Malware zagnieżdżone jest na stronie internetowej przypominającej serwis Office 365. Po przejściu na witrynę w oknie przeglądarki wyskakuje powiadomienie o nowej aktualizacji dla przeglądarki internetowej. Cyberprzestępcy przygotowali różne warianty powiadomienia, w zależności od tego z jakiej aplikacji korzysta ofiara.

https://get-office365[.]live/ -> https://get-office365[.]live/files/upd365_58v01.exe (fd97342e1968aed9d8f50468d3b7b7868981d9d360b2f049b6706e72d8184e3f – TrickBot looks)
Sectigo cert for the domain, DigiCert cert for payload (see thread: https://t.co/4bfybAGQaO)…
cc @VK_Intel pic.twitter.com/moxdgx9Vdp

— MalwareHunterTeam (@malwrhunterteam) 17 lipca 2019

Komunikat z wielkim napisem Chrome Update Center lub Firefox Update Center z miejsca wzbudzić podejrzenia wśród bardziej doświadczonych użytkowników komputerów. Mniej zaawansowane osoby mogą jednak kliknąć w całkiem niepozornie i prawdziwie wyglądający baner.

Od razu po kliknięciu przycisku “Update” w systemie instalowany jest trojan TrickBot. Ten rozpoczyna wyszukiwanie haseł zmagazynowanych na komputerze, historii przeglądania i danych autouzupełniania. Wszystkie skradzione informacje są wysyłane na serwer zewnętrzny. 

TrickBot jest niezwykle trudny do ręcznego wykrycia, gdyż kamufluje się jako proces systemowy. Większość dobrych antywirusów powinna sobie jednak z nim poradzić.

Źródło: MalwareHunterTeam, Instalki.pl

Za taką pomoc liczyli sobie oczywiście duże pieniądze. Pięcioletnie subskrypcja kosztowała klientów 379 dolarów. W jej ramach firma świadczyła ochronę przed malware.

To jednak nie koniec przedsiębiorczości iYogi. Jak podaje Softpedia, pracownicy sprzedawali klientom darmową aktualizację do Windows 10 za 80 dolarów. Ich rola polegała wyłącznie na włączeniu procesu instalacji.

Przedstawiciele „pomocy technicznej” tłumaczyli swoim klientom, że aktualizacja do Windows 10 jest wymagana, by utrzymać odpowiednio wysoki poziom bezpieczeństwa systemu. Straszyli infekcją komputera, by przekonać nieobeznanych z tematem użytkowników do zapłacenia za aktualizację.

Firma została już oczywiście pozwana za nielegalne działania. Microsoft w przeciągu ostatnich 18 miesięcy otrzymał ponad 180 tysięcy rozmów telefonicznych, w których klienci informowali o fałszywej obsłudze technicznej. Proceder ten jest zatem ogromny.

Źródło: Instalki

Wczoraj Microsoft po raz 14 wydał raport z badań bezpieczeństwa, w którym wydawca oprogramowania dostarcza informacji o stanie zagrożeń internetowych i PC w oparciu o badanie “ponad miliarda systemów w ponad 100 krajach.” Interesującą częścią nowego raportu są badania, z których wynika, iż robaki sieciowe tracą główną rolę wśród zagrożeń – na korzyść malware, które rozprzestrzenia się poprzez zainfekowane witryny. W tej chwili według ekspertów bezpieczeństwa, stanowi to największy problem sieci.

W poście na blogu bezpieczeństwa, specjaliści Microsoftu zauważają, że robaki sieciowe, takie jak Win32/Conficker stanowiły kiedyś najpoważniejsze zagrożenie Internetu. Obecnie jednak na większej liczbie komputerów znaleziono JS/IframeRef niż Win32/Conficker.

IframeRef wykryto prawie 3,3 mln razy w 4 kwartale 2012 roku. JS/IframeRef jest szkodliwym fragmentem kodu JavaScript, który jest przyczepiany na zainfekowanych stronach internetowych. Celem skryptu jest przekierowanie przeglądarki do innych stron, które próbują ściągnąć złośliwe oprogramowanie na komputer, często wykorzystując niezałatane luki w oprogramowaniu.

Blog dodaje, że w drugiej połowie 2012 roku, siedem z 10 największych zagrożeń dla bezpieczeństwa komputerów PC dla klientów korporacyjnych dostarcza się za pośrednictwem zainfekowanych stron internetowych. Blog radzi m.in. stałe przeprowadzanie aktualizacji oraz ograniczanie dostępu do niektórych stron internetowych dla swoich pracowników.

Źródło: Neowin

Badania przeprowadzane były na ponad 40 mln stron od sierpnia 2011 do lutego 2013 roku. Testowane były również wyszukiwarki Faroo, Teoma i Baidu. Pełny raport z przeprowadzonych badań można przeczytać pod tym adresem.

Źródło: AV-Test

W raporcie wskazano również, że ataki celują przede wszystkim w błędy użytkowników niż luki w systemie. Ludzie, którzy korzystają z dowolnej wersji systemu Windows powinni mieć się na baczności, szczególnie w kontekście ataków socjotechnicznych w rodzaju phishingu. Od takich zagrożeń nie są wolni ani użytkownicy Win95, ani użytkownicy Win8.

W raporcie zwrócono uwagę także na zagrożenia płynące z powszechnego wykorzystania technologii HTML5 w witrynach i aplikacjach: Jesteśmy pewni, że napastnicy skupią swoją uwagę na znalezieniu dziury w HTML5. Pytanie brzmi, jak szybko im się to uda. – napisali specjaliści McAfee.

Źródło: Neowin

Ogłoszenie młodego specjalisty okazało się na tyle poważne, że głos w sprawie zabrał Dave Forstrum, dyrektor Trustworthy Computing z Microsoftu: Microsoft zdaje sobie sprawę z nadchodzącej prezentacji, jednak jej szczegóły nie zostały nam wcześniej zaprezentowane. Jak zawsze, zbadamy wszelkie błędy ujawnione podczas prezentacji, i podejmiemy odpowiednie działania w celu ochrony naszych klientów.

Gawde ma zaledwie 16 lat, a już w wieku siedmiu lat zyskał tytuł Microsoft Certified Application Developer (MCAD) – stając się najmłodszą osobą z certyfikatem. Podczas MalCon w 2011 roku Hindus zaprezentował aplikację malware wykorzystującą rozpoznawanie gestów przez Kinect.

Źródło: Neowin, Mon Windows Phone

“W celu ochrony komputera przed wirusami, kradzieży danych i innego rodzaju złośliwego oprogramowania, Windows Defender jest lepszy niż nic”, powiedział szef Strategii Bezpieczeństwa Bitdefender Catalin Cosoi. “Ale nie jest to wystarczająca ochrona. Większość popularnych programów antywirusowych sprawuje się lepiej. Wniosek jest jasny: używanie komputera bez rozwiązania ochronnego jest bardzo ryzykowne “.

Przykładowy zestaw złośliwego oprogramowania składa się z rodzin złośliwego oprogramowania wykrywanego w ciągu ostatnich sześciu miesięcy przez system raportowania wirusów Real-Time Bitdefender. Oprogramowanie malware, które z powodzeniem obeszło Windows Defender był zdolne do udzielania dostępu do systemu dla backdoora, który odczytuje klawisze, kradnie dane z gier online itp.

Podczas badania bez aktywnego Windows Defender, wyniki były gorsze. Spośród 385 próbek, 234 zadziałały poprawnie. Kolejnych 138 próbek, z różnych powodów nie mogło zostać uruchomione na komputerze, sześć e-zagrożeń uruchomiło się z błędem, a siedem innych uruchomiło się, ale zostały zablokowane przez kontrolę konta użytkownika.

“Nawet jeśli nowy system operacyjny oferuje gruntowną zmianę w zakresie wizualizacji, dzięki wprowadzeniu zaawansowanego interfejsu użytkownika, Windows 8 z aktywnym domyślnym rozwiązaniem antywirusowym zarejestrował alarmujący poziom wykrywania wirusów, podobny do tego rejestrowanego przez system Windows 7” – powiedział główny badacz bezpieczeństwa Bitdefendera Alexandru Balan.

Źródło: Marken Systemy Antywirusowe

Oczywiście, publikując wyniki badań, BitDefender jako wydawca programów antywirusowych próbował udowodnić, że te 15% to czołowe zagrożenia malware, jednak blokując 85% zagrożeń tylko z załączonym Windows Defender, zabezpieczenia Windows 8 okazały się całkiem skuteczne. BitDefender wykorzystał do testów 385 najpopularniejszych próbek złośliwego oprogramowania. 61 spośród nich spowodowało zakażenie systemu.

Według portalu Softpedia, te same testy przeprowadzone w systemie Windows 7, dały w rezultacie 262 przypadki pomyślnego wykonania złośliwego kodu (68%). Powodem tak znacznej różnicy jest brak ulepszonej wersji Defendera w systemie Windows 7. Oczywiście należy zauważyć, że z wyłączonym Defenderem, system Windows 8 jest równie bezbronny jak jego poprzednik. Skuteczny atak na “goły” Win8 nastąpił w przypadku 234 z 385 próbek (60,8%).

Oczywiście, blokada 85% zagrożeń pozostawia dość spory margines dla atakujących, dlatego na Windows 8 nie obejdzie się bez programu antywirusowego. W porównaniu do poprzednika, który ochronił się zaledwie w 32% przypadków, wynik 85% zablokowanych próbek malware należy jednak uznać za sukces Microsoft.

Źródło: Neowin

W pierwszych sześciu miesiącach 2012 roku, malware z rodziny zagrożeń Win32/Keygen, która rozprzestrzenia się za pomocą generatorów kluczy aktywacji oprogramowania, wykryto prawie pięć milionów razy. Dziś Keygen jest numerem jeden na świecie wśród zagrożeń dotyczących konsumentów indywidualnych, spychając na dalsze pozycje inne powszechnie spotykane rodziny zagrożeń jak Pornpop, Blacole, Conficker i FakePAV.

Wykresy kołowe zaprezentowane powyżej pokazują, jak popularnym zagrożeniem był Win32/Keygen w wielu krajach, w tym w Stanach Zjednoczonych. Microsoft podkreśla, że same generatory kluczy nie są pod względem technicznym przykładem szkodliwego oprogramowania, jednak są one często powiązane z malware. Gdzie jest największe występowanie zagrożenia Keygen? Czy kogoś to dziwi?

Źródło: Neowin

Ponadto badacze NSS Labs twierdzą, że przeglądarka IE9 zapobiegła 96,6 procent złośliwego oprogramowania typu click fraud. Dla porównania, w tym teście wynik zaledwie 1,6 procent otrzymała przeglądarka Chrome, natomiast wyniki Firefox i Safari wyniosły poniżej procenta. Zespół naukowców przeprowadził badania między 2 grudnia 2011 a 25 maja 2012.

Specjaliści NSS Labs twierdzą, że wzrost popularności przeglądarki Chrome może prowadzić do większej liczby przypadków zagrożeń typu fałszywe kliknięcia. Stefan Frei, Dyrektor ds. Badań w NSS Labs, stwierdza: “Biorąc pod uwagę znaczenie Chrome i zwiększenie udziału w rynku, możemy przewidzieć wzrosty fałszywych kliknięć, chyba że Google podejmie poważne kroki w celu poprawy ochrony przed tego rodzaju zagrożeniem”.

Źródło: Neowin

“Ewangelista” Microsoftu (jak sam siebie nazywa), Ben Rudolph, postanowił zorganizować nietypową akcję na stronie najpopularniejszego na świecie serwisu mikroblogowego – Twitter. Wystarczy napisać krótką wiadomość opisującą problemy ze smartfonami z Androidem, spowodowane złośliwym oprogramowaniem, by wygrać jeden z pięciu smartfonów z Windows Phone. Wszystkie notki powinny zawierać hashtag: #droidrage.

Cała akcja jest popierana oczywiście przez najbardziej zainteresowanego, a więc producenta oprogramowania Windows Phone, Microsoft. Okazuje się bowiem, że “ćwierknięcie” Rudolpha zostało przekazane dalej w świat także za pośrednictwem oficjalnego konta Microsoftu na Twitterze.

Spekuluje się, że oferowane przez Microsoft smartfony, to najnowsze Nokie Lumia 500.

Źródło: Dailymail

Robak rozprzestrzenia się dokonując logowania do serwerów Remote Desktop za pomocą słabych haseł, takich jak “abc123”. Wszystkie wersje systemu Windows, począwszy od XP, korzystają z RDP, które wymaga nazwy użytkownika i hasła do logowania do zdalnego systemu.

Komputer zainfekowany przez Morto skanuje sieć lokalną w poszukiwaniu kolejnych maszyn z RDP i próbuje się włamać wykorzystując popularne hasła. Gdy któreś z haseł zadziała, robak instaluje dodatkowe elementy malware na serwerze i niszczy jego oprogramowanie. Skanowanie w poszukiwaniu potencjalnych celów generuje znaczny ruch na porcie TCP 3389, co zwróciło uwagę administratorów sieci.

Jak wynika z opinii zawartej na blogu Microsoft, wykorzystujący hasła typu “123456” lub “xyz123” worm Morto może być narzędziem hakerów do walki z ich przeciwnikami. Został utworzony po to, by sparaliżować ruch ofiary przez atak DoS (denial of service).

Źródło: ComputerWorld

Microsoft twierdzi, że od ostatniego badania NSS Labs (październik 2010 r.) ,”średni czas potrzebny filtrowi SmartScreen do zablokowania szkodliwego oprogramowania zmniejszył się o 28%, a w przypadku użycia Application Reputation – aż o 85%” Czy takie liczby są w stanie przekonać osoby, które dawno temu zraziły się do IE?

Źródło: Neowin

Jak napisano w oświadczeniu na blogu, Microsoft Security Essentials, darmowe rozwiązanie dla systemów operacyjnych Windows XP, Windows Vista i Windows 7, rozwija się w szybkim tempie, na bieżąco ze zmianami w krajobrazie zagrożeń.

Nowy silnik ma się ukazać już jutro, 20 lipca, w ramach comiesięcznej aktualizacji technologii MSE oraz innych rozwiązań dotyczących bezpieczeństwa. Jak podano w komunikacie dla użytkowników, wydanie nowej wersji silnika (1.1.710X.0) dotyczy produktów: Microsoft Security Essentials, Forefront Client Security, Forefront Endpoint Protection, Windows Intune Endpoint Protection.

Źródło: SoftPedia, MS TechNet Blogs

Użytkownicy pakietu Microsoft Office powinni pamiętać o instalowaniu aktualizacji. Szczegóły dotyczące aktualizacji MS10-087, o której mowa w tym artykule, można znaleźć na stronie Microsoft.

Źródło: CNET, Microsoft