Český ransomware, Blackhole Exploit Toolkit 2.0 a Zitmo

 Autor: Redakce
PRAHA
Komerční sdělení
31. 10. 2012

Sdílet

- 29. října 2012 – Společnost AVG Technologies (NYSE: AVG), poskytovatel internetové a mobilní bezpečnosti pro 128 milionů aktivních uživatelů, vydal Zprávu o bezpečnosti na internetu za třetí čtvrtletí. Nově se v ní objevila také hrozba přicházející z České republiky.

V České republice se výzkumnému týmu laboratoře AVG podařilo odhalit lokální malware nazvaný „Lock Screen“. Tento typ Trojského koně funguje následovně: jakmile je do počítače nainstalovaný, uzamkne jeho plochu a ke zpětnému odblokování vyžaduje po uživateli menší finanční obnos prostřednictvím PayPal nebo jiné podobné služby. Tento malware se šíří skrze veřejně přístupné portály určené ke stahování programů a česká herní fóra. Poté, co je počítač zablokován, je uživatel nabádán, aby odeslal sms s kódem GP_698948 nebo tento kód sdělil telefonicky na čísle 9000999. Následně by měl uživatel obdržet kód na odblokování. „Poslední verze našeho antiviru detekuje tohoto Trojského koně jako tzv. ransomware. Podařilo se nám také zjistit správný kód na odblokování, je to „SoNNy“,“ říká Pavel Krčma, šéf AVG VirusLab.

Aktuální přehled se dále zabývá nově spuštěnou verzí Blackhole Exploit Toolkit 2.0, rozvojem malwaru cílícího na služby mobilního bankovnictví, nárůstem zákeřné reklamy cílící na uživatele sociálních sítí a podvodnou snahou skrývat malware v obrázkových souborech.

Blackhole Exploit Toolkit 2.0

„Komerčnímu“ Blackhole toolkitu se nadále úspěšně daří hájit své prvenství, s 63 % vévodí trhu s malwarem a s necelými 76 % trhu s toolkity. Od září, kdy byla spuštěna nová verze Blackhole Exploit Toolkit 2.0, došlo k výraznému nárůstu nebezpečí pro uživatele. Jeho podíl na trhu poroste i nadále a bude mít stále větší dopad. Můžeme očekávat významný nárůst rozsáhlých útoků, které budou kvůli technickým inovacím představeným v této nejnovější verzi pravděpodobně ještě agresivnější.

Tomu vývoji předcházela exploze útoků pomocí Blackhole kitů zacílených na hlavní sociální sítě včetně facebooku, které uživatelům znemožnily přihlásit se na svoje účty a zablokovaly jim přístup ke všem hrám a aplikacím. K realizaci těchto útoků kyberzločinci použili mnoho externích reklamních serverů, čímž se jim během osmi hodin podařilo navýšit původních 250 tisíc zaznamenaných útoků na celkový počet přes 1,6 milionů útoků.

Blackhole je sofistikovaný a účinný exploit kit, a to zejména proto, že je polymorfní a jeho kód dokáže uniknout detekci antivirového softwaru. Kvůli jeho schopnostem rychlé aktualizace je pro tradiční antiviry náročné tento kit sledovat, což je také hlavním důvodem jeho vysoké úspěšnosti,” říká Yuval Ben-Itzhak, technický ředitel společnosti AVG Technologies, „ačkoli se tvůrci Blackhole kitů snaží udržet si před ostatními kyberzločinci náskok, daří se nám díky naší mnohovrstvé analýze v reálném čase odhalit mnohem více útoků pomocí Blackhole toolkitů než pomocí jiných toolkitů.”

Útoky na mobilní bankovnictví pomocí Zimto (Zeus-in-the-Mobile)

S pokračujícím rychlým nárůstem mobilních přístrojů se v tomto čtvrtletí do středu pozornosti dostávají i služby mobilního bankovnictví, které jsou pro kyberzločince obzvláště lukrativním cílem. Tradiční mobilní platební systémy totiž umožňují kyberzločincům krást od jednotlivých uživatelů malé částky tak, aby si toho uživatel nevšiml. Díky tomuto vyspělejšímu malwaru, který dokáže obelstít dvoustupňový autentizační proces používaný některými bankami, mohou kyberzločinci vykrást celý účet své oběti najednou. Podle letošní zprávy společnosti PriceWaterhouseCoopers se digitální bankovnictví celosvětově stane běžnou normou do roku 2015, takže můžeme očekávat další vývoj i rozšíření podobných útoků.

Malware skrytý v obrázkových souborech

Nespustitelné obrázkové soubory jsou obyčejně považovány za bezpečné. AVG ovšem objevilo novou verzi útoku, kdy se na napadeném internetovém serveru tyto soubory spustit dají. Nevinně vyhlížející obrázkové soubory mohou být potom použity k doručení nebezpečného payloadu nic netušícím návštěvníkům ohrožených internetových stránek.