Kaspersky Lab: szkodliwe programy III 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy II 2012

Przestępcy mogli zainfekować komputery firmy i ukraść certyfikat, który został później wykorzystany do podpisywania szkodliwego oprogramowania. (Funkcję tę wykonuje znany szkodliwy program o nazwie ZeuS – szkodnik ten przeszukuje zainfekowany komputer w celu znalezienia certyfikatów i, jeżeli mu się to uda, wysyła je cyberprzestępcy). To, że w wypadek ten mogły być zamieszane władze lokalne, jest szczególnie złą wiadomością – kto wie, do jakich krytycznych danych cyberprzestępcy ci uzyskali dostęp.

Mediyes przechowuje swój własny sterownik w folderze sterowników systemowych, który następnie wstrzykuje do przeglądarki internetowej szkodliwą bibliotekę DLL. Jeżeli użytkownik wysyła zapytania poprzez wyszukiwarkę Google, Yahoo lub Bing, trojan duplikuje wszystkie zapytania na serwerze cyberprzestępcy. W odpowiedzi serwer podaje odsyłacze z systemu Search123 działającego w modelu pay-per-click. Odsyłacze te są klikane bez wiedzy użytkowników; cyberprzestępcy zarabiają pieniądze na fałszywych kliknięciach.

Szkodliwe rozszerzenie dla Chrome’a

Na początku marca eksperci z Kaspersky Lab wykryli szkodliwe rozszerzenie dla Google Chrome’a, za pomocą którego atakowani byli użytkownicy Facebooka w Brazylii. Nic jednak nie stoi im na przeszkodzie, aby przeprowadzili podobny atak na użytkowników z innych krajów.

Szkodliwe rozszerzenia były rozprzestrzeniane na Facebooku za pośrednictwem odsyłaczy, które wyglądały jakby prowadziły do legalnych aplikacji. W atakach tych wykorzystywano kilka tematów, w tym „Zmień kolor twojego profilu”, „Dowiedz się, kto obejrzał twój profil” oraz „Dowiedz się, jak usunąć wirusa z twojego profilu na Facebooku”. Jeżeli użytkownik zgodził się zainstalować aplikację, został przekierowany do oficjalnego sklepu Google Chrome, w którym szkodliwe rozszerzenie dla Chrome’a ukrywało się pod postacią „Adobe Flash Player”.

Przeciętny użytkownik prawdopodobnie nie rozumie wszystkich szczegółów dotyczących publikowania aplikacji w sklepie Google Chrome Web Store. Użytkownik widzi oficjalną stronę internetową Google’a i nie spodziewa się żadnego zagrożenia. Jednak prawie każdy może wykorzystać ten sklep do wrzucenia swojego rozszerzenia dla Chrome’a – trzeba mieć tylko konto w Google, a Google Chrome Web Store posiada specjalną sekcją dla rozszerzeń „nieoficjalnych”.

Po zainstalowaniu zainfekowanego rozszerzenia na komputerze cyberprzestępcy uzyskali pełny dostęp do konta facebookowego ofiary. W opisywanym incydencie rozszerzenie pobierało szkodliwy plik skryptowy z serwera kontrolowanego przez cyberprzestępców. Gdy ofiara weszła na swoją stronę na Facebooku, skrypt był osadzany w kodzie HTML strony.

Celem skryptu jest zdobycie jak największej liczby kliknięć przycisku “Lubię to” dla wybranych przez cyberprzestępców stron. Wysyła również wiadomość od ofiar, namawiając je do pobrania tego samego szkodliwego rozszerzenia.

Google usunął szkodnika, jak tylko został o nim poinformowany. Jednak przestępcy stworzyli już podobne rozszerzenia i umieścili je w tym samym miejscu – w sklepie Google Chrome Web Store.

Exploit MS12-020 RDP

W marcu Microsoft opublikował łatę, która usuwała krytyczną lukę w usługach terminalowych firmy (znanych również jako zdalny pulpit). Ta szczególnie problematyczna luka należy do kategorii luk “use-after-free” i została zlokalizowana w kodzie, który został wykonany z lokalnymi przywilejami systemowymi.

Jako pierwszy lukę tę wykrył Luigi Auriemma. Stworzony przez niego pakiet sieciowy spowodował załamanie się zdalnego pulpitu (DoS). Ekspert ten przekazał szczegółowe informacje na temat problemu odpowiednim osobom w Microsofcie. Tajemnicą pozostaje, gdzie została dalej skierowana ta informacja, wiemy jednak, że przedostała się do internetu, gdzie zamiast ogólnego opisu firmy Microsoft, potencjalne osoby atakujące otrzymały w prezencie przykład tego, jak można wykorzystać tę lukę w zdalnym desktopie.

Od razu znalazło się wiele osób zainteresowanych znalezieniem działających exploitów, które wykorzystują tę dziurę: niektórzy chcieli exploita w celu przeprowadzania ataków, inni chcieli potwierdzić istnienie exploita i ostrzec przed tym zagrożeniem. Tymczasem niektórzy eksperci ds. bezpieczeństwa zaczęli przygotowywać się na epidemię robaków sieciowych potrafiących wykorzystać tę lukę.