CDR.cz - Vybráno z IT

CDR SecUpdate 37 - Česká pošta pod palbou zákeřného bankovního trojana

ceska-posta
Česká pošta se potýká se zajímavým phishing útokem, který využívá její dobré jméno. Uživatelé se mohou infikovat velmi nebezpečným trojským koněm, který cílí na uživatele internetového bankovnictví.

Chyby v softwaru

Microsoft vydal pořádnou porci back-to-school aktualizací

Týká se: produktů Microsoft Office, Microsoft Server Software, Microsoft Windows a Internet Explorer

Prázdniny skončily, začala škola a Microsoft vzal z gruntu Úterý aktualizací - i tak by se daly popsat uplynulé dny. Redmondský gigant si pro nás připravil celkem 13 buletinů, z toho 4 označil jako kritické. Podle všeho aktualizace opravují celkem 47 chyb (CVE) v samotném systému Windows, Microsoft Serveru, Office a také v prohlížeči Internet Explorer.

Právě poslední jmenovaný se v posledních dnech dostal do hledáčku všeobecného "hackerstva", když se exploit zneužívající díru v prohlížeči objevil v oblíbeném nástroji útočníků všeho druhu - Metasploit frameworku. Chyba byla naštěstí trochu nenápadně a potichu aktualizována již v červenci, takže máme zase o důvod víc aktualizovat na nejnovější bezpečnější verzi Exploreru.

ie7

Poznámka: Možná si říkáte, já jsem v suchu, Explorer jsem nepustil již drahně let, mně od něj nebezpečí nehrozí. Situace však není úplně jednoznačná. Pokud vám například přijde do desktopového klienta e-mail s odkazem, po kliknutí na něj se spustí výchozí prohlížeč internetu. Může a nemusí to být Explorer, záleží na vašem nastavení, ale Windows logicky přichází s výchozím Explorerem. Pokud bude cílový web nebezpečný a váš IE neaktualizovaný, máte problém.

Doporučujeme aktualizovat všechny komponenty a samotný systém přes Windows Update.

Novinky a Události

Jméno České pošty využito pro šíření nebezpečného trojského koně Hesperbot

Když jsem v srpnu zaznamenal informace o prvních phishingových útocích na Českou poštu, nevěnoval jsem tomu žádnou přílišnou pozornost. Phishing se dá dělat například CDR-style :)), ten sice může být chvilkově účinný, ale je hodně rychle odhalitelný, domény nahlášené a uživatelé v bezpečí.

Minulý týden mě však zaskočila zpráva o třetí úspěšné kampani útočníků proti České poště, která předcházela detailní analýze útoku od ESETu. Situace byla a je mnohem horší, než to zprvu vypadalo. Útočníci totiž využívají jména ČP k šíření velmi nebezpečného a sofistikovaného trojského koně, který se dá srovnat s nechvalně známým trojským koněm Zeus nebo SpyEye. Má stejný cíl - banky a jejich uživatelé.

Distribuce a infekce

Již od 8. srpna začaly chodit lidem v ČR e-maily informující o údajném neúspěšném dodání zásilky kurýrem České pošty. E-mail obsahoval odkaz na uměle vytvořený web, velmi podobný webu ČP. Nejdříve operoval na doméně www.ceskaposta.net, v minulém týdnu jsme se setkali s doménou www.ceska-posta.org.

cp-phishing-mail

Na webu je připravený "verifikační kód" a tlačítko pro stažení údajného PDF dokumentu s informacemi o zásilce. Odkazovaný soubor využívá jeden ze známých triků s příponou souboru typu soubor.nevinna_pripona.exe, tentokrát zasilka.pdf.exe. Uživatel, který si chce "dokument" otevřít, nainstaluje do systému trojana označovaného ESETem jako Win32/Spy.Hesperbot.

cp-phishing

Hesperbot: plnohodnotný bankovní trojan s mobilní funkcionalitou

Nainstalovaný trojský kůň není navzdory své krátké přítomnosti na internetu rozhodně žádné ořezávátko. Mimo "trapné" funkcionality vzdálené obrazovky, uploadování screenshotů obrazovky a vytvoření VNC serveru má česká verze trojana schopnost zachytávání kláves a čtení webových formulářů (form grabbing), což se dá využít pro odchytávání hesel do bankovnictví.

V ČR cílí na následující banky:

banky

Turecká a portugalská verze je však podle všeho ve funkcionalitě MitB (man-in-the-browser) ještě sofistikovanější - ta umí dokonce injekci dat do zobrazované stránky, čehož se dá využít pro donucení uživatele stáhnout si mobilní aplikaci. Ta je totiž nutná k zachytávání ověřovacích SMS pro přihlášení a platby v internetovém bankovnictví. Funkcionalitou tedy Zeus se svým ZitMo jako vyšitý.

cp-phishing-vyjadreni

Zajímavá je práce s certifikáty a vytvoření proxy, rozhodně se tedy jedná o připravenou a dobře financovanou kampaň. I z toho důvodu mi nějak uniká důvod poslat takový pokročilý malware do České republiky. Jednak jsme malý trh a jednak jsme na tom z bezpečnostního hlediska relativně dobře. Infekce u nás a v Portugalsku bude prý v řádu desítek uživatelů, v Turecku jsou to stovky.


Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Zdroje: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate 37 - Česká pošta pod palbou zákeřného bankovního trojana

Středa, 25 Září 2013 - 15:13 | Milan Kramar | :-) Tak na to konto mě napadá, že co se mi nelíbí...
Středa, 18 Září 2013 - 09:49 | rman | Tak bavit se o jednom typu zasilem muzeme......
Úterý, 17 Září 2013 - 22:37 | Máček333 | Lidi moc nečtou. A já v první větě moc chyb...
Úterý, 17 Září 2013 - 21:10 | Milan Kramar | Tak každopádně každý přepravce funguje jak si to...
Úterý, 17 Září 2013 - 17:50 | HEC | No nevím teda, ale na takovou věc se snad může...
Úterý, 17 Září 2013 - 15:16 | Máček333 | Protože (a to v článku o zranitelnosti IE chybí)...
Úterý, 17 Září 2013 - 13:42 | rman | Tak s tim zasadne nesouhlasim. Kdyz se podivate...
Úterý, 17 Září 2013 - 11:05 | Milan Kramar | Tady si někdo plete pojmy a dojmy. Služby, které...
Úterý, 17 Září 2013 - 07:34 | slwat | Kolega s XP a Outlookem, byl lapen. Ta mrcha...
Pondělí, 16 Září 2013 - 23:03 | MarcelL | "Česká pošta se potýká se zajímavým phishing...

Zobrazit diskusi