Aktuální trend ve vývoji malware

Malware se v zásadě šíří e-mailem, přes nakažené aplikace na nejrůznějších úložištích a v neposlední řadě pak přes web, kdy se jedná o tzv. drive by download malware, který nevyžaduje žádnou interaktivitu ze strany uživatele.

Právě posledně jmenovaný vektor útoku doznal v posledních měsících jisté změny.

Štítky:
celý článek

Dochází k masivnímu zneužívání DDE protokolu k šíření malware

Nedávno byly publikovány informace ohledně možnosti zneužití protokolu DDE (Dynamic Data Exchange), který je přítomný v produktech MS Office již léta, a jehož exploitace je velice snadná.

V zásadě stačí do jakéhokoliv souboru MS Office vložit jeden řádek kódu a z něj zavolat spuštění externího skriptu, kterým může být i škodlivý kód. Např. co myslíte, že udělá v MS Excel tento vzorec: =cmd|’/c echo dir>malware.bat & malware.bat & pause‘!A0

Štítky:
celý článek

Byla napadena více jak stovka bank a finančních institucí po celém světě – 2. díl

Nyní přišla druhá fáze útoku, která navazuje na první fázi z února, a která vyvrcholila tím, že se útočníkům podařilo z několika bankomatů během jedné jediné noci vybrat 800 000 USD.

Na bankovních počítačích, z kterých byl příkaz k vydání hotovosti odeslán, se žádný malware nenašel a jedinou stopou tak byl log, ve kterém se nacházely jen dva záznamy: „Take the Money Bitch!“ a „Dispense Success.“

Štítky: , ,
celý článek

Nový bezsouborový malware DNSmessenger

Objevil se nový bezsouborový malware, který jako C&C server využívá de facto DNS server, se kterým komunikuje jak jinak než prostřednictvím DNS dotazů, což činí detekci tohoto malware poměrně obtížnou.

Příkazy resp. kód přicházející ve formě standardních DNS odpovědí jsou pak vykonávány v PowerShellu jeho prostým voláním, takže nejsou zapisovány nikam na disk.

Štítky:
celý článek

Byla napadena více jak stovka bank a finančních institucí po celém světě

Společnost Kaspersky přišla se zprávou, že objevila nový bezsouborový malware, který již napadl více jak stovku bank a finančních institucí po celém světě s cílem ovládnout počítače, z kterých se řídí ATM bankomaty.

Poprvé jsme se s tímto typem malware mohli setkat v roce 2014, později pak 2015 a rovněž i v roce 2016.

Štítky:
celý článek

Reverzní engineering jednoho silně obfuskovaného makroviru #2

malwareTak jsem měl možnost analyzovat další zajímavý makrovirus, který se šířil ve wordovém dokumentu.

Wordový dokument obsahoval více jak dvě stě stránek napsaných bílým písmem na bílém pozadí, takže text nebyl vidět. Ale ani poté, co jsem celý dokument označil a změnil barvu písma na výchozí černou, jsem z něho nebyl příliš moudrý. Na první pohled ale bylo více jak zřejmé, že se jedná o hexadecimální kód.

Štítky:
celý článek

Reverzní engineering jednoho silně obfuskovaného makroviru

malwareV poslední době se ke mně opět dostalo několik spear phishing e-mailů s přílohami, které obsahovaly dokumenty se silně obfuskovanými makry.

Netřeba snad dodávat, že vzhledem k tomu, že v nich byly použity některé méně známé obfuskační techniky, tak v nich žádný antivirus škodlivý kód nedetekoval.

Štítky:
celý článek

Na obzoru se objevují nové hrozby, třeste se! – 6. díl

Tento silně polymorfní a persistentní drive-by download malware zneužívá zero-day zranitelností a nezbavíte se ho ani zformátováním disku a reinstalací systému.

Činnost, kterou pak provádí, se odvíjí od toho, jaké instrukce obdrží z C&C serveru, a v jakém prostředí se nachází.

Štítky: , ,
celý článek

Znáte základní vektory útoku?

bvoaZdrojem infekce bývá nejčastěji e-mail s přílohou, trojanizovaná aplikace, webová stránka se škodlivým kódem, a případně i přenosné paměťové médium s modifikovaným firmwarem nebo s nakaženým souborem.

Přičemž uvedené pořadí jednotlivých vektorů útoku nebylo zvoleno náhodně, naopak poměrně přesně odpovídá i četnosti výskytu těchto útoků.

Štítky:
celý článek

Ne, tenhle obrázek opravdu nemůže hacknout váš počítač

jokerStegosploit není žádný exploit, který by zneužíval nějakou kritickou zero-day zranitelnost v kódu starající se o zobrazování obrázků v prohlížeči, tak jako tomu bylo v tomto případě, nýbrž je to jen obfuskovaný javascript ukrytý v obrázku pomocí steganografie a zneužívající skutečnosti, že obsah souboru lze interpretovat jako skript stejně jako obrázek.

Štítky: ,
celý článek