Przejdź do głównej zawartości

Fałszywe skanery AV wciąż aktywne!


Przyjrzyjmy się prawdopodobnym możliwościom ewolucji słynnych internetowych fałszywych skanerów antywirusowych.


Liczba fałszywych skanerów antywirusowych w sieci zauważalnie spadła w ciągu ostatniego półrocza. Powodowane jest to zmianą przepisów uderzających w tego typu złośliwe oprogramowanie oraz dużą optymalizacją silników blokujących fałszywe antywirusy w sieci. Pomimo tego, fałszywe programy AV są nadal poważnym zagrożeniem dla każdego użytkownika Internetu. Laboratorium Bezpieczeństwa firmy G Data w ostatnim czasie wykryło kolejny fałszywy skaner AV online, który oszukał wielu użytkowników.

Wykorzystywane przez skaner metody nie są żadną nowością, jednak w szerszym kontekście wychodzą na jaw nowe, nieodkryte dotychczas szczegóły rozwoju niebezpiecznych fałszywek.


W czasie ostatnich trzech tygodni zaobserwowaliśmy fałszywe skanery AV online, które próbowały zwieść użytkowników instalując niebezpieczne oprogramowanie, w czasie otwierania specjalnie przygotowanej strony internetowej przybierającej wygląd skanera antywirusowego. Strony te same w sobie nie są niebezpieczne, jednak cel, w jakim zostały skonstruowane, na pewno jest niepokojący. W trakcie tych 3 tygodni pobraliśmy różnorodne strony oferujące skanowanie AV online i przebadaliśmy dokładnie ich kod źródłowy.
Pierwsze, co rzuca się w oczy, to fakt naśladowania przez te strony wyglądu Explorer’a systemu Microsoft Windows oraz fałszywy skaner antywirusowy, który informując o zagrożeniu bezpieczeństwa systemu namawia użytkowników do zainstalowania programu AV. Mimo że metody wykorzystywane przez tego rodzaju niebezpieczne programy zostały wielokrotnie opisane, są wciąż bardzo popularne wśród przestępców z powodu ich siły perswazji i technik socjalnych wykorzystywanych do zainfekowania systemu użytkownika przez niego samego. Strach użytkownika przed zainfekowaniem systemu jest wciąż na tyle silny, że przestępcy z łatwością go wykorzystują instalując niebezpieczne oprogramowanie, które na pozór oferuje pomoc w rozwiązaniu problemu.

Typy odkrytych przez nas skanerów próbowały upodobnić się do wyglądu systemu Windows XP oraz Windows 7. Procedura postępowania przez złośliwe oprogramowanie jest zawsze taka sama, zmienia się jedynie wygląd strony. Jednak użytkownik zazwyczaj nie odwiedza takich stron z własnej woli. W większości przypadków, użytkownik dostaje się na stronę po wielokrotnym przekierowaniu, które może mieć swój początek w otwarciu z pozoru niegroźnego linka. Częstokroć linki takie są zmieniane i wykorzystywane przez hakerów w celu przekierowania do strony z niebezpiecznym oprogramowaniem. Te przekierowania są bardzo często niezauważalne dla użytkownika, a dobra reputacja strony, na której się pierwotnie znajdowaliśmy jest wykorzystywana do zbudowania zaufania u internauty.

Dalsza część artykułu przedstawia sposób działania przebadanych przez specjalistów G Data fałszywych skanerów AV online.

Po pierwsze: fałszywe ostrzeżenie
Kiedy użytkownik otworzy narażającą go na szwank stronę www, pojawia się komunikat JavaScript ostrzegający przed zagrożeniem. Komunikat ten różni się treścią i wyglądem w różnych przeglądarkach.

Po drugie: Fałszywy skaner systemu
Czyli główna część strony skanera. Po kliknięciu przez użytkownika przycisku OK na komunikacie o zagrożeniu, wyświetlane zostają fałszywe wyniki skanowania systemu, pokazujące sporą ilość infekcji w naszym systemie. Są to proste skrypty Java. Nazwy przeskanowanych plików, ich rozszerzenia oraz znalezione zagrożenia są losowo wybierane przez skrypt spośród listy wartości.

Analizowany kod źródłowy pokazuje, że wszystkie strony fałszywych skanerów zostały pierwotnie zakodowane przez małą grupę ludzi, bądź przez pojedynczą osobę, ponieważ większość z nich posiada identyczne fragmenty. Również Cascading Style Sheet, który został użyty do stworzenia wyglądu Windows Explorer, posiada logiczną strukturę. Nawet nazwy użyte w składowych CSS były prawie identyczne w każdej wersji skanera.

Obrazy umieszczone w CSS również warte są krótkiego komentarza. Podczas gdy, w niektórych wersjach systemu XP posiadają rozpoznawalne nazwy jak „hdd” czy „progressbar”, w starszych wersjach fałszywych skanerów opartych na Windows 7 nazwane zostały losowo. Możemy się domyślać, że nazwy te zostały zmienione przez zautomatyzowany mechanizm w celu zapobiegania detekcji.
W kwestii dynamicznego przystosowania się wyglądu strony do używanego systemu operacyjnego, żadna z wykrytych stron nie dostosowywała swojego wyglądu do używanego systemu.
Dziwnym widokiem jest zobaczyć wygląd Windows na komputerze z systemem Linux.

Można przypuszczać, że hakerzy nie zawracali sobie tym głowy, ponieważ większość internautów posiada system Windows. Jedyna forma dostosowania polegała na sprawdzeniu przez serwer czy posiadamy wersję Windows XP, czy Windows 7.


Niektóre ze znalezionych przez nas stron korzystały z różnych technik kodowania w celu ukrycia skryptu Java, podczas gdy inne strony nie używały żadnego ukrycia. Te metody zakrycia mają utrudnić wykrycie strony zarówno przez specjalistów bezpieczeństwa, jak i automatyczne wykrycie programowe. Fakt, że jedne wersje korzystały z ukrycia skryptu, podczas gdy inne tego nie robiły, utwierdza nas w przekonaniu, że strony te zostały stworzone przez małą grupę ludzi, którzy sprzedali swoje kody źródłowe innym przestępcom. Kiedy porównamy wszystkie skrypty okazuje się, że są praktycznie takie same.

Po trzecie: Fałszywe wyniki skanowania i oprogramowanie

Po zakończeniu skanowania, przedstawione zostają wszystkie pozornie wykryte zagrożenia oraz oferowana jest „pomoc” w rozwiązaniu problemu. Kiedy dokładnie prześledziliśmy kod, zauważyliśmy kolejną jego ewolucję. Rezultaty skanowania w systemie Windows XP posiadały gotowe wyniki jedynie w formie obrazów, natomiast w Windows 7 generowane były dynamicznie przez JavaScript i pozwalały użytkownikowi na interakcję z listą zagrożeń.

Odkryte przez nas fałszywe strony skanerów były umieszczone wyłącznie na krótkotrwałych, darmowych domenach, o trwałości średnio jednego dnia. Jedna ze stron była wyłącznie dostępna na przeglądarce Microsoft IE. W przypadku wejścia na tę stronę poprzez Firefox, użytkownik był bezpośrednio kierowany na stronę zawierającą treści pornograficzne.

Po czwarte: Próby infekcji
Po zakończeniu “skanowania”, strona oferuje użytkownikowi ściągnięcie oprogramowania antywirusowego. Strona internetowa jest skonstruowana w sposób uniemożliwiający odrzucenie oferowanego pobrania, ponieważ odmowa oraz zamknięcie przeglądarki zostaje zablokowana przez skrypt Java. W przypadku odmowy, propozycja pojawia się po raz kolejny. I tak bez końca. Na tym etapie nie dochodzi jeszcze do infekcji.

Jak uchronić się przed ściagnięciem?
Chociaż bezpośrednie zamknięcie przeglądarki w tym momencie jest niemożliwe, skrypt Java nie modyfikuje niczego poza środowiskiem przeglądarki. Co oznacza dla użytkownika, że wystarczy stary dobry Menedżer Zadań systemu Windows, aby zakończyć jej działanie. Wystarczy użyć skrótu klawiszowego CTRL+ALT+DEL, zaznaczyć uruchomioną przeglądarkę oraz wybrać przycisk „Zakończ zadanie”.

Jak zabezpieczyć się przed fałszywymi antywirusami:
• Używaj zawsze wszechstronnych programów antywirusowych z aktualnymi sygnaturami wirusów, filtrem http itp., w celu ochrony komputera oraz danych
• Posiadaj zawsze najnowsze uaktualnienia systemu operacyjnego, przeglądarki internetowej i innych programów.
• Zawsze sprawdzaj źródło linka, którego masz zamiar użyć.
• Analizuj język i sprawdzaj, czy pop-up nie ma błędów w wyświetlanym tekście. Duża ilość błędów prawie zawsze sugeruje niebezpieczeństwo.
• Pobierając oprogramowanie z Internetu, ściągaj je z oficjalnej strony producenta, bądź ze stron o dużym zaufaniu.

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…