Bankovní trojany jsou v oblibě, tedy alespoň u pachatelů kyberzločinů. Jen během minulého týdne se mluvilo o dvou exemplářích. Prvním z nich je Tinba, jehož název vychází ze slov “tiny banker”. Se svými přibližně 20KB kódu je nejmenším bankovním trojanem na světě. Poprvé byl objeven v roce 2012, následně došlo ke zveřejnění jeho kódu a od té doby se objevuje v různých státech s drobnými úpravami a vylepšeními. Dle blogu Avastu se vyskytoval v roce 2014 i v ČR. Poslední rozšíření trojanu Tinba zaznamenali v květnu 2015 výzkumníci IBM v Polsku, Itálii, Nizozemí a Německu.

Jak Tinba funguje? Jakmile se uživatel pokusil připojit k jedné z vybraných bank, Tinba se pustil do akce. Na základě konkrétní banky se uživatelům zobrazovaly webové formuláře vyžadující osobní informace a přístupové údaje, nebo falešné zprávy vyzývající k převodu finančních prostředků. Častým argumentem byla klamná zpráva o provedení chybného převodu prostředků na účet oběti, jejichž vrácení banka nyní vyžaduje.

Květnové cíle bankovního trojanu Tinba

Dříve bylo možné snadno identifikovat podvodné zprávy a stránky, které nebyly v angličtině, podle častých chyb vznikajících ze strojového překladu textu. Dnes už jsou ale útočníci mnohem pečlivější. Nezbývá, než být při přihlašování do banky velmi obezřetný, kontrolovat certifikát a URL adresu a případné požadavky z banky ověřovat dalším komunikačním kanálem, např. telefonicky.

Dalším bankovním trojanem, o kterém se v minulém týdnu psalo, je Vawtrak. Jedná se o trojan, který v historii využíval například steganografii k zakrytí své komunikace a makra od Microsoftu ke svému šíření. Nově bylo odhaleno, že maskuje své připojení využitím služby Tor2Web. Ta má sloužit uživatelům k zpřístupnění Tor sítě bez Tor klienta, tedy jen s běžným webovým prohlížečem.
Skryté Command-and-Control servery Vawtraku v Tor síti je mnohem náročnější vysledovat, ale jak píší výzkumníci z Fortinet, když víte kam se podívat, možné to je!

Emailový klient na iOS a OS X umožňuje provést přesvědčivý phishingový útok

Již od ledna zná výzkumník Jan Souček jednoduchý způsob, jak pomocí HTML a CSS vylákat z uživatelů Apple zařízení jejich přístupové údaje do iCloudu. Ti mu své uživatelské jméno a heslo ochotně vyplní do formuláře, který vypadá stejně jako ten, co se zobrazí např. při problémech s připojením k síti. Z tohoto formuláře se ale data odesílají přímo k útočníkovi!

Proof-of-concept získání uživatelského hesla

Souček nahlásil existenci problému Applu na začátku roku, ale oprava se stále neobjevila. Přitom v diskuzi na portálu Reddit někdo zveřejnil možný způsob opravy během 5 minut. Neaktivita Applu vedla k rozhodnutí publikovat PoC kód na GitHubu.

Problém spočívá v tom, že emailový klient zobrazuje HTML tag <meta http-equiv=refresh>. Díky tomu je možné načíst vzdálený HTML obsah a nahradit jím původní emailovou zprávu. Formulář je vytvořen pouze pomocí HTML a CSS, blokace javascriptu v emailovém klientovi tedy útočníkovi nezpůsobí žádné problémy.

Zatím je dostupná pouze neoficiální oprava, kterou je možné dostat jen na jailbreaknuté telefony. Ta spočívá v zabránění přesměrování z emailu na jinou webovou stránku bez přímého povolení uživatele. Věřme, že si Apple s oficiální opravou pospíší.

Novinky v bezpečnosti, které přinese iOS9

Na druhou stranu Apple představil několik novinek vylepšujících bezpečnost v novém systému iOS9. Jednou z nich bude vestavěná komponenta pro blokování reklam. V závislosti na kvalitě blokování by to mohla být skvělá zpráva pro uživatele, ale na druhou stranu nepříjemná informace pro tvůrce aplikací typu AdBlock nebo pro inzerenty.

Další novinkou je použití dvoufaktorové autentizace při přihlášení k Apple účtu z nového zařízení nebo prohlížeče. Uživatel bude vyzván k zadání kódu, který se mu automaticky zobrazí na jeho dalším Apple zařízení, nebo mu bude odeslán na telefon. U kódu bude také tlačítko s možností zamítnout aktuální žádost o přístup.

Dvoufaktorová autentizace na iOS9

V neposlední řadě Apple také mění požadovanou sílu hesla ze 4 na 6 míst. Ani šestimístné heslo není zázrakem bezpečnosti, ale určitě je to krok správným směrem. Uživatelé se slabším heslem si budou buď muset zvolit nové s šesti znaky, nebo si vybrat jiný typ přihlášení.

AMSI - nový druh ochrany proti malwaru přijde s Windows 10

Zkratka znamenající Antimalware Scan Interface označuje nový způsob ochrany proti malwaru, kterým Microsoft jistým způsobem přesouvá práci na bedra vývojářů aplikací. Jedná se tedy o jakési rozhraní, které v systému Windows 10 umožní všem aplikacím a systémovým službám přímou integraci s antimalwarovými nástroji, které jsou instalované na daném zařízení. Programy budou moci přímo volat metody z těchto nástrojů a efektivněji se tak bránit různému malwaru, skrytému ve skriptech a obfuskovaném kódu.

Díky AMSI by mělo narůst množství různých bezpečnostních kontrol - budou se dít automaticky, ne na základě rozhodnutí uživatele, zda nějaký soubor skenovat bude nebo ne. Samotný program si bude moct vyžádat skenování souborů, dat v paměti, procesů, ověření IP adres a domén na blacklistech, nebo implementovat analýzy škodlivého chování.

Architektura rozhraní AMSI

Široké využití bude mít AMSI u programů pro komunikaci, které budou moci automaticky skenovat příchozí zprávy a soubory.  Zároveň ho zužitkují programy s možností rozšíření o doplňky, které budou před jejich instalací kontrolovány, zda nejsou škodlivé.

Vývojáři aplikací by tedy do budoucna měli počítat s využitím rozhraní Windows AMSI pro zvýšení bezpečnosti a vývojáři antivirových produktů by jim měli jít naproti v podobě podpory tohoto rozhraní. Běžní uživatelé se mohou jen těšit na bezpečnější prostředí ve Windows 10.

V některých společnostech stále přežívá Stuxnet, říká výzkum z Česka

Společnost Kleissner & Associates nachází stále aktivně běžící instance malwaru Stuxnet, jejichž přítomnost naznačuje slabé zabezpečení dotčených sítí.  Aktuální výskyty Stuxnetu může společnost monitorovat díky získání dvou červem využívaných C&C domén. Ty totiž nasměrovala na servery nástroje pro monitorování botnetů Virus Tracker, který firma provozuje.

Jak uvádí v článku [PDF], v letech 2013 a 2014 nalezli 153 unikátních zařízení, které byly Stuxnetem infikována. V pořadí dle četnosti se nacházely v Íránu, Indii, Indonésii, Saudské Arábii, Kazachstánu a Číně. Dle vyjádření společnosti pro Security Week v roce 2015 Virus Tracker zaznamenal přes 200 záznamů infekce Stuxnetu. Toto číslo v zasažených organizacích ukazuje na ne zrovna dobrou práci na poli počítačové bezpečnosti.

Nemáte brigádu? Hledejte chyby! Mozilla dramaticky navyšuje odměny v bugbounty programu

Je vidět, že Bug Bounty program je pro Mozillu důležitý. Investice téměř 1,6 milionu dolarů, které v programu společnost doposud vyplatila, měla velký přínos pro bezpečnost Firefoxu a dalších produktů.

Naposledy byla částka za nalezenou zranitelnost navýšena před 5 lety na 3000 dolarů. Nově je tato částka minimální pro závažnější zranitelnosti a roste jak s kvalitou reportu o chybě, tak s jednoduchostí zneužití chyby. Odměna za nové druhy zranitelností a mimořádně závažné problémy může nyní překročit i 10 000 dolarů. Veškeré detaily jsou na stránce věnující se BugBounty programu.
Mozilla také oznámila existenci síně slávy, která sice již nějakou dobu funguje, ale doposud nebyla na blogu oficiálně zmíněna.

Není ten pravý čas se podívat Firefoxu na zoubek?

Další zprávy ze světa IT bezpečnosti v bodech:

• Nová verze OpenSSL opravuje chyby a chrání proti LogJam útoku
• Checklist, který vás krok za krokem provede zabezpečením vašeho webu na Wordpressu [PDF]
• SweetCAPTCHA sice ověří uživatele, ale následně ho zahrne reklamou
• Adobe opravilo 13 zranitelností ve Flash Playeru
• Microsoft opravil chybu umožňující zjistit navštívené stránky z historie IE
• Internet Explorer 11 nově podporuje HSTS, Edge na Windows 10 také!
• VMware vydal opravy kritických chyb ve svých produktech
• Snapchat v poslední verzi začal podporovat dvoufaktorovou autentizaci ve formě SMS kódu
• Z webu pražského letiště jste mohli odejít s trojským koněm Bunitu
• Tiskový systém Common Unix Printing System (CUPS) v nové verzi 2.0.3 opravuje kritické zranitelnosti