Kolejna ciekawa mutacja ZeuS-a

Data: 4 grudnia 2011 | Autor: | Brak komentarzy »

FBI podjęło właśnie szeroko zakrojoną akcję informacyjną dla amatorów świątecznych zakupów dokonywanych przez internet. Źródłem jej powstania jest kolejna mutacja robaka ZeuS o wdzięcznej nazwie “Gameover”. Sam Zeus wart jest oddzielnej notatki w serwisie,natomiast dla celów niniejszego postu wystarczy stwierdzić, że jest to odmiana malware wyspecjalizowana w kradzieży danych uwierzytelniających głównie do instytucji finansowych, ale także do sklepów internetowych i innych serwisów.

Pierwotnie ZeuS wykorzystywał tzw. ataki man-in-the-middle, co w dużym uproszczeniu polegało na tym, iż potrafił on wejść w pozornie bezpieczne połączenie między komputerem klienta a bankiem i np. podmieniać w locie numery przelewów. Robak ten jest ciągle udoskonalany i modyfikowany (jego kod źródłowy jest już dostępny publicznie), przez co stanowi on nadal wielkie zagrożenie dla instytucji finansowych. Dzięki odpowiednim chwytom socjologicznym, pewne wersje ZeuS-a potrafiły także przekonać nieświadomych użytkowników do zainstalowania mutacji robaka na telefonie komórkowym, dzięki czemu przestępcy mogli przechwytywać także kody autoryzacyjne dla transakcji. Osoby spragnione szczegółów odsyłam do analizy tego robaka sporządzonej przez ekspertów z CERT Polska.

Mutacja Gameover wykorzystuje do rozpowszechniania fałszywe e-maile. Wysyłane są one w imieniu amerykańskiej National Automated Clearing House Association (najbliższym jej odpowiednikiem na naszym gruncie jest Krajowa Izba Rozliczeniowa) i zawierają informację o rzekomym problemie z wykonaniem przelewu, wraz z linkiem, pod którym ten problem można “rozwiązać”. Oczywiście kliknięcie na załączony link zaraża komputer ofiary Gameover’em.

Gameover zostały wyposażony w ciekawą formę maskowania przestępczych transakcji. Kiedy już dane uwierzytelniające  zostaną skradzione, robak, używając sieci komputerów zombie, przeprowadza atak typu DDoS (Distributed Denial of Service) na bank ofiary. FBI podejrzewa, że atak jest sposobem ukrycia nieautoryzowanych przelewów w masie zapytań do serwera banku, dzięki czemu nawet po ustaleniu takiego przelewu jest już zbyt późno na jego anulowanie.

Zdecydowana większość przelewów jest dokonywana na rachunku sklepów z drogą biżuterią i zegarkami, jako zapłata za wcześniejsze zamówienia internetowe. Następnie zamówienia są realizowane poprzez wysyłkę na adresy skrytek pocztowych lub lokali wynajmowanych na fałszywe dane lub też przez odbiór osobisty, którego dokonują wynajęte osoby (tzw. “money mules”). Nawet jeśli transakcję bankową uda się anulować / odwrócić, to sklep w tym momencie wydał już towar i poniósł stratę.

Jakie jest remedium na tego rodzaju ataki? Najprostsze z możliwych” nie otwierać linków / załączników zawartych w korespondencji od instytucji, które zwyczajowo tego rodzaju maili nie wysyłają. Jakkolwiek realizację tego pomysłu poprzez rzekomą komunikację z rodzimego KIR-u wydaje się mało prawdopodobny, to zapewne nie można go wykluczyć.



Skomentuj wpis

Musisz być zalogowany/a, żeby zamieszczać komentarze.