RSA, dział zabezpieczeń firmy EMC, wykrył nową technikę infekcji łączącą ataki typu phishing i konia trojańskiego o nazwie Zeus. Celem ataków jest kradzież danych osobowych i rozpowszechnianie szkodliwego oprogramowania służącego do kradzieży danych finansowych. Rock Phish to działająca prawdopodobnie z Europy grupa przestępców, którzy od 2004 r. atakują instytucje finansowe na całym świecie.
Szacuje się, że gang Rock Phish stoi za ponad połową ataków typu phishing na całym świecie i jest odpowiedzialny za kradzież dziesiątków milionów dolarów z kont użytkowników usług bankowości internetowej. Aż do dziś jednak grupa nie wykorzystywała szkodliwego oprogramowania do wyłudzania danych finansowych. Nowe ataki Rock Phish łączą metody typu phishing z zastosowaniem szkodliwego oprogramowania. Ich ofiary dotyka więc nie tylko kradzież danych osobowych – komputery zostają również zainfekowane koniem trojańskim o nazwie Zeus. Po infekcji program ten jest w stanie wykradać dodatkowe informacje, np. dane osobowe podawane na innych stronach internetowych. Ataki wykryło czynne przez całą dobę centrum przeciwdziałania oszustwom internetowym działu RSA (Anti-Fraud Command Center – AFCC) przy wsparciu analityków ds. zabezpieczeń, którzy pracują w zespole RSA ds. zwalczania koni trojańskich (FraudAction Anti-Trojan Service). Ten zespół analityków zajmuje się wyszukiwaniem i analizowaniem witryn wyłudzających informacje.
Żródło: http://www.finextra.com/fullpr.asp?id=21011
Uzupełnienie:
Na blogach o bezpieczeństwie pojawiły się bardziej szczegółowe analizy trojana Zeus. Jak czytamy na blogu Dancho Dancheva, Zeus powstaje ze specjalnego pakietu (kit), do tworzenia oprogramowania malware. Za jedyne 700 dolarów możemy stać się właścicielami generatora. Przez ostatnie 6 miesięcy RSA’s Anti-Fraud Command Center wykryło ponad 150 różnych wersji Zeusa, z czego każda infekowała średnio 4000 różnych komputerów dziennie.
Każdorazowo tworząc nowy plik wynikowy z trojanem Zeus, otrzymujemy plik znacząco różniący się od poprzedniego (w celu oszukania aplikacji antywirusowych).
Jak czytamy na blogu RSA, łączenie ataku Phishing z zarażaniem trojanem, polega na tym, iż standardowo ofiara jest przekierowywana na stronę będącą wierną kopią określonego serwisu. Następnie niezależnie czy ofiara prześle phisherom swoje dane czy nie – zostaje przekierowana na strone, która próbuje zainfekować komputer Zeusem, wykorzystując przeróżne błędy w oprogramowaniu klienta. Dostajemy więc cudowne dwa w jednym…
Lista dodatkowych funkcjonalności jest dość długa:
– generowanie screenshotów z zainfekowanej maszyny,
– przechwytywanie danych wpisywanych do formularzy,
– odzyskiwanie haseł z programów przechowywujących je,
– mały rozmiar pliku wynikowego,
– własny proces, niewidoczny na liście procesów,
– ominięcie zabezpieczeń większości firewalli,
– działa na kontach zwykłych użytkowników (aktualnie nie działa z konta guest),
– niewykrywalny przez antywirusy (wnętrze bota jest zakodowane),
– dane przesyłane są w postaci zakodowanej za pomoca protokołów HTTP/HTTPS
– wykrywanie NATu,
– działa z każdą przeglądarka oraz aplikacją (poprzez bibliotekę wininet.dll),
– przechwytywanie danych POST,
– przezroczyste przekierowania URL,
– dynamiczna podmiana zawartości odwiedzanych stron,
– omijanie zabezpieczenia wirtualnej klawiatury,
– przechwytywanie loginów i haseł protokołów POP/FTP, niezależnie od portu działania i jedynie po poprawnym zalogowaniu,
– zmiana wpisów DNS,
– przeszukiwanie dysków,
– HTTP proxy, serwer SOCKS4,
– automagiczny upgrade bota.
Borys Łącki [LogicalTrust.net]
8 komentarzy do
25 kwietnia, 2008 o godzinie 11:03
Widze ze redaktorzy tej strony nie znosza krytyki i usuwaja nieprzychylne im komentarze, zaprawde zalosne.
25 kwietnia, 2008 o godzinie 15:40
Do naszego bloga pisze kilka osób. Ja na przykład osobiście krytykę konstruktywną jak najbardziej akceptuję i komentarzy nie usuwam. Widocznie autor newsa uważał w danym momencie inaczej, czego nie popieram i mam nadzieję, że sie poprawi :} Swoją drogą [odnośnie Twojego komentarza usuniętego], RSA nie podało szczegółów dotyczących tych ataków, a news IMHO ma jedynie ukazać, że stopień zaawansowania i komplikacji ataków rośnie :} Pozdrawiam, prosząc o więcej krytycznych uwag :]
25 kwietnia, 2008 o godzinie 19:23
eee to jakaś pomyłka musiała być, Patryku, czy mógłbyś tutaj sprostowanie tudzież dementi popełnić?
25 kwietnia, 2008 o godzinie 22:37
Krytyka, charakteryzuje się tym, że osoba krytykująca przedstawia lub sugeruje jednocześnie sposób lub sposoby rozwiązania problemu poddanego krytyce. Poprzedni wpis Pana Michała, nawet nie stał obok – docinki – był to wg. mnie kilku słowny bezsens będący impulsem podczas obniżenia samopoczucia spowodowanego zachmurzonym niebem i niepotrzebną próbą zabicia czasu – nie wprowadzający nic konstruktywnego. Szczególnie jak to zauważył Borys – nawet nie sprawdził źródła z którego został przejęty news. Lecz czy – załóżmy „nieprzychylnym komentarzem” można też nazwać zdanie nawet nie odnoszące się do informatywnego przekazu newsu ? Jeśli kogoś uraziłem usunięciem wpisu przepraszam (Pan Michał na pewno może go odtworzyć z pamięci dodając go drugi raz).
28 kwietnia, 2008 o godzinie 20:22
Komentarz nie byl zlosliwy ani obelzywy, wiec to moze Patryk mial obnizona samoocene i go tak odebral :P. Komenarz krytykowal ilosc informacji przekazanej w newsie — fajnie ze informujecie o nowinkach ale jak mowa jest o jakims nowym ataku to dobrze by bylo wiedziec co jest nowego w tym ataku, bo inaczej to wiem tylko tyle ze ktos oglosil ze znalazl nowy atak .Super! Niebywale istotna i ciekawa informacja!(to tez nie byla zlosliwosc).
28 kwietnia, 2008 o godzinie 20:25
Super! Widze, ze news zostal uzupelniony, teraz moze kandydowac do miana newsa wzorowego.
Cala sytuacje z mojego punktu widzenia skompentowalem tu:
http://bothunters.pl/2008/04/24/rock-phish-wprowadza-nowy-atak-kombinowany/#comment-44
28 kwietnia, 2008 o godzinie 21:19
Nie przypominam sobie bym był z Panem na TY. Ostatni komentarz jest powieleniem poprzedniego, w dodatku link prowadzi do tych samych komentarzy.
30 kwietnia, 2008 o godzinie 12:40
Tak teraz to wiem, PAN Patryk ma zdecydowanie obnizona smoocene