Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

TGIF(P) – Thank God it’s Friday (Phishing)

Michael Molsner Kaspersky Lab Expert
Dodany 4 września 2015, 10:01 CEST
Tagi:

Wiecie, to oznacza skrót "TGIF"? Jest on często wypowiadany w dniu poprzedzającym weekend, a oznacza „Thank God it’s Friday”, czyli „Dzięku Bogu już piątek”.

Większość osób, które gdzieś pracują, z utęsknieniem czeka na ten dzień tygodnia, jednak podczas gdy wiele biur można zamknąć na weekend, to cyberprzestępcy właśnie wtedy zwiększają swoją aktywność. Dzięki temu mogą pozostać niezauważeni przez jakiś czas, przynajmniej do nadchodzącego poniedziałkowego poranka.

Społeczność IT ciężko pracuje, aby znajdować i zamykać szkodliwe witryny jak najszybciej, ale jednak... dla wielu weekend to weekend.

To co się stało w ubiegły piątek może być dobrym przykładem weekendowej aktywności szkodliwych użytkowników. Otrzymaliśmy następujący e-mail na jeden z naszych firmowych adresów:

tgf-01_auto.png 

E-mail wykorzystuje pewne techniki inżynierii społecznej w celu zastraszenia odbiorcy – informuje...


Royal Baby wabi na Blackhole Site

Michael Molsner Kaspersky Lab Expert
Dodany 25 lipca 2013, 11:20 CEST

Kaspersky Lab gratuluje parze królewskiej z okazji narodzin dziecka i życzy im wszystkiego dobrego na przyszłość. Obecnie ta radosna wiadomość jest świętowana w Wielkiej Brytanii i na całym świecie.  

Jest to duży news, dlatego szkodliwi użytkownicy nie czekali długo, aby wykorzystać tę okazję: złapany dzisiaj przez nasze systemy przechwytujące spam e-mail obiecuje „The Royal Baby: Live updates". Wewnątrz kryje pułapkę w postaci odsyłacza o nazwie „Watch the hospital-cam", który prowadzi... nigdzie, ponieważ wygląda na to, że docelowy zasób został już wyczyszczony. Na pierwszy rzut oka wydaje się jednak, że mogła to być zhakowana legalna strona.        

royal_baby1_auto.png

Wciąż jednak interesuje nas, jaka mogła być szkodliwa zawartość. Nie musieliśmy długo szukać. W czasie pisania tego artykułu przeszukiwanie sieci dało tylko jeden wynik.  

royal_baby2_auto.png

To, co znajdujemy tam, to zasadniczo ta sama treść, którą mogliśmy przeczytać w...


Liczba infekcji Gumblara

Michael Molsner Kaspersky Lab Expert
Dodany 7 grudnia 2009, 09:19 CET

Przeanalizowaliśmy ponad 600 MB zebranych danych dotyczących powtórnego pojawienia się zagrożenia Gumblar. W sumie zidentyfikowaliśmy 2000+ infektorów (komputerów, na których znajdowały się zainfekowane pliki *.php oraz szkodliwa funkcja) oraz 76100+ "komputerów przekierowujących" (komputerów z odsyłaczami prowadzącymi z powrotem do zainfekowanych stron). Większość infektorów należy również do grupy komputerów przekierowujących, obsługują one jeden plik *.php i dodatkowo zawierają odsyłacz do innego infektora na swojej własnej stronie wejściowej.

Porównanie statystyk poniżej ze statystykami sprzed miesiąca pokazuje, w jaki sposób zagrożenie rozprzestrzeniało się i ewoluowało. Najnowsze dane liczbowe pochodzą z 30 listopada i stale rosną.

208187924.png


Najnowsze wiadomości o Gumblerze

Michael Molsner Kaspersky Lab Expert
Dodany 4 listopada 2009, 13:53 CET

Tak jak spodziewaliśmy się, zhakowanych maszyn jest więcej. Oto najnowsze statystyki:


7798    STANY ZJEDNOCZONE
1765    INDIE
1332    ARGENTYNA
1244    TURCJA
1094    FEDERACJA ROSYJSKA
1084    NIEMCY
968      HISZPANIA
950      ISLAMSKA REPUBLIKA IRANU
881      REPUBLIKA KOREI
878      MAROKO
822      KANADA
815      PERU
792      JAPONIA
712      TAJLANDIA
689      AUSTRALIA
678      RUMUNIA
655      POLSKA
654      IZRAEL
628      SZWECJA
599      WŁOCHY

Liczby te oznaczają unikatowe hosty; niektóre z nich zawierają kilka katalogów użytkowników itd., co oznacza, że rzeczywista liczba jest znacznie wyższa niż podana tutaj. Jak już wspominaliśmy wcześniej, wszystkie z tych hostów rozprzestrzeniają zbiór zainfekowanych plików, które są wysyłane do użytkowników w zależności od środowiska komputerowego. Skorzystaliśmy ze strony...


Nowy gumblar

Michael Molsner Kaspersky Lab Expert
Dodany 4 listopada 2009, 13:52 CET

Około 20 października otrzymaliśmy maile z naszego biura w Turcji o “możliwym rozprzestrzenianiu się nowego wirusa”. Nasi koledzy nie mylili się, coś było na rzeczy. Kilka dni wcześniej, 16 października zauważyliśmy zmiany na pewnych stronach internetowych, które monitorujemy od maja 2009 roku, gdy rozprzestrzeniał się 'gumblar'. O ile w ataku, jaki miał miejsce na przełomie kwietnia i maja, wykorzystano ramki iframes przekierowujące do dwóch zainfekowanych stron (gumblar.cn, martuz.cn), tym razem serwery, z których rozprzestrzeniany jest szkodnik, są szerzej rozpowszechnione – zidentyfikowaliśmy ponad 202 lokalizacji.

Poniżej znajduje się lista 20 wiodących państw w których znajdują się hosty “ze wstrzykniętym kodem”, które wskazują na te zainfekowane adresy URL:

7271    STANY ZJEDNOCZONE*
704      FEDERACJA ROSYJSKA
675      REPUBLIKA KOREI
619      ISLAMSKA REPUBLIKA...


Wszystko, co złowisz, należy do mnie

Michael Molsner Kaspersky Lab Expert
Dodany 14 października 2009, 09:16 CEST

Dzisiaj otrzymałem "powiadomienie programu antywirusowego" z naszego serwera pocztowego (chronionego przez kav4lms), więc naturalnie byłem ciekawy, co zawiera. Analiza poczty objętej kwarantanną na serwerze ujawniła kilka interesujących rzeczy, począwszy od samego nagłówka wiadomości:

"X-PHP-Script: <removed>.com/templates/beez/woolf2.php for 41.248.<xx.xx>

Wiadomość pochodziła z zainfekowanego hosta, a do wysyłania wiadomości phishingowych wykorzystywany był program pocztowy php bezpośrednio stamtąd.

Gdy podążyłem do lokalizacji określonej w nagłówku, trafiłem na program do wysyłania masowej poczty elektronicznej GUI zawierający odsyłacz do strony spamerskiej, która obecnie jest wyłączona. Gdy jednak trochę "pogrzebałem", odkryłem, że strona ta zwierała "zestawy phishingowe" - kolekcje szkodliwych plików, które mogą zostać pobrane z darmo.

Te "zestawy phishingowe" są archiwami, które muszą...


Przynęta z antywirusem

Michael Molsner Kaspersky Lab Expert
Dodany 30 października 2008, 10:06 CET

Ostatnio natknęliśmy się na atak phishingowy, którego celem był Lloyds Bank. Zastosowana taktyka jest dość interesująca – rzeczywiście, współpracujemy z kilkoma brytyjskimi bankami, dostarczając produkty ich klientom – dlatego też klienci banku Lloyds mogą sądzić, że oferta phisherów jest prawdziwa.

 

Naturalnie, nie jest. Każdy, kto posiada konto bankowe, niezależnie od tego czy korzysta z usług bankowości online czy nie, powinien pamiętać, że banki podejmują działania w celu zabezpieczenia swoich klientów. Jednak wysyłanie niewywołanej wiadomości email z pewnością nie jest jednym z nich!