Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
Ostatnie posty
Najpopularniejsze

Szkodliwe oprogramowanie PlugX: dobry haker to przepraszający haker

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 10 marca 2016, 12:36 CET
Tagi:

Czasami twórcy szkodliwego oprogramowania oraz inni niegodziwcy w świecie cyfrowym umieszczają wiadomości w swoim szkodliwym oprogramowaniu. Niekiedy robią to wyłącznie dla „funu”, niekiedy ich celem jest obrażenie osoby, która sabotuje ich działalność przestępczą, innym razem chcą przekazać wiadomość osobom „po przeciwnej stronie barykady”, które z nimi walczą. Mamy nadzieję, że opisany w tym poście przypadek należy raczej do pierwszej kategorii, tzn. jest to zabawny komunikat. Przynajmniej my go tak odbieramy.   

Nasze pierwsze badanie dotyczące PlugX zostało opublikowane w 2012 roku – od tego czasu to narzędzie zdalnego dostępu (ang. RAT) stało się dobrze znanym instrumentem wykorzystywanym w serii ataków na całym świecie na cele z różnych branż. PlugX został wykryty w atakach ukierunkowanych nie tylko na organizacje wojskowe, rządowe czy polityczne, ale również na mniej lub bardziej zwykłe...


Spełniło się nieuchronne – pojawił się 64-bitowy ZeuS z możliwością komunikacji za pośrednictwem sieci Tor

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 13 grudnia 2013, 09:44 CET
Tagi:

Im więcej ludzi przechodzi na 64-bitowe platformy, tym więcej pojawia się 64-bitowego szkodliwego oprogramowania 64-bit. Obserwujemy ten proces już od kilku lat. Czasami są to bardzo specyficzne aplikacje, np. aplikacje bankowe... Jeżeli ktoś chce włamać się do takiej aplikacji i ukraść informacje, najlepszym narzędziem byłby 64-bitowy szkodliwy agent. A jaki jest najbardziej osławiony szkodnik bankowy? Naturalnie ZeuS, który ustanawia trendy dla większości współczesnego szkodliwego oprogramowania bankowego. Jego wstrzyknięcia sieciowe stały się podstawową funkcją niemal każdej rodziny szkodliwego oprogramowania bankowego.  Pojawienie się 64-bitowej wersji ZeuSa było jedynie kwestią czasu – nie spodziewaliśmy się jednak, że nastąpi to tak szybko. Nie spodziewaliśmy się dlatego, że cyberprzestępcy tak naprawdę nie potrzebują 64-bitowej wersji.


Pułapka na grupę Winnti – wabienie intruzów

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 25 kwietnia 2013, 15:37 CEST
Tagi:

Podczas naszego badania dotyczącego grupy Winnti, odkryliśmy znaczną ilość próbek szkodliwego oprogramowania z rodziny Winnti, ukierunkowanego na różne firmy działające w branży gier komputerowych. Używając tych wyrafinowanych złośliwych programów, cyberprzestępcy uzyskiwali zdalny dostęp do zainfekowanych stacji roboczych i z ich poziomu ręcznie przeprowadzali dalsze szkodliwe działania. Oczywiście, zależało nam na tym, aby dowiedzieć się, w jaki sposób złośliwe biblioteki rozprzestrzeniane są w sieci lokalnej. Aby to zrobić, postanowiliśmy śledzić działania napastników przeprowadzane na zainfekowanym komputerze.

Pierwsza próba: maszyna wirtualna nr 1

Na początku badania uruchamialiśmy szkodliwe programy na maszynie wirtualnej, która pracowała dość dobrze – obserwowaliśmy na niej nawet aktywność cyberprzestępców. Ale szybko zorientowali się oni, że nie był to komputer, który chcieli...


Zasadzka na rodowitych Koreańczyków

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 25 kwietnia 2013, 08:39 CEST
Tagi:

Podczas badań nad propagacją szkodnika PlugX z wykorzystaniem exploitów Javy, natknęliśmy się na skompromitowaną stronę, która hostowała i rozsyłała złośliwy applet Javy, wykorzystujący podatność CVE 2013-0422. Bardzo złośliwa aplikacja została wykryta heurystycznie z ogólnym werdyktem wskazującym na wspomnianą lukę, a witryna hostująca szkodnika nie wyróżniała się niczym spośród ogromu podobnych miejsc, które przechowują różne złośliwe aplikacje Javy, które są wykrywane z podobnym werdyktem. Należy w tym miejscu zaznaczyć, iż nasze poszukiwanie było bardzo osobliwe i wspomniana strona pojawiła się w statystykach bardzo rygorystycznie zawężonych wyników wyszukiwania. OK, szczerze mówiąc był to fałszywy alarm pod względem kryteriów wyszukiwania, ale w tym przypadku był to bardzo pożądany błąd.

Zainfekowana strona była zasobem internetowym o nazwie „minjok.com” i jak się okazało, była...


Winnti powraca z PlugX

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 24 kwietnia 2013, 15:59 CEST
Tagi:

Kontynuując nasze dochodzenie dotyczące grupy Winnti, w tym artykule postaramy się opisać sposób, w jaki grupa próbowała ponownie zainfekować określone firmy zajmujące się produkcją gier komputerowych i jakiego złośliwego oprogramowania używała w tym celu. Po odkryciu, że serwery firmy, z którą współpracowaliśmy, zostały zainfekowane, rozpoczęliśmy operację ich leczenia w porozumieniu z administratorami systemu, dążąc do usunięcia szkodliwych plików z sieci firmowej. Zajęło to trochę czasu, bo nie było jasne na początku, jak dokładnie cyberprzestępcy przeniknęli do sieci korporacyjnej; nie mogliśmy znaleźć sposobu, aby całkowicie zatrzymać ataki penetrujące sieć, a szkodliwe pliki wciąż się pojawiały na firmowych komputerach. Analiza przeprowadzona samodzielnie przez firmę produkującą gry doprowadziła nas do wniosku, że infekcja rozpoczęła się niedługo po nawiązaniu współpracy z inną...

PlugX: złośliwe narzędzie zdalnej administracji

Dmitrij Tarakanow Kaspersky Lab Expert
Dodany 30 listopada 2012, 15:31 CET
Tagi:

Niedawno w atakach ukierunkowanych zaczęło pojawiać się nowe narzędzie zdalnej administracji o nazwie „PlugX”. Badaczom udało się namierzyć człowieka podejrzewanego o stworzenie tego złośliwego oprogramowania – członka chińskiej grupy hakerskiej NCPH, który jest rzekomo w służbie PLA. Ta grupa została, między innymi, oskarżona o atakowanie ważnych amerykańskich organizacji. Narzędzie PlugX zostało wykryte w atakach ukierunkowanych nie tylko przeciwko organizacjom wojskowym, rządowym i politycznym, ale także przeciwko zwyczajnym firmom. To jest dosyć dziwna sytuacja.

Nie ważne, czy napastnicy zostali przez kogoś wynajęci, czy pracują dla siebie, jeśli mają oni tendencje do wykonywania ataków na „poważne” organizacje, to dlaczego wśród ich celów znalazły się absolutnie „spokojne” firmy? Nie mogliśmy znaleźć żadnego miejsca, w którym omawiane narzędzie (czy raczej zestaw narzędzi lub...



Wiele powiedziano już o najnowszym szkodliwym oprogramowaniu, rozprzestrzenianym w wiadomościach komunikatora Skype. Jednak, chciałbym dodać w niniejszym artykule coś, o czym jeszcze nie było mowy. Pierwszą rzeczą jest informacja o czasie zapoczątkowania ataku. Zgodnie z danymi z usługi Google Short URL, pierwsze symptomy ataku pochodzą z 6 października 2012 r.:

Dokładnie stało się to o godzinie 19:00. W zaledwie dwie godziny liczba kliknięć wzrosła do 484 111. Zaryzykuję stwierdzenie, że większość użytkowników, którzy kliknęli złośliwy odsyłacz, doznała natychmiastowej infekcji, ponieważ, zgodnie z danymi serwisu Virus Total, szkodnik był początkowo wykrywany przez 2 z 44 silników antywirusowych. W chwili obecnej szkodnik jest wykrywany przez 27 z 44 silników antywirusowych, natomiast całkowita, bieżąca liczba kliknięć przekroczyła milion!

Pomimo faktu, że złośliwy adres URL nie jest już aktywny,...