Rodina bankovního malwaru se nám neutěšeně rozrůstá

Rodina bankovního malwaru se nám poměrně rychle rozrůstá, v posledních týdnech se objevilo i několik zcela nových variant a mohli jsme zaznamenat i různé formy šíření.

Do budoucna musíme počítat s tím, že se bankovní malware může i u nás začít šířit v e-mailech, které budou obsahovat jako přílohy soubory, které nebudou v sandboxu vykazovat žádné podezřelé chování a v rámci dané phishingové kampaně nebudou mít stejné charakteristiky, takže nejrůznější řešení sloužící k ochraně před pokročilým malwarem nás neochrání.

Na trhu se lze setkat s poměrně slušnou nabídkou řešení v podobě HW a SW appliance, přes které prochází veškerý síťový provoz, a jež uživatele, které jsou za nimi, chrání. Byť jsou tato řešení nazývaná různě, fungují v zásadě všechna stejně.

V tomto článku je budeme označovat jako Advanced Malware Protection, zkr. AMP. Tato řešení analyzují odkud e-mail nebo webový provoz přichází, jaký je jeho obsah, porovnávají ho s ostatním provozem, a kromě toho přenášené soubory spouští v sandboxu a sledují jejich chování.

AMP dokážou odhalit i zcela nový malware, který není detekovatelný pomocí antiviru na koncových stanicích, a hlavně zablokují jej ještě dříve, než se vůbec dostane k uživateli. Pokud toto řešení používá např. váš poskytovatel internetu, neměl by se k vám např. dostat tzv. pohledávkový SPAM, který se šíří v ČR v posledních měsících, protože ten vykazuje stejné charakteristiky a lze ho snadno blokovat.

Je však třeba si uvědomit, jaké jsou možnosti těchto řešení, jak funguje poslední malware a především, jak pracují útočníci. V okamžiku, kdy přes toto zařízení prochází obrovské množství e-mailů, které vykazují stejné charakteristiky, je možné je blokovat. Ovšem co se stane v okamžiku, kdy ony charakteristiky již nebudou stejné?

Co kdyby se najednou např. pohledávkový SPAM začal šířit v různých textových mutacích, ad absurdum, kdyby každý příjemce obdržel e-mail s jiným sdělením a s jinou přílohou, bylo by možné i v takovém případě probíhající phishingovou kampaň detekovat a dané e-maily včas označovat jako SPAM?

Obávám se, že by to mohl být problém, protože doposud to společnostem, které tato řešení nabízí, trvalo v některých případech i několik dnů, což je dost dlouhá doba. Obzvlášť když si uvědomíme, že útočníkovi stačí k provedení útoku několik málo hodin. Hlášení o proběhlých phishingových kampaních, útocích na klienty bank ve světě a zachycených vzorcích, jasně ukazuje, jak se malware vyvíjí.

Už dnes se můžeme setkat s malwarem jako je Geodo, který poté, co nakazí počítač oběti, stáhne z C&C serveru zcizené přihlašovací údaje k e-mailovým účtům (údajně tam je asi i 2000 českých) a následně pod identitou oprávněného uživatele rozešle 20 e-mailů, přičemž každý e-mail obsahuje jinou adresu odesílatele, předmět i tělo. Kromě toho tento malware umí i injektáž webových stránek.

Pak tu máme Upatre, který vzhledem k tomu, že jsou použity náhodné hlavičky, a komprimovaný spustitelný soubor je ještě navíc šifrován jednoduchým klíčem pomocí funkce XOR, tak je výsledný HASH tohoto souboru pokaždé jiný. Netřeba snad dodávat, že onen klíč může být distribuován jak v daném souboru, tak i v textu e-mailu a k jeho skrytí může být použita lingvistická steganografie.

Ta ostatně může být použita i pro odeslání zachycených přihlašovacích údajů a dalších informací, které mohou být dočasně uloženy v zašifrované podobě do registrů Windows, jako to dělá Emotet, a jejichž obsah nikdo nekontroluje.

Za zmínku také stojí šíření malwaru přes zástupce ve formě přílohy, která obsahovala maskovaný exe soubor, tvářící se jako PDF, a několika zástupců, kdy poklepáním na kteréhokoliv z nich došlo k volání cmd.exe s přepínačem C, kterému byl jako parametr předán daný PDF soubor.

Stejně tak se může jednat o klasické Wordovské dokumenty s makry spouštěnými při otevření souboru. A když jsou makra zakázaná, tak si útočník o jejich povolení řekne, a že to funguje, dokazuje i nedávno cílený phishing, který je zdokumentován pod názvem „A string of paerls“.

Závěr: Zdá se, že jediným řešením, jak se před bankovním malwarem skutečně účinně bránit a zajistit určitou úroveň bezpečnosti, je zavedení FDS a autorizace transakce jiným kanálem.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Rodina bankovního malwaru se nám neutěšeně rozrůstá” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: