Αρχικήinvestigations Κακόβουλο Malware μέσω TUV Austria Hellas σε ανυποψίαστους χρήστες του Facebook!

[ΑΠΟΚΛΕΙΣΤΙΚΟ] Κακόβουλο Malware μέσω TUV Austria Hellas σε ανυποψίαστους χρήστες του Facebook!

TUV-Austria-Hellas

Διασπορά Malware μέσω της ιστοσελίδας της TÜV AUSTRIA HELLAS είναι σε εξέλιξη εδώ και μερικές ώρες! Συγκεκριμένα άγνωστοι hackers χρησιμοποίησαν την ιστοσελίδα της TÜV AUSTRIA HELLAS ως σημείο απόθεσης και διανομής επικίνδυνου malware που στοχοποιεί κυρίως χρήστες του Facebook!

ΤÜV AUSTRIA HELLAS δραστηριοποιείται στην Ελλάδα από το 1994 και είναι θυγατρική εταιρεία του Αυστριακού Οργανισμού Επιθεωρήσεων ΤÜV AUSTRIA, με έτος ίδρυσης το 1872. Έχει ως έδρα την Αθήνα και στην Ελλάδα διατηρεί παραρτήματα σε Κρήτη και Θεσσαλονίκη. Επίσης διαθέτει παραρτήματα σε Κύπρο, Τουρκία, Ιορδανία, Αλβανία και Αίγυπτο. Σε αυτό το σημείο αξίζει να αναφέρουμε οτι (τραγική ειρωνεία) μεταξύ άλλων στις υπηρεσίες που παρέχει η TUV AUSTRIA HELLAS ειναι και διαπιστεύσεις σχετικά με την ασφάλεια πληροφοριακών συστημάτων όπως μπορείτε να δείτε [εδώ]

Το SecNews έλαβε ενημέρωση σχετικά με την διασπορά του malware από την φιλικά προσκείμενη ιστοσελίδα http://www.safer-internet.gr/.

Οι αγαπητοί φίλοι μας από το Safer-Internet μας απέστειλαν το μήνυμα που κυκλοφορεί στο Facebook το οποίο και μπορείτε να δείτε παρακάτω:facebookΓια δική σας ασφάλεια παρακαλούμε ΝΑ ΜΗΝ ανοίξετε τον σχετικό σύνδεσμο. Οι σύνδεσμοι διαφέρουν ανα στοχοποιούμενο χρήστη και πολλοί απο αυτούς είναι ανενεργοί αυτή την στιγμή.

Η έρευνα και ανάλυση του SecNews

Ερευνητές του SecNews προχώρησαν σε ενδελεχή ανάλυση του κακόβουλου λογισμικού ώστε να καταγράψουμε τι ακριβώς ενέργειες πραγματοποιεί όταν εγκατασταθεί στους υπολογιστες των θυμάτων.

computer-virus-malware

  • Όταν ο ανυποψίαστος χρήστης προβεί σε “ανοιγμά” του Link το κακόβουλο λογισμικό εγκαθίστατε από την ιστοσελίδα της TUV Austria Hellas στον υπολογιστή του στόχου. Το αρχείο που λαμβάνει ο ανυποψίαστος χρήστης έχει την ονομασία Photo-023.JPEG-FACEBOOK.COM.exe με το όνομα να κυκλοφορεί σε διαφορετικές παραλλαγές.
  • Ως εικονίδια του κακόβουλου λογισμικού εμφανίζονται κυρίως φωτογραφίες sexy γυναικών.
  • Το κακόβουλο λογισμικό επηρεάζει ΜΟΝΟ υπολογιστές Windows και κυρίως παλαιότερες εκδόσεις. Δεν πραγματοποιεί εγκατάσταση σε Windows 8
  • Χωρίς να γίνεται αντιληπτό το κακόβουλο λογισμικό πραγματοποιεί λήψη επιπλέον κώδικα απο ιστοσελίδες του εξωτερικού.
  • Το malware σύμφωνα με την ανάλυση που διενεργήσαμε φαίνεται οτι έχει δημιουργηθεί σαφέστατα από Ρώσους κυβερνοεγκληματίες
  • Το κακόβουλο λογισμικό πραγματοποιεί τις κακόβουλες ενέργειες του περίπου 20 λεπτά μετά την λήψη του και όχι άμεσα με την εγκατάστασή του (παραμένει “εν υπνώσει” αναμένοντας εντολές)
  • Μέχρι και πρίν απο μερικές ώρες το λογισμικό πραγματοποιούσε διασπορά κυρίως σε χρήστες του Facebook στο εξωτερικό. Πολλαπλά τα μηνύματα χρηστών στο Twitter όπως μπορείτε να διαπιστώσετε [εδώ]

[wdca_ad id=”73257″ ]

Δυνατότητες κακόβουλου λογισμικού στο τερματικό σταθμό του χρήστη

Το λογισμικό αφού εγκαταστήσει πρόσθετο κώδικα όπως αναφέραμε παραπάνω διαθέτει δυνατότητα:

  • Παράκαμψης του συνόλου των γνωστών antivirus
  • πραγματοποιεί άνοιγμα πύλης εισόδου στο τερματικό του χρήστη εν αγνοία του (open listening network service/port)
  • συγκεντρώνει πληροφορίες από τον τερματικό σταθμό όπως όνομα υπολογιστή, στοιχεία χρήστη,λειτουργικό σύστημα και ώρα/ημερομηνία υπολογιστή (timezone)
  • υποκλέπτει όλους τους κωδικούς που έχετε στους browsers σας (Chrome,Firefox, Internet explorer)
  • τοποθετεί τα υποκλαπέντα δεδομένα (όπως κωδικούς, στοιχεία πρόσβασης και αρχεία) σε εξυπηρετητές του εξωτερικού μέσω HTTP requests (web traffic)

Διαπιστώσαμε ότι το κακόβουλο λογισμικό πραγματοποιεί συνδέσεις προς τις παρακάτω IP διευθύνσεις για αποστολή των υποκλαπέντων δεδομένων από τους ανυποψίαστους χρήστες

IP.Addresses

– www.rekurigo.com (46.226.108.67) – Ο εξυπηρετητής βρίσκεται στο Λουξεμβούργο (Gandi SAS)

– www10.0zz0.com (70.38.12.147) – Ο εξυπηρετητής βρίσκεται στον Καναδά

Οι συνδέσεις που πραγματοποιεί είναι οι ακόλουθες:

 

connections.malware

Το κακόβουλο λογισμικό τοποθετεί τα ακόλουθα αρχεία στον δίσκο των θυμάτων:

cookies.sqlite.tmp

{4ab21c66-2da1-7977-4743-e1644ab21c66}.exe

user@facebook[1].txt

cookies.sqlite-wal

ΑΜΕΣΕΣ ΕΝΕΡΓΕΙΕΣ

security-protection-hacking

Το SecNews θεωρεί ότι θα πρέπει να πραγματοποιηθούν άμεσες ενέργεις αναφορικά με τον περιορισμό της διασποράς του λογισμικού αλλά και την συνολική προστασία των ανυποψίαστων χρηστών. Συγκεκριμένα:

– Η εταιρεία TUV Austria Hellas θα πρέπει ΑΜΕΣΑ να κατεβάσει την ιστοσελίδα της και να την ελέγξει ενδελεχώς για ίχνη πρόσβασης απο τρίτους. Κατά την έρευνά μας διαπιστώσαμε οτι η ιστοσελίδα είναι τοποθετημένη σε τρίτο πάροχο (όνομα εξυπηρετητή srv43.wowgroup.gr) ο οποίος και φέρει την ουσιαστική ευθύνη (http://www.wowgroup.gr/). Είναι ιδιαίτερα σημαντικό να διερευνηθεί αν οι κυβερνοεγκληματίες έχουν πραγματοποιήσει υποκλοπή στοιχείων και δεδομένων πελατών από τις εμπλεκόμενες εταιρείες (WOW Group ή TUV Austria Hellas) και να καθοριστεί σαφώς πότε τοποθετήθηκε το malware και άρχισε η διασπορά του. Η χρήση της παραπάνω ιστοσελίδας  (TUV Austria Hellas) για την διασπορά του κακόβουλου λογισμικού είναι άκρως ανησυχητική και αναδεικνύει σημαντικότατα ζητήματα προς επίλυση τόσο απο τους υπεύθυνους διαχειριστές αλλά και την διοίκηση της εταιρείας. Αξίζει να αναφέρουμε οτι η TUV  αποτελεί διεθνή εταιρεία, μια απο τις πλέον γνωστές στον χώρο των σχετικών πιστοποιήσεων ασφάλειας!

– Οι πάροχοι υπηρεσιών Internet να προβούν σε αποκοπή (φιλτράρισμα) των παραπάνω IP διευθύνσεων ώστε να επιτευχθεί η προστασία των πελατών τους.

– Οι χρήστες να είναι ιδιαίτερα προσεκτικοί κατά την λήψη παρόμοιων μηνυμάτων και να αναφέρουν αρμοδίως σε περίπτωση που έχουν λάβει σχετικά μηνύματα.

To SecNews ευχαριστεί την φιλική ιστοσελίδα Safer-internet για την έγκαιρη και έγκυρη ενημέρωση

[Update 1: – 27-1-2014/20:45] Πλήρη επιβεβαιώση του SecNews αναφορικά με το θέμα της διασποράς του κακόβουλου malware από την ιστοσελίδα της TUV Austria Hellas. Η ιστοσελίδα πλέον ανακατευθύνετε στην ιστοσελίδα της μητρικής εταιρείας ( στην Αυστρία) όπως μπορεί να δεί ο οποιοσδήποτε επισκεφτεί την ιστοσελίδα http://www.tuvaustriahellas.gr. Η ιστοσελίδα της εταιρείας έχει τεθεί εκτός λειτουργίας και οι αρμόδιοι διαχειριστές προχωρούν στην ανάλυση του συμβάντος. Δεν έχουμε κάμια επιπλέον ενημέρωση ή δελτίο τύπου από την εταιρεία αναφορικά με το περιστατικό.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS