Ewolucja złośliwego oprogramowania I kw. 2014

Przeczytaj także: Ewolucja złośliwego oprogramowania 2013

Spamerzy chętnie stosują socjotechnikę w celu złowienia ofiar. Wykorzystali skok ceny bitcoinów na początku tego kwartału (przed załamaniem się giełdy Mt.Gox), żerując na czysto ludzkim pragnieniu szybkiego wzbogacenia się. Jak wskazywaliśmy w lutym, spamerzy wykorzystywali kilka tematów związanych z bitcoinami. Proponowali, że zdradzą sekret milionera, jak wzbogacić się na inwestowaniu w bitcoiny, oraz wysyłali oferty wzięcia udziału w loterii bitcoin.

Dobre oprogramowanie, które można wykorzystać do złych celów

W lutym, podczas Szczytu Kaspersky Security Analyst Summit 2014 wskazaliśmy, jak niewłaściwa implementacja technologii do ochrony przed kradzieżą stosowanych w oprogramowaniu firmowym popularnych laptopów i niektórych komputerów stacjonarnych może stać się potężną bronią w rękach cyberprzestępców.

Nasze badanie zostało zapoczątkowane przez następujące zdarzenie: jednemu z pracowników Kaspersky Lab wielokrotnie zawiesił się system jednego z jego prywatnych laptopów. Analiza dziennika zdarzeń i zrzutu pamięci wykazała, że awarie spowodowane były niestabilnością modułów o nazwie 'identprv.dll' i 'wceprv.dll' załadowanych w przestrzeni adresowej jednego z procesów hosta dla usług systemu Windows ('svchost.exe'). Moduły te zostały stworzone przez Absolute Software (która jest legalną firmą) i wchodzą w skład oprogramowania Absolute Computrace.

Nasz kolega twierdził, że nie zainstalował tego oprogramowania i w ogóle nie wiedział, że znajduje się w jego laptopie. To trochę nas zdziwiło, ponieważ według dokumentu technicznego Absolute Software instalacja powinna zostać dokonana przez właściciela komputera lub jego serwis IT. Ponadto, o ile większość preinstalowanych programów może zostać trwale usuniętych lub wyłączonych przez właściciela komputera, Computrace został tak stworzony, aby przetrwał profesjonalne czyszczenie systemu, a nawet wymianę dysku twardego. Co więcej, nie mogliśmy potraktować tego zdarzenia jako jednorazowego incydentu, ponieważ zidentyfikowaliśmy podobne ślady działania oprogramowania Computrace na komputerach osobistych należących do niektórych z naszych badaczy oraz na komputerów firmowych. Dlatego też postanowiliśmy przeprowadzić dogłębną analizę.

Kiedy po raz pierwszy przyjrzeliśmy się oprogramowaniu Computrace, błędnie zakładaliśmy, że jest szkodliwe, ponieważ wykorzystuje wiele sztuczek popularnych w obecnym szkodliwym oprogramowaniu: szkodnik ten wykorzystuje techniki inżynierii wstecznej oraz debugowania, wstrzykuje kod do pamięci innych procesów, ustanawia potajemną komunikację, łata pliki systemowe na dysku, szyfruje pliki konfiguracyjne i wrzuca plik wykonywalny systemu Windows bezpośrednio z BIOS-a/oprogramowania firmowego. Dlatego w przeszłości oprogramowanie to było wykrywane jako szkodliwe, mimo że obecnie większość firm antywirusowych umieszcza pliki wykonywalne Computrace na białej liście.

Uważamy, że twórcy Computrace’a mieli dobre intencje. Jednak z naszego badania wynika, że cyberprzestępcy mogą wykorzystać luki w zabezpieczeniach tego oprogramowania, aby użyć je do szkodliwych celów. W naszej opinii, w tak potężne narzędzie powinno być wbudowane mocne uwierzytelnianie i szyfrowanie. Nie znaleźliśmy dowodu na to, że moduły Computrace zostały ukradkowo aktywowane na analizowanych przez nas komputerach. Jednak nie ma wątpliwości, że istnieje wiele komputerów, na których aktywowano agenty Computrace. Uważamy, że to producenci oraz Absolute Software są odpowiedzialni za poinformowanie o tym użytkowników i wyjaśnienie, jak mogą wyłączyć oprogramowanie, jeśli nie chcą go używać. W przeciwnym razie takie pozostawione samym sobie agenty będą wciąż działały niezauważone i będą mogły zostać zdalnie wykorzystane do szkodliwych celów.

Mobilne szkodliwe oprogramowanie

W ostatnim kwartale odsetek zagrożeń, których celem jest Android, przekroczył 99% wszystkich szkodliwych programów. W ciągu ostatnich trzech miesięcy wykryliśmy:

• 1 258 436 pakietów instalacyjnych,
• 110 324 nowych szkodliwych programów dla urządzeń mobilnych,
• 1 182 nowych trojanów bankowości mobilnej.