Evolutia malware-ului in luna februarie: O luna „de cosmar” pentru Google

Posted by Zoltán Márton on

     Kaspersky Lab a publicat raportul privind cele mai importante incidente malware ale lunii februarie, atragand atentia asupra analizei troianului Duqu, dar si a atacului care tintea utilizatorii serviciului Google Wallet. De asemenea, botnet-ul RootSmart, format din telefoane mobile inteligente, este compus dintr-un numar cuprins intre 10.000 si 30.000 de terminale infectate.

In urma analizei asupra organizatiilor si a tiparului datelor vizate de troianul Duqu, expertii Kaspersky Lab au ajuns la concluzia ca atacatorii cautau mai mult informatii despre sistemele de administrare a productiei, aflate in diferite sectoare industriale din Iran, precum si informatii despre relatiile comerciale ale organizatiilor din acea tara. De asemenea, pe langa utilizarea unui anumit tip de platforma standardizata, autorii troianului Duqu au folosit propria infrastructura, dezvoltata intr-un limbaj de programare necunoscut.

O luna „de cosmar” pentru Google

Luna februarie a adus Google in atentia specialistilor in securitate IT din doua motive. Primul a fost legat de valul de infectii descoperit de Kaspersky Lab, care presupunea injectarea pe pagini web de cod periculos, deghizat ca fiind cod Google Analytics. Vizitatorii website-urilor infectate erau purtati printr-un numar de redirectionari, urmand ca, la final, sa ajunga pe server-ul care gazduia malware-ul respectiv (BlackHole Exploit Kit). Daca exploit-ul era lansat cu succes, atunci computerul se infecta la randul sau.

Al doilea motiv a fost dat de identificarea metodelor de hacking asupra Google Wallet, sistemul e-payment care permite utilizatorilor sa plateasca bunuri si servicii, folosind telefoanele cu sistem de operare Android si functie Near Field Communication (NFC). Prima metoda presupunea obtinerea de acces root la telefon, care apoi permitea atacatorului sa ghiceasca usor codul PIN al aplicatiei Google Wallet, compus din doar patru cifre. A doua metoda, idenficata imediat dupa aceasta, insemna exploatarea unei vulnerabilitati din aplicatie, care oferea acces la contul Google Wallet de pe un telefon furat sau pierdut. Aceasta noua cale de acces nu necesita „spargerea” sistemului pentru acces la root. Intr-un final, vulnerabilitatea a fost reparata de catre Google, dar, la momentul actual, nu exista informatii referitoare la rezolvarea primei metode de atac.

Amenintarile mobile

Autorii de virusi din China au reusit sa creeze RootSmart, un botnet format din telefoane mobile, care in prezent este compus dintr-un numar cuprins intre 10.000 si 30.000 de terminale active infectate. Toate telefoanele infectate cu RootSmart primesc si executa comenzi de la distana, prin intermediul unui server de comanda si control (C&C).

„Cei care controleaza botnet-ul pot seta frecventa si perioada la care telefoanele infectate vor incepe sa trimita SMS-uril la numere cu suprataxa, precum si respectivele numere scurte”, explica Denis Maslennikov, Senior Malware Analyst la Kaspersky Lab. „Spre deosebire de troienii SMS, aceasta abordare permite infractorilor cibernetici sa obtina un flux financiar stabil, pe o perioada mai lunga de timp”, completeaza acesta.

Evenimentele recente, care au in centru malware-ul mobil, indica faptul ca in 2012, botnet-urile formate din telefoane mobile vor deveni una dintre principalele probleme ale utilizatorilor de smartphone-uri, dar si a companiilor antivirus.

Atacuri asupra retelelor corporate

Hacktivism-ul a continuat si in luna februarie, mai multi membri Anonymous tintind numeroase resurse web ce apartin unor institutii financiare sau politice. Printre incidentele majore se numara cele care au in centru companiile americane Combined Systems Inc. (CSI) si Sur-Tec Inc. Motivul pentru care acestea au fost atacate este alimentat de informatii conform carora cele doua companii au furnizat mai multor tari sisteme de supraveghere, pentru monitorizarea cetatenilor, alaturi de gaze lacrimogene si alte instrumente folosite pentru oprirea protestelor.

Atacurile DDoS nu au lipsit, iar printre site-urile afectate s-au numarat NASDAQ, BATS, Chicago Board Options Exchange (CBOE) si bursa din Miami. De asemenea, in Rusia, inaintea alegerilor prezidentiale, atacurile DDoS au fost utilizate ca instrumente de campanie politica. Site-uri apartinand publicatiilor, grupurilor din opozitie si agentiilor guvernamentale au fost subiectul unor atacuri motivate politic.

Bucuresti, 14 martie 2012 – Kaspersky Lab Romania

Leave a comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.