές περιπτώσεις εκστρατειών malware στο Google Play, αλλά καμία από αυτές δεν έχει διαρκέσει τόσο πολύ καιρό, ούτε έχει καταφέρει ένα τέτοιο τεράστιο αριθμό επιτυχημένων διεισδύσεων», εξηγεί ο Lukas Stefanko, malware researcher της ESET, με εξειδίκευση σε θέματα κακόβουλου λογισμικού σε Android. Το WeLiveSecurity.com, το blog της ESET με ειδήσεις για θέματα ασφάλειας, δημοσίευσε ένα άρθρο του Stefanko με αναλυτικές πληροφορίες σχετικά με τα Trojans Porn clicker, καθώς επίσης και μια ενδιαφέρουσα συνέντευξη με επιπλέον πορίσματα και απόψεις.
Κατά μέσο όρο, κάθε εβδομάδα κατά τη διάρκεια της εκστρατείας 10 νέα Porn clickers κατόρθωναν να παρακάμψουν τους ελέγχους ασφάλειας της Google, σύμφωνα με την έρευνα της ESET. Ακόμη σημαντικότερο είναι το γεγονός ότι, εκτός από την επιτυχημένη είσοδό τους στο κατάστημα, αυτά τα Porn clickers καταφέρνουν να βρουν το δρόμο τους προς συσκευές των χρηστών, με το μέσο αριθμό των downloads να ανέρχεται στα 3.600.
«Αυτά τα Trojans συνεχώς εμφανίζουν εκδόσεις repack. Οι πιο πρόσφατες εκδόσεις είναι πάντα ελαφρώς αλλαγμένες και ο κωδικός τους περιπλεγμένος, ώστε να αποκρύψουν τον πραγματικό τους σκοπό και να παρακάμψουν τους ελέγχους ασφαλείας της Google» σχολιάζει ο Stefanko.
Μετά την εγκατάσταση, δημιουργούν ψεύτικα κλικ στις διαφημίσεις και αποφέρουν κέρδη στους δημιουργούς τους, στερώντας τα από τους διαφημιστές και ζημιώνοντας τις διαφημιστικές εκστρατείες. Σε ότι αφορά τους χρήστες, τα συγκεκριμένα Trojans δημιουργούν μεγάλο όγκο διαδικτυακού traffic, με πιθανές αρνητικές επιπτώσεις.
Παρόλο που τα Trojans «Porn clicker» καταφέρνουν να αποκρύπτουν τον πραγματικό τους σκοπό, οι χρήστες μπορούν να τα αποφύγουν. «Οι βαθμολογίες αυτών των πλαστών εφαρμογών αντικατοπτρίζουν τις κακές εμπειρίες των θυμάτων, καθώς οι αρνητικές αξιολογήσεις υπερτερούν αριθμητικά των θετικών. Οι αξιολογήσεις αποτελούν ένα ισχυρό εργαλείο προστασίας και καλούμε όλους τους χρήστες να δίνουν προσοχή σε αυτές», συνιστά ο Lukas Stefanko.
Πηγή: e-pcmag.gr