Złośliwe oprogramowanie służące do wyłudzania pieniędzy, na które trzeba uważać w 2013 roku

Zespół badawczy FortiGuard firmy Fortinet® zauważa również wzrost aktywności złośliwego oprogramowania reklamowego na urządzenia mobilne oraz haktywistycznych skanerów podatności serwerów na zagrożenia

Fortinet® (NASDAQ: FTNT) ogłosił wyniki swoich badań sytuacji w obszarze zagrożeń internetowych przeprowadzonych przez zespół FortiGuard za okres od 1 października do 31 grudnia 2012 r. FortiGuard® Labs wyróżnił cztery typowe metody używane współcześnie przez cyberprzestępców w celu wyłudzenia pieniędzy od swoich ofiar. Ponadto autorzy raportu dostrzegają rosnącą aktywność różnych odmian złośliwego oprogramowania reklamowego Android Plankton, jak również haktywistycznych skanerów podatności serwerów sieciowych na zagrożenia.

Cztery rodzaje oprogramowania do wyłudzania pieniędzy

Zespół FortiGuard Labs zidentyfikował cztery odmiany złośliwego oprogramowania, które gwałtownie zwiększyły swą aktywność w bardzo krótkim czasie (w przedziale od dnia do tygodnia). Te cztery rodzaje oprogramowania reprezentują typowe metody, których cyberprzestępcy używają obecnie w celu zarabiania w sieci:

1.Simda.B: Ten zaawansowany malware pojawia się jako aktualizacja Flash, a jego celem jest podstępne uzyskanie od użytkowników pełnych uprawnień instalacyjnych. Po zainstalowaniu program kradnie hasła użytkownika, umożliwiając cyberprzestępcom infiltrację kont pocztowych i społecznościowych ofiary w celu rozsyłania spamu i złośliwego oprogramowania, przejmowanie kont administratorów serwerów Web w celu hostowania złośliwych witryn oraz wyprowadzanie pieniędzy z kont w systemach płatności online.

2. FakeAlert.D: Ten fałszywy antywirus powiadamia użytkownika za pomocą wiarygodnie wyglądającego wyskakującego okna, że jego komputer został zainfekowany przez wirusy oraz że antywirus ten usunie wirusy z komputera ofiary – za opłatą.

3. Ransom.BE78: Jest to rodzaj ransomware (ang. ransom – okup), irytującego oprogramowania, które uniemożliwia użytkownikowi dostęp do jego własnych danych. Zazwyczaj infekcja blokuje przeładowywanie systemu lub szyfruje dane na maszynie ofiary, a następnie domaga się opłaty za dostarczenie klucza deszyfrującego. Podstawowa różnica między ransomware a fałszywym antywirusem jest taka, że ransomware nie daje ofierze wyboru co do instalacji. Ransomware sam automatycznie instaluje się na maszynie użytkownika, a następnie wymaga opłaty za usunięcie go z systemu.

4. Zbot.ANQ: Ten trojan to komponent po stronie klienta jednej z wersji osławionego już Zeusa. Przechwytuje on próby logowania się do banku online, a następnie – za pomocą metod social engineering – podstępnie przekonuje użytkownika do zainstalowania mobilnego składnika złośliwego oprogramowania na smartfonie. Po zainstalowaniu elementu mobilnego cyberprzestępca może przejmować SMS-y z hasłami do potwierdzania transakcji bankowych, a następnie transferować środki na rachunek podstawionej osoby, tak zwanego „słupa”.

Wprawdzie metody zarabiania na złośliwym oprogramowaniu ewoluowały na przestrzeni lat, ale wygląda na to, że cyberprzestępcy, aby szybciej osiągnąć zyski, nie działają już z ukrycia jak wcześniej, a wręcz dążą do kofrontacji

– mówi Guillaume Lovet, senior manager w zespole FortiGuard Labs Response Team.

Teraz nie chodzi już tylko o ciche podkradanie haseł, ale raczej o zastraszanie użytkowników, by zmusić ich do zapłaty. Mimo tych zmian, podstawowe kroki, które użytkownicy mogą podjąć, aby się chronić, są wciąż te same. Powinni oni nadal mieć zainstalowane rozwiązania zabezpieczające na komputerze, sumiennie aktualizować swoje oprogramowanie do najnowszych wersji i poprawek, regularnie skanować system i kierować się zdrowym rozsądkiem

Złośliwe oprogramowanie reklamowe na Androida

W ostatnim raporcie o zagrożeniach w internecie zespół FortiGuard Labs informował o gwałtownym wzroście aktywności złośliwego oprogramowania Android Plankton. Wbudowuje ono na androidowym urządzeniu użytkownika zestaw narzędzi, które wyświetlają niechciane reklamy w pasku stanu użytkownika, śledzą jego numer IMEI (International Mobile Equipment Identity) i tworzą ikony na pulpicie urządzenia.

W ostatnich trzech miesiącach aktywność tego malware'u zdecydowanie spadła. FortiGuard Labs wykrył, że lukę tę wypełnia wzrost rozprzestrzenia innych złośliwych aplikacji, które są bezpośrednio inspirowane Planktonem i zbliżyły się do tak wysokiego poziomu aktywności, na jakim Plankton był trzy miesiące temu.

Monitorowane przez nas zestawy narzędzi reklamowych świadczą o tym, że autorzy Planktona próbują uniknąć wykrycia, a jednocześnie twórcy konkurencyjnych zestawów narzędzi reklamowych próbują przejąć kawałek lukratywnego adware’owego tortu. Tak czy owak, obserwowany przez nas poziom aktywności złośliwego oprogramowania w tej sferze nie pozostawia wątpliwości, że użytkownicy Androida są wyjątkowo zagrożeni i powinni zachować szczególną ostrożność, pobierając aplikacje na swoje smartfony

– twierdzi Lovet.

Aby się chronić, użytkownicy powinni zwracać baczną uwagę na to, o jakie uprawnienia prosi aplikacja w momencie instalacji. Zaleca się również pobieranie aplikacji mobilnych, które zostały poddane ocenie i których ocena jest wysoka.

Haktywistyczne skanowanie wchodzi na najwyższe obroty

W trzecim kwartale 2012 roku zespół FortiGuard Labs wykrył wysoki poziom aktywności ZmEu – narzędzia stworzonego przez rumuńskich hakerów, aby skanować serwery z podatnymi na zagrożenia wersjami oprogramowania administracyjnyego mySQL (phpMyAdmin) w celu przejmowania nad nimi kontroli. Od października poziom jego aktywności wzrósł dziewięciokrotnie, aż w końcu ustabilizował się w grudniu.

Ten skok aktywności świadczy o wzroście zainteresowania grup haktywistycznych wspieraniem różnego rodzaju protestów i inicjatyw ruchów aktywistycznych na całym świecie. Spodziewamy się, że aktywność narzędzi skanujących pozostanie na wysokim poziomie wraz z ciągle rosnącą liczbą spraw, w które haktywiści się angażują i sukcesów, które chcą nagłośnić

– kontynuuje Lovet.

Aby zabezpieczyć serwery przed tym zagrożeniem, FortiGuard Labs zaleca aktualizację systemu phpMyAdmin do najnowszej wersji.

Zespół FortiGuard Labs opracował statystyki i trendy na rynku zagrożeń na podstawie danych zebranych z urządzeń bezpieczeństwa sieciowego FortiGate® oraz produkcyjnych systemów badawczych z całego świata. Klienci korzystający z usług FortiGuard firmy Fortinet są chronieni przed zagrożeniami wymienionymi w tym raporcie, pod warunkiem, że stosują prawidłowe parametry konfiguracyjne.

Usługi FortiGuard zapewniają rozbudowane rozwiązania z zakresu bezpieczeństwa, w tym antywirusy, ochronę przed włamaniami, filtrowanie treści internetowych oraz zabezpieczenia przed spamem. Usługi te pomagają chronić się przed zagrożeniami zarówno w warstwie aplikacyjnej, jak i sieciowej. Usługi FortiGuard są aktualizowane przez zespół FortiGuard Labs, co umożliwia firmie Fortinet zapewnianie wielopoziomowych badań bezpieczeństwa w połączeniu z natychmiastową ochroną przed nowymi zagrożeniami. Dla subskrybentów usługi FortiGuard wszystkie te aktualizacje są dostarczane do produktów FortiGate, FortiMail™ oraz FortiClient™.

Źródło: Fortinet