Rodina bankovního malwaru se nám neutěšeně rozrůstá
Rodina bankovního malwaru se nám poměrně rychle rozrůstá, v posledních týdnech se objevilo i několik zcela nových variant a mohli jsme zaznamenat i různé formy šíření.
Do budoucna musíme počítat s tím, že se bankovní malware může i u nás začít šířit v e-mailech, které budou obsahovat jako přílohy soubory, které nebudou v sandboxu vykazovat žádné podezřelé chování a v rámci dané phishingové kampaně nebudou mít stejné charakteristiky, takže nejrůznější řešení sloužící k ochraně před pokročilým malwarem nás neochrání.
Na trhu se lze setkat s poměrně slušnou nabídkou řešení v podobě HW a SW appliance, přes které prochází veškerý síťový provoz, a jež uživatele, které jsou za nimi, chrání. Byť jsou tato řešení nazývaná různě, fungují v zásadě všechna stejně.
V tomto článku je budeme označovat jako Advanced Malware Protection, zkr. AMP. Tato řešení analyzují odkud e-mail nebo webový provoz přichází, jaký je jeho obsah, porovnávají ho s ostatním provozem, a kromě toho přenášené soubory spouští v sandboxu a sledují jejich chování.
AMP dokážou odhalit i zcela nový malware, který není detekovatelný pomocí antiviru na koncových stanicích, a hlavně zablokují jej ještě dříve, než se vůbec dostane k uživateli. Pokud toto řešení používá např. váš poskytovatel internetu, neměl by se k vám např. dostat tzv. pohledávkový SPAM, který se šíří v ČR v posledních měsících, protože ten vykazuje stejné charakteristiky a lze ho snadno blokovat.
Je však třeba si uvědomit, jaké jsou možnosti těchto řešení, jak funguje poslední malware a především, jak pracují útočníci. V okamžiku, kdy přes toto zařízení prochází obrovské množství e-mailů, které vykazují stejné charakteristiky, je možné je blokovat. Ovšem co se stane v okamžiku, kdy ony charakteristiky již nebudou stejné?
Co kdyby se najednou např. pohledávkový SPAM začal šířit v různých textových mutacích, ad absurdum, kdyby každý příjemce obdržel e-mail s jiným sdělením a s jinou přílohou, bylo by možné i v takovém případě probíhající phishingovou kampaň detekovat a dané e-maily včas označovat jako SPAM?
Obávám se, že by to mohl být problém, protože doposud to společnostem, které tato řešení nabízí, trvalo v některých případech i několik dnů, což je dost dlouhá doba. Obzvlášť když si uvědomíme, že útočníkovi stačí k provedení útoku několik málo hodin. Hlášení o proběhlých phishingových kampaních, útocích na klienty bank ve světě a zachycených vzorcích, jasně ukazuje, jak se malware vyvíjí.
Už dnes se můžeme setkat s malwarem jako je Geodo, který poté, co nakazí počítač oběti, stáhne z C&C serveru zcizené přihlašovací údaje k e-mailovým účtům (údajně tam je asi i 2000 českých) a následně pod identitou oprávněného uživatele rozešle 20 e-mailů, přičemž každý e-mail obsahuje jinou adresu odesílatele, předmět i tělo. Kromě toho tento malware umí i injektáž webových stránek.
Pak tu máme Upatre, který vzhledem k tomu, že jsou použity náhodné hlavičky, a komprimovaný spustitelný soubor je ještě navíc šifrován jednoduchým klíčem pomocí funkce XOR, tak je výsledný HASH tohoto souboru pokaždé jiný. Netřeba snad dodávat, že onen klíč může být distribuován jak v daném souboru, tak i v textu e-mailu a k jeho skrytí může být použita lingvistická steganografie.
Ta ostatně může být použita i pro odeslání zachycených přihlašovacích údajů a dalších informací, které mohou být dočasně uloženy v zašifrované podobě do registrů Windows, jako to dělá Emotet, a jejichž obsah nikdo nekontroluje.
Za zmínku také stojí šíření malwaru přes zástupce ve formě přílohy, která obsahovala maskovaný exe soubor, tvářící se jako PDF, a několika zástupců, kdy poklepáním na kteréhokoliv z nich došlo k volání cmd.exe s přepínačem C, kterému byl jako parametr předán daný PDF soubor.
Stejně tak se může jednat o klasické Wordovské dokumenty s makry spouštěnými při otevření souboru. A když jsou makra zakázaná, tak si útočník o jejich povolení řekne, a že to funguje, dokazuje i nedávno cílený phishing, který je zdokumentován pod názvem „A string of paerls“.
Závěr: Zdá se, že jediným řešením, jak se před bankovním malwarem skutečně účinně bránit a zajistit určitou úroveň bezpečnosti, je zavedení FDS a autorizace transakce jiným kanálem.
Štítky: bankovní malware
K článku “Rodina bankovního malwaru se nám neutěšeně rozrůstá” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.