Ciąg dalszy ZitMo lub Vawtraka?

Pisałem o kolejnych atakach troja ZitMo gdzie pod pozorem polepszenie bezpieczeństwa telefonu komórkowego jesteśmy proszeni o instalację „Trusteer Rappor” na telefonie. Ma to chronić przed każdym zagrożeniem, a tak naprawdę to zagrożenie właśnie instalujemy na naszym telefonie. Opisany atak miał miejsce w czasie logowania się do bankowości internetowej. Wiadomo jednak, że banki zaczęły się bronić przed takimi atakami, dlatego atakujący zmienili sposób ataku!

Na czym polega zmiana? 

Po pozyskaniu użytkownika i hasła w czasie logowania się do banku przez trojana atak jest przerywany. Nie jesteśmy już proszeni o instalację złośliwego oprogramowania na telefonie. Druga część ataku ma miejsce przy logowaniu się np. na poczty Interii, Tlen, WP czy Facebooka. Po zainstalowaniu aplikacji „Trusreer Rapport” na telefonie intruz przystępuje do ataku. Loguje się do bankowości internetowej i wykonuje transakcję na konto muła. Bank wysyła SMS-a z kodem na telefon klienta potwierdzając transakcję. Aplikacja na zarażonym telefonie przejmuje SMS-a z banku niepokazująca go Klientowi przekierowuje go do atakującego. Atakujący podaje kod i transakcja dochodzi do skutku.

Powrót trojana ZitMo?

Powtórka złośliwego oprogramowania próbującego przejąć system autoryzacji klientów banków korzystających z kodów wysyłanych SMS-em.

Atakujący w pierwszym kroku korzysta z socjotechniki opisywanej przez CERT Polska tutaj

Udając mail z Poczty Polskiej jesteśmy informowani o paczce, która nie dotarła do nas.

Aby ją odebrać mamy skorzystać z linku prowadzącego do strony Poczty Polskiej tam mamy pobrać plik pdf i go wydrukować.

Plik nie jest jednak plikiem pdf mimo ikony, ale plikiem wykonywalnym. Jego uruchomienie powoduje zarażenie komputera.

W kolejnym kroku atakujący czekają na logowanie się do banku. W czasie logowania pozyskiwana jest nazwa użytkownika i hasło. Następnie wyświetlany jest komunikat informujący o konieczności instalacji "Trusteer Rapport", programu który ma chronić nasz telefon i podnieś poziom jego bezpieczeństwo.

A tak naprawdę instalujemy złośliwe oprogramowanie pozwalające na przekierowanie SMS-ów z kodami wysyłanymi przez bank na telefon przestępcy.
Mając użytkownika z hasłem oraz możliwość przekierowania kodu SMS wysłanego z banku na swój telefon przestępcy wykonują transakcję.

Po wakacjach ...

Niestety wakacje się skończyły i trzeba wrócić do prac ;(

Co ciekawego działo się w tym czasie? 

Pokazały się trzy ciekawe tematy, dotyczące bezpieczeństw. Oczywiście patrze na nie pod kontem klienta bankowości elektronicznej. To do dzieła!

Kopia karty SIM

Temat kopiowania karty SIM nie jest nowy i wydaje się raczej unikatowy ale...

Jeżeli karta jest wydawana przez dostawcę telefonii komórkowej na dodatek bez mocnego uwierzytelnienia? Problem mamy dla klientów banków, które stosują kody autoryzacyjne przesyłane za pomocą  SMS-a. Jeżeli po zarażeniu komputera złośliwym oprogramowaniem atakujący przejmuje hasło i użytkownika do bankowości a pozyskane tam dane osobowe są wystarczające do uwierzytelnienia się u dostawcy telefonii w celu pozyskania nowej karty SIM to mamy problem!

Nowe usługi dostawcy telefonii komórkowej

Tu mam problem z usługą, którą zaproponował jeden z dostawców telefonii! Usługa pozwalała po zalogowaniu się do strony dostawcy na oglądanie SMS-ów! Problem polegał na tym że za pomocą złośliwego oprogramowania zainstalowanego na komputerze za pomocą keyloggera pozyskujemy wszystkie dane hasła i nazwy użytkowników do bankowości oraz do strony dostawcy telefonii. Wystarczy zalogować się do banku wykonać transakcje następnie zalogować się na stronę dostawcy telefonii by pozyskać kod do transakcji. Na szczęście wycofano się z tej usługi!   

Problem z ruterami Micro Tik

Jeżeli jesteś właścicielem lub korzystasz z rutera Łotewskiej firmy Micro Tik sprawdź czy jest on dobrze zabezpieczony. Sprawdź czy ktoś na nim nie dokonał zmian. Ostatnio zaobserwowano przejmowanie tych ruterów najprawdopodobniej jest to próba przygotowywania sieci botnet!?

Niestety zauważono to nie tylko u indywidualnych użytkowników ale również w firmach komputerowych świadczących usługi informatyczne!!!

Tinba

Wstęp

Tinba to kolejny z listy Trojanów atakujących polskich klientów korzystających z bankowości internetowej. Tinba swą nazwę zawdzięcza skrótowi z pełnej nazwy Tiny Banker. 
Po raz pierwszy zaobserwowano infekcję komputerów w Turcji. Obecnie według zespołu bezpieczeństwa IBM Trusteer około 45% infekcji ma miejsce w Polsce.

Jak dochodzi do zarażenia?

Wspominałem już że obecnie 90% zarażeń jest realizowana z wykorzystaniem poczty elektronicznej. Tym razem maile przychodzą z „Poczty Polskiej” lub jako informacja o zaległych umowach. Poniżej przykład takiego maila po angielsku i po polsku. 

Do maila załączony jest plik wordowy z makrem. Uruchomienie makra powoduje pobranie i zainstalowanie złośliwego oprogramowania na naszym komputerze. 

Jak wykryć Trojana Tinba?

Obecnie mamy co najmniej dwie wersje Tinby. Pierwsza instaluje się w katalogu:

C:\Users\<uzytkownik>\AppData\Roaming\MsDtc\dwmc.exe, data.db, setc.db  

Druga wersja jak na powyższym zrzucie ekranu:
 

C:\Users\<uzytkownik>\AppData\Roaming\<losowa nazwa>\bin.exe, web.dat

Co Trojan robi? 

Trojan stosuje rożne technika ataku od socjotechnik próbujących nas przekonać byśmy sami wykonali jakieś działanie pozwalające przestępcom pozyskać nasze środki finansowe po proste modyfikowanie rachunków beneficjenta przed wysłaniem płatności do banku.