Evolutia malware-ului in luna februarie: „disectia” lui Duqu, incidentele Google Wallet si botnet mobil

Kaspersky Lab a publicat raportul privind cele mai importante incidente malware ale lunii februarie, atrăgând atenţia asupra analizei troianului Duqu, dar şi a atacului care ţintea utilizatorii serviciului Google Wallet. De asemenea, botnet-ul RootSmart, format din telefoane mobile inteligente, este compus dintr-un număr cuprins între 10.000 şi 30.000 de terminale infectate.

În urma analizei asupra organizaţiilor şi a tiparului datelor vizate de troianul Duqu, experţii Kaspersky Lab au ajuns la concluzia că atacatorii căutau mai mult informaţii despre sistemele de administrare a producţiei, aflate în diferite sectoare industriale din Iran, precum şi informaţii despre relaţiile comerciale ale organizaţiilor din acea ţară. De asemenea, pe lângă utilizarea unui anumit tip de platformă standardizată, autorii troianului Duqu au folosit propria infrastructură, dezvoltată într-un limbaj de programare necunoscut.

O lună „de coşmar” pentru Google

Luna februarie a adus Google în atenţia specialiştilor în securitate IT din două motive. Primul a fost legat de valul de infecţii descoperit de Kaspersky Lab, care presupunea injectarea pe pagini web de cod periculos, deghizat ca fiind cod Google Analytics. Vizitatorii website-urilor infectate erau purtaţi printr-un număr de redirecţionări, urmând ca, la final, să ajungă pe server-ul care găzduia malware-ul respectiv (BlackHole Exploit Kit). Dacă exploit-ul era lansat cu succes, atunci computerul se infecta la rândul său.

Al doilea motiv a fost dat de identificarea metodelor de hacking asupra Google Wallet, sistemul e-payment care permite utilizatorilor să plătească bunuri şi servicii, folosind telefoanele cu sistem de operare Android şi funcţie Near Field Communication (NFC). Prima metodă presupunea obţinerea de acces root la telefon, care apoi permitea atacatorului să ghicească uşor codul PIN al aplicaţiei Google Wallet, compus din doar patru cifre. A doua metodă, idenficată imediat după aceasta, însemna exploatarea unei vulnerabilităţi din aplicaţie, care oferea acces la contul Google Wallet de pe un telefon furat sau pierdut. Această nouă cale de acces nu necesita „spargerea” sistemului pentru acces la root. Într-un final, vulnerabilitatea a fost reparată de către Google, dar, la momentul actual, nu există informaţii referitoare la rezolvarea primei metode de atac.

Ameninţările mobile

Autorii de viruşi din China au reuşit să creeze RootSmart, un botnet format din telefoane mobile, care în prezent este compus dintr-un număr cuprins între 10.000 şi 30.000 de terminale active infectate. Toate telefoanele infectate cu RootSmart primesc şi execută comenzi de la distanţă, prin intermediul unui server de comandă şi control (C&C).

„Cei care controlează botnet-ul pot seta frecvenţa şi perioada la care telefoanele infectate vor începe să trimită SMS-uril la numere cu suprataxă, precum şi respectivele numere scurte”, explică Denis Maslennikov, Senior Malware Analyst la Kaspersky Lab. „Spre deosebire de troienii SMS, această abordare permite infractorilor cibernetici să obţină un flux financiar stabil, pe o perioadă mai lungă de timp”, completează acesta.

Evenimentele recente, care au în centru malware-ul mobil, indică faptul că în 2012, botnet-urile formate din telefoane mobile vor deveni una dintre principalele probleme ale utilizatorilor de smartphone-uri, dar şi a companiilor antivirus.

Atacuri asupra reţelelor corporate

Hacktivism-ul a continuat şi în luna februarie, mai mulţi membri Anonymous ţintind numeroase resurse web ce aparţin unor instituţii financiare sau politice. Printre incidentele majore se numără cele care au în centru companiile americane Combined Systems Inc. (CSI) şi Sur-Tec Inc. Motivul pentru care acestea au fost atacate este alimentat de informaţii conform cărora cele două companii au furnizat mai multor ţări sisteme de supraveghere, pentru monitorizarea cetăţenilor, alături de gaze lacrimogene şi alte instrumente folosite pentru oprirea protestelor.

Atacurile DDoS nu au lipsit, iar printre site-urile afectate s-au numărat NASDAQ, BATS, Chicago Board Options Exchange (CBOE) şi bursa din Miami. De asemenea, în Rusia, înaintea alegerilor prezidenţiale, atacurile DDoS au fost utilizate ca instrumente de campanie politică. Site-uri aparţinând publicaţiilor, grupurilor din opoziţie şi agenţiilor guvernamentale au fost subiectul unor atacuri motivate politic.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply