Popularita a vysoká návštěvnost internetových stránek nezaručí jejich bezpečnost!
Není tomu tak dávno, kdy se čeští uživatelé potýkali se škodlivým ransomwarem, který jim zamykal počítače a požadoval výkupné. Česká verze ransomwaru byla poměrně primitivní a nebyla výrazně úspěšná. Nedávno se ale členům AVG Web Threats Research Team podařilo identifikovat škodlivé kódy, které na uživatele čekaly na velmi populárních zahraničních webech s vysokou návštěvností. (TZ)
Pokud si tedy myslíte, že můžete bez obav důvěřovat známým a hojně navštěvovaným internetovým stránkám, jste na omylu.
Členům AVG Web Threats Research týmu se podařilo na oblíbené stránce italského Messengeru objevit škodlivý kód Cool Exploit Kit, který je jedním z mnoha nejnovějších „policejních“ malwarů vytvořených kyberzločinci. Škodlivého kódu si výzkumný tým AVG všiml díky službě Linkscanner, která jej upozornila na počítačový kód zašifrovaný v odkazu způsobujícím přesměrování na internetovou stránku vytvořenou kyberzločinci.
Pokud tuto podvodnou internetovou stránku navštíví uživatel z nedostatečně zabezpečeného počítače, instaluje Cool Exploit Kit do jeho přístroje ransomware. Na obrazovce se objeví podvodná zpráva od amerického ministerstva spravedlnosti o tom, že byl počítač zablokován, protože v něm byl nalezen nelegální obsah, a že uživateli nebude umožněn přístup do počítače, dokud nezaplatí peníze prostřednictvím neznámého internetového platebního systému. To ale samozřejmě nevede k odblokování počítače ani k odstranění škodlivého kódu.
Členové AVG Web Threats Research Team identifikovali klíčový vektor infekce v podobě Java exploitu (jeden ze zásuvných modulů Cool Exploit Kitu), který v případě, že na cílovém počítači běží zranitelná verze prostředí Sun Java, stáhne další škodlivý kód v podobě spustitelného souboru.
Podobné škodlivé kódy odhalil výzkumný tým na stránkách americké televizní a rozhlasové společnosti NBC, které uživatele přesměrovávaly na tzv. Redkit Exploit Kit. Internetové stránky NBC.com mají návštěvnost více než 200 tisíc uživatelů z celého světa denně. Mezi nakaženými stránkami byla např. stránka oblíbeného pořadu Late Night With Jimmy Fallon.
Tento druh Exploit Kitu do počítače nainstaluje trojského koně Citadel, který vykrádá bankovní údaje a další citlivé informace. Poté, co NBC problém odhalila a začala pracovat na jeho odstranění, vydala pro své diváky oficiální prohlášení o tom, že její stránky byly napadeny.
Je tedy vidět, že dlouho využívané pravidlo, podle kterého se na internetových stránkách velkých a známých společností kyberzločinců a jejich nástrah bát nemusíte, již neplatí, a je třeba mít počítač zabezpečený i proti dobře skrytým virům.
Nespoléhejte na adresní řádek vašeho prohlížeče!
Také vykrádání bankovních údajů prostřednictvím internetového bankovnictví je velmi obávaným a bohužel i častým problémem, se kterým se členové Virové laboratoře AVG potýkají. Nedávno objevili trojského koně, který se snažil vykrádat bankovní údaje klientům 3 brazilských bank: Caixa Econômica Federal, Banco Itaú a HSBC Bank Brasil S.A. Brazílie totiž stále patří mezi země s největší produkcí těchto trojských koňů. Trojský kůň buď předstírá, že je skutečným softwarem banky, nebo je uživatel ze stránek banky přesměrován na jejich falešnou verzi. Tak jako tak útočník získá bankovní údaje, které následně jednoduše zneužije.
Existují ale ukazatele, podle kterých se dají podvodné stránky rozpoznat – např. chybějící ukazatel zabezpečeného připojení k internetovému bankovnictví (HTTPS). Brazilští kyberzločinci často ke tvorbě trojských koní používají vývojové prostředí Delphi, které jim umožňuje rychlý vývoj těchto škodlivých kódů. To je případ i tohoto konkrétního kódu, který po spuštění provádí následující akce:
-
Zapíše se do registru, takže je malware spuštěn pokaždé, když se uživatel přihlásí do systému: HKCUSoftwareMicrosoftWindowsCurrentVersionRunbnb
-
Kontaktuje svůj server: hxxp://kl.no-ip.biz/~axxxxxxy/admin/1gate.php?username=+0.1+&country=Ativado&OS=
-
Kontroluje, zda aktuálně zobrazené okno obsahuje některý z následujících názvů:
“Caixa Econômica Federal – Google Chrome”
“Banco Itaú – Feito Para Vocę – Google Chrome”
“HSBC Bank Brasil S.A. – Banco Múltiplo – Google Chrome”
Pokud trojský kůň zjistí, že uživatel momentálně používá internetové bankovnictví, vloží do vykreslovacího rámu prohlížeče Google Chrome nový objekt okna Internet Explorer_Server:
Následně se načte falešná kopie stránek internetového bankovnictví a zobrazí se právě v tomto vloženém okně Internet Explorer_Server. Tento proces mění pouze obsah tohoto nově vykresleného rámu, ale název a adresa zůstanou v prohlížeči nezměněné. Uživatel tedy vidí falešnou stránku, ale její název a URL vypadají stejně jako na stránce originální. Rozdíl můžete poznat, když na stránku kliknete pravým tlačítkem myši. Po kliknutí na takto vloženou stránku v prohlížeči Google Chrome se zobrazí menu typické pro Internet Explorer (protože ve skutečnosti klikáte na vložený Internet Explorer_Server objekt), které se liší od původního menu Google Chrome:
Pokud je uživatel napaden tímto trojským koněm, načte se podle konkrétní banky některá z následujících falešných stránek:
hxxp://kl.no-ip.biz/~axxxxxxy/FAKES/CAIXA/
hxxp://kl.no-ip.biz/~axxxxxxy/FAKES/ITAU/
hxxp://kl.no-ip.biz/~axxxxxxy/FAKES/HSBC/
a všechny zadané údaje jsou odeslány přímo kyberzločinci. Tento malware identifikuje AVG AntiVirus jako trojského koně typu PSW.Delf.HOM.
Ačkoliv byl podobný kyberzločinecký trik identifikován v Brazílii, neznamená to, že by se podobný postup nemohl brzo objevit i v České republice.
- AVG Web Threats Research Team & Virová laboratoř AVG