Evolutia malware-ului in luna aprilie: exploatarea in masa a computerelor cu sistem Apple Mac OS X

Kaspersky Lab a publicat raportul incidentelor informatice ale lunii aprilie, cel mai important eveniment fiind marcat de apariţia botnet-ului Flashfake, o reţea formată din 700.000 de computere-zombie cu sistem de operare Mac OS X. De asemenea, un alt incident al lunii trecute este marcat de două campanii de spam, care utilizau Blackhole, un tip de exploit foarte periculos.

 În aprilie, 700.000 de computere cu Mac OS X din întreaga lume au fost infectate cu troianul Flashfake, devenind componente ale botnet-ului cu acelaşi nume. Infractorii cibernetici au folosit aceste computere pentru diferite operaţiuni ilegale, una dintre acestea fiind generarea de rezultate false în motoarele de căutare. Experţii Kaspersky Lab au publicat o analiză detaliată a modalităţii în care Flashfake a atacat computerele utilizatorilor, dezvăluind principalele surse de răspândire a infecţiei – blog-uri WordPress compromise la finalul lunii februarie 2012 şi începutul lunii martie. Aproximativ 85% dintre blog-urile infectate erau localizate în SUA.

Evoluţia metodelor de atac folosite de infractorii cibernetici a reprezentat unul dintre punctele cheie ale acestei campanii malware. Aceştia nu s-au mai bazat doar pe metodele de inginerie socială, ci au exploatat vulnerabilităţi în Java, accelerând astfel procesul de exploatare în masă a sistemelor Mac OS X.

Utilizarea Blackhole în campaniile de spam

 Luna trecută, Kaspersky Lab a raportat două campanii de spam, care foloseau kit-ul de exploit Blackhole pentru a instala malware. Prima dintre ele s-a desfăşurat pe Twitter, unde peste 500 de conturi au fost compromise, prin accesarea de link-uri ce redirecţionau utilizatorii către site-uri infectate cu Blackhole. Toate aceste pagini web instalau scareware (software periculos, care are rolul de a speria utilizatorul prin mesaje şi notificări despre starea sistemului de operare) pe computere, sub forma unor notificări venite de la programe antivirus false, îndemnând utilizatorul să-şi scaneze sistemul, pentru a îndepărta o presupusă infecţie.

A doua campanie de spam a fost una de phishing pe e-mail, care a început la finalul lunii martie, când mai multe persoane din Statele Unite ale Americii au primit mesaje false din partea US Airways. Infractorii cibernetici au trimis e-mail-urile de phishing într-o încercare de a păcăli utilizatorii să acceseze link-uri care ofereau „detalii despre rezervările realizate online”, ce includeau opţiuni de check-in pentru zboruri. Dacă aceştia cădeau în capcană, erau apoi direcţionaţi către un site fals, care conţinea kit-ul de exploit Blackhole şi răspândea malware bancar. Acesta din urmă se instala pe computerele victimelor şi fura datele de online banking. Toate aceste mesaje spam au fost trimise în cantităţi masive, infractorii cibernetici anticipând faptul că anumite persoane au bilete rezervate la US Airways, crescând astfel gradul de probabilitate ca acestea să acceseze acel link.

Malware mobil

 La începutul lunii aprilie, un nou tip de malware pentru Android a fost descoperit în Japonia. Aproximativ 30 de aplicaţii periculoase au fost disponibile pe Google Play şi cel puţin 70.000 de utilizatori au descărcat una dintre ele. Acest tip de malware este capabil să se conecteze la un server extern şi să descarce un fişier video în format MP4. De asemenea, poate fura informaţii confidenţiale de pe mobil, inclusiv lista numelor din agenda telefonică, adresele de e-mail şi numerele de telefon, pe care apoi le încarcă pe server. Kaspersky Mobile Security identifică această nouă ameninţare sub numele de Trojan.AndroidOS.FakeTimer.

Malware-ul mobil controlat prin SMS devine din ce în ce mai popular, un exemplu recent fiind backdoor-ul TigerBot. Imediat ce infectează dispozitivul mobil, acesta se ascunde, fără a da niciun indiciu despre existenţa lui. TigerBot poate primi comenzi să înregistreze convorbiri telefonice, să fure coordonate GPS, să trimită SMS-uri şi să schimbe setările de reţea. Toate acestea pot duce la scurgeri masive de informaţii pentru utilizatorii care au telefonul mobil infectat. La momentul actual nu există dovezi că TigerBot a fost sau este prezent în Google Play, dar utilizatorii sunt sfătuiţi să fie foarte atenţi atunci când instalează aplicaţii din orice sursă. Kaspersky Mobile Security identifică această ameninţare ca Backdoor.AndroidOS.TigerBot.

Varianta completă a raportului privind evoluţia malware-ului în luna aprilie poate fi accesată aici:

http://www.securelist.com/en/analysis/204792228/Monthly_Malware_Statistics_April_2012

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply