Malwarebytes osvrti

Malwarebytes osvrti (4)

Kada je 2008. godina razvijao svoj softver njegovi profesori strahovali su da se upustio u sumnjive poslove.

Danas, 11 godina kasnije, njegov softver koriste milijuni ljudi diljem svijeta, dok kompanija broji više od 500 zaposlenih i ostvaruje godišnji promet veći od 126 milijardi dolara, piše BBC.

- Mami sam sve priznao tek kada se cijelo poslovanje zahuktalo. Poludjela je kad sam joj prvo rekao da ne želim ići na fakultet, a zamislite samo da samo joj uz to još rekao da se putem interneta družim s 35-godišnjim čovjekom s kojim ulazim u biznis. Totalno bi poludjela – prisjeća se Marcin Kleczynski, glavni direktor i osnivač antivirusne softverske kompanije Malwarebytes.

Njegova opsjednutost kompjutorima započela je u tinejdžerskoj dobi kada je igrajući video igru pokupio virus. U tom je trenutku putem foruma i knjiga za 'početnike' pokušavao naučiti sve o virusima i bagovima, od kud se i rodila ljubav prema današnjoj struci.

- Bilo mi je jasno koliko je moj program postao popularan kada sam jednog dana primio poruku od fakulteta u kojoj je pisalo da sam izbačen. Znao sam da nešto nije u redu. Obratio sam se informatičkom odsjeku, a oni su ne znajući tko sam ja, krenuli problem rješavati uz pomoć mog softvera – dodaje.

 

Link na orginalni članak:

https://novac.jutarnji.hr/novi-svijet/tvorac-poznatog-anti-malware-softvera-svoj-milijunski-posao-skrivao-sam-i-od-mame/9160577/

Alat za ranjavanje (exploit kit) Magnitude pojavljuje se prilično učestalo tijekom posljednjih nekoliko mjeseci, dostavljajući najčešće identični nosivi teret - Cerber ucjenjivački program - i ciljajući nekoliko odabranih zemalja u Aziji. iznenađujuće, Magnitude alat za ranjavanje nestao je koncem rujna i neko vrijeme smo se pitali je li to još jedna žrtva u već prenapučenoj sceni eksploatacijskog pribora.

Međutim, prije nekoliko dana se Magnitude alat za ranjavanje nanovo pojavio, ali ovaj put s novim nosivim teretom. Isporučeni zlonamjerni program je također ucjenjivački program, ali od obitelji za koje se do sada nije znalo. Nazvan je Magniber.

Magniber ucjenjivački program ima visoku sposobnost izdvajanja svojih meta, provjeravajući u istom trenutku veći broj bitnih stavki (kao što je vanjski IP, instalirani jezik, itd.), kako bi potvrdio da je napadnuti sustav isključivo južnokorejski. Fokusiranje na pojedine zemlje je samo po sebi neobično, ali provođenje višestrukih provjera kako bi bio siguran u zemlju i jezik podrijetla čini ovo prvim takvim slučajem za ucjenjivački program.

Četvrtak, 30 Studeni 2017 12:52

Trojan Terdot voli društvene medije

Napisao

Obično savjetujemo ljude koji su postali žrtve bankarskih trojanaca da mijenjaju sve svoje lozinke, posebno one koje se odnose na njihove financijske internetske stranice i aplikacije. Osim opasnosti od uporabe već korištenih lozinki, postoje i drugi razlozi zašto je to važno. Ovaj savjet je osobito primjenjiv na trenutno aktivnog trojanca zvanog Terdot.

Naši prijatelji u Bitdefenderu napisali su vodič o Terdotskom trojancu koji ukazuje na to kako ovaj potomak Zeusa ne samo da može pratiti i mijenjati vaš Facebook, Twitter, YouTube i Google Plus promet, već i špijunirati vašu platformu internetske pošte kao što je Microsoftova internetska stranica za prijavu na live.com , Yahoo Mail i G-mail.

 

Hasherezade je predvidjela taj događaj još početkom ove godine kada nas je upozorila da je Terdot špijunirao i usto izmijenio prikazani sadržaj "WebInjects-a" i "WebFakes-a".

Terdot trojanac se širi i putem e-pošte, koristeći zaražene privitke, kao i pomoću Sundown eksploatacijskog sadržaja. Koristi složenu metodu za preuzimanje i aktiviranje zlonamjernog programa na ciljanom sustavu, najvjerojatnije radi usmjeravanja sigurnosnog tima na krivi put. Jednom kada se utvrdi, koristi vlastiti certifikat sigurnosti zaobilazeći TLS ograničenja i postavlja agenta između proxy-ja (MitM).

Ova verzija Terdota cilja samo Windows sustave koji nisu prilagođeni na rusku verziju. Njegovi glavni ciljevi nalaze se u SAD-u, Kanadi, Velikoj Britaniji, Njemačkoj i Australiji. Dodatna funkcionalnost za društvene medije može se koristiti na različite načine. Bogdan Botezatu, viši analitičar elektroničkih prijetnji u Bitdefenderu, izjavio je za ZDNet:

 

"Korisnički računi društvenih mreža mogu poslužiti i kao mehanizam razmnožavanja u trenutku kada zlonamjerni program biva upućen na postavljanje poveznica za preuzimanje kopija zlonamjernog programa. Osim toga, zlonamjerni program može ukrasti podatke za prijavu na korisnički račun i kolačiće, tako da njegovi operatori mogu oteti korisnički račun društvene mreže i tražiti novac za vraćanje pristupa, na primjer, "

Malwarebytes prepoznaje instalacijski program kao Trojan.Terdot:

I blokira URL-ove za preuzimanje:

 

Petak, 10 Studeni 2017 12:35

BadRabbit, novi ransomware napad

Napisao

Petya / NotPetya (aka EternalPetya), čija je pojava zabilježena još u lipnju, nastavlja aktivnosti napadajući korisnike širom svijeta. Danas je zabilježeno pojavljivanje sličnog zlonamjernog softvera, nazvanog BadRabbit, vjerojatno kreiranog od strane prvobitnih autora. Baš kao i prethodna verzija, BadRabbit posjeduje sposobnost infekcije koja omogućuje bočna kretanja koristeći SMB (Server Message Block) kako bi se lateralno širio s ukodiranim popisom korisničkih imena i lozinki. Međutim, za razliku od NotPetya, ne koristi EternalBlue i rašireniji je. (Napadnute zemlje uključuju Ukrajinu, Rusiju, Tursku i Bugarsku).

 

Druga ključna razlika između Petya / NotPetya-e i BadRabbit-a je u njegovom početnom vektoru koji je drugačiji (internetska stranica isporučuje lažno Flash ažuriranje). Također, neke njegove komponente su zamijenjene. Spomenuti paket zlonamjernog softvera je vrlo složen i vjerojatno ćemo posvetiti neke od narednih članaka kako bismo opisali sve njegove značajke.

Petya, kreirana u srpnju 2016., pojavila se kao ucjenjivački program nove generacije koji koristi MBR (Master Boot Record) način enkripcije. U ranim danima ucjenjivačkih programa, verzije koje su modificirali pokretanje sustava (system boot) posjedovali su popularnost, ali su već odavno izumrli. Danas, nedugo nakon njene prve godišnjice, Petya se vratila s ciljem osvete i gadnom inovativnom metodom distribucije.

 

Što se tiče toga je li taj zlonamjerni softver identičan kao i Petya s kojim smo se bavili u prošlosti, mnogi istraživači, uključujući i naši, tvrde da su zlonamjerni programi nastali pod njenim snažnim utjecajem i vjerojatno ih razvijaju tvorci Petye. Ovaj zlonamjerni program posjeduje indikatore i kod koji odgovara prethodnim verzijama Petya, ali s dodatnom funkcionalnošću.

 

Više informacija na:

https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/

© 2017 DiMeros d.o.o. Sva prava pridržana.