Πρόσφατα έχουμε δει πάρα πολλές εκστρατείες spam που αξιοποιούν τις τελευταίες εκρήξεις του μαραθωνίου της Βοστώνη. Ωστόσο, οι ειδικοί της Trend Micro εντόπισαν μια στοχευμένη επίθεση που αξίζει να αναφερθεί.
Όλα ξεκινούν με ένα e-mail που έρχεται και έχει τίτλο “Παρακαλώ προσευχηθείτε για τη Βοστώνη.” “Please pray for Boston”
Στο email υπάρχει κάτι σαν αυτό: “Δύο ισχυρές βόμβες εξερράγησαν κοντά στη γραμμή του τερματισμού του Μαραθωνίου της Βοστώνης το απόγευμα της Δευτέρας, σκοτώνοντας τουλάχιστον τρία άτομα, συμπεριλαμβανομένου και ενός παιδιού, και τραυματίζοντας τουλάχιστον 100.
Μια από τις πιο αγαπημένες τελετές της πόλης την άνοιξη μετατράπηκε από μια σκηνή επευφημίας και θριάμβου σε μια αιματηρή σφαγή και θάνατο.
“ Συνημμένο σε αυτά τα μηνύματα υπάρχει και ένα φαινομενικά ακίνδυνο έγγραφο του Word. Όταν όμως κάποιος ανοίξει το έγγραφο θα τρέξει και ένα εκτελέσιμο αρχείο που ανιχνεύεται από την Trend Micro σαν Troj_Naikon.A.
Το Troj_Naikon.A έχει σχεδιαστεί να συνδέεται με τον server διοίκησης και έλεγχου με SSL παρακαλώ.
Το ψηφιακό πιστοποιητικό που χρησιμοποιήθηκε στην επίθεση είναι γεμάτο με ψευδείς πληροφορίες, όπως το “abc” για το όνομα της οργάνωσης.
Η χρήση του SSL διασφαλίζει ότι η κίνηση που αποστέλλεται μεταξύ του malware και του server είναι κρυπτογραφημένη, μειώνοντας τις πιθανότητες του να εντοπιστεί από κάποιο λογισμικό ασφαλείας.
Ο διακομιστής που χρησιμοποιείται για το κέντρο διοίκησης και έλεγχου του κακόβουλου λογισμικού είχε χρησιμοποιηθεί και στο παρελθόν από κάποιο άλλο κακόβουλο λογισμικό, που ήταν ενεργό το 2011.
Ωστόσο, δεδομένου ότι έχει περάσει πολύς καιρός από τότε, οι ειδικοί λένε ότι είναι ασαφές εάν υπάρχει σύνδεση μεταξύ των δύο.
“Η χρήση της κρυπτογράφησης SSL για την επικοινωνία με τον C & C server έχει τα πλεονεκτήματά της, ιδιαίτερα στην αποφυγή ανίχνευσης από τα λογισμικά ασφαλείας” αναφέρει ο Senior Threat Researcher της Trend Micro, Nart Villeneuve.
“Ωστόσο, μπορούμε να πάρουμε ορισμένα προληπτικά μέτρα, όπως το να αναζητούμε από προεπιλογή, τυχαίες ή κενές τιμές SSL στα πεδία του πιστοποιητικού και να περιορίσουμε τις ανιχνεύσεις στα πιστοποιητικά που παρέχονται από εξωτερικά δίκτυα.”
iGuRu.gr
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου