r   e   k   l   a   m   a
r   e   k   l   a   m   a

Nie ma dnia bez złośliwego spamu w skrzynce – cyberprzestępcy o dwa kroki przed antywirusami

Strona główna AktualnościBEZPIECZEŃSTWO

Zaktywizowali się w ostatnich dniach cyberprzestępcy rozsyłający złośliwe oprogramowanie w załącznikach do poczty elektronicznej. Wczoraj dostaliśmy bardzo ładnie złożoną wiadomość o zaległej fakturze, zachęcającą do otworzenia dokumentu .docx ze szczegółowymi informacjami, dzisiaj z rana przyszedł dokument z zamówieniem na targi, co ciekawe w formacie .jar Javy – i w zasadzie nie ma dnia, by nie było w skrzynce złośliwego spamu.

Twórcy tego typu ataków liczą przede wszystkim na ludzi, którzy otrzymują setki wiadomości dziennie, i których częścią pracy jest po prostu czytanie przychodzącej poczty. Rady w rodzaju „nigdy nie otwieraj załączników przysłanych e-mailem” są zupełnie bez sensu w odniesieniu do osób, które muszą czytać wiele dokumentów, przesyłanych właśnie najczęściej w postaci załączników.

Niestety trzeba to też otwarcie powiedzieć, że antywirusy też nie dają gwarancji bezpieczeństwa. Każdy, kto otrzymał taki załącznik, może wgrać go do online’owego skanera VirusTotal, by przekonać się, że ze skutecznością detekcji bywa różnie. Wspomniany plik .jar, jaki do nas dziś rano trafił, wykryło jedynie osiem z 54 antywirusów. Bardzo ładnie przeanalizowany przez niebezpiecznik.pl szkodnik, który krył się w plikach Worda z zawiadomieniami o fakturach, był wykryty przez 12 z 54 antywirusów. Z czasem skuteczność detekcji dla tych pozostałych będzie rosła, jednak pamiętajmy – lwia część infekcji zachodzi w ciągu pierwszych 24 godzin.

r   e   k   l   a   m   a

Sytuację pogarsza jeszcze fakt, że pojawiają się szkodniki na granicy wykrywalności. Kilka dni temu dostaliśmy „zawiadomienie o płatności” z załączonymi „fakturami” w pliku zip. Ukryty tam mocno zaciemniony plik JavaScriptu został rozpoznany jedynie przez dwa chińskie antywirusy. A co, jeśli żaden z antywirusów nie zdoła rozpoznać malware? Czy taki plik należy uznać za bezpieczny, czy też po prostu za świetnie zaciemniony? Wiele z tych podejrzanych załączników to często maile od np. chińskich sprzedawców, którzy piszą po angielsku tak jak potrafią – i trzeba przyznać, że czasem oferują bardzo ciekawe rzeczy w bardzo atrakcyjnych cenach.

Niebawem może zresztą dotrzeć do nas jeszcze gorsza fala spamware. Badacze Trend Micro mówią o nowej kampanii twórców bankowego szkodnika Dridex, podobno pokonanego przez FBI w 2015 roku. Tym razem, zamiast zwykłych e-maili z fakturami czy powiadomieniami o urzędowych sprawach, cyberprzestępcy (którzy nie przejęli się zwycięstwem FBI i uruchomili sobie nowe serwery dowodzenia i kontroli) mają rozsyłać e-maile informujące o czyhających na użytkownika zagrożeniach, włącznie z przejęciem konta bankowego.

By oszukać antywirusy, Dridex zmienił swoje modus operandi i teraz jego dropper, zamiast bezpośrednio pobierać szkodnika, uruchamia zaciemnione makro, pobierające plik PFX, zwykle wykorzystywany do przechowywania kluczy szyfrujących. Antywirusy uważają w zdecydowanej większości takie pliki za całkiem zdrowe – ale w tym wypadku to błąd, ponieważ w momencie, gdy plik taki zagości w Windowsie 8 i nowszych, skrypt makro uruchamia sobie narzędzie certutil, element wbudowanych w system Certificate Services. Za jego pomocą PFX zostaje przekształcony w EXE – i może już się uruchomić i zarazić system. Antywirus już przecież uznał go za bezpiecznego.

Jak więc żyć w takich czasach, gdy wydaje się, że twórcy malware są przynajmniej o dwa kroki do przodu przed producentami zabezpieczeń? Nowe generacje antywirusów, odchodząc od detekcji na bazie sygnatur, próbują swoich sił z algorytmami wykorzystującymi logiki rozmyte do rozpoznawania potencjalnie złośliwych plików – jednak skuteczność tych rozwiązań do tej pory nie została ustalona poza deklaracjami producentów. Najbardziej obiecująco wypada podejście określane jako bezpieczeństwo przez izolację: wiele antywirusów zaczyna dostarczać spreparowane, izolowane przeglądarki internetowe, które nie mają dostępu do reszty systemu operacyjnego – i mają służyć głównie do e-bankowości.

Może właśnie tak też powinno walczyć się ze złośliwym spamem? Oprócz bezpiecznej przeglądarki użytkownikom potrzebny byłby bezpieczny klient poczty z izolowaną wyświetlarką plików, pozwalającą przynajmniej na podejrzenie załącznika poczty. Niestety dzisiaj, gdy większość internautów i tak korzysta z poczty webmailowej, tego typu rozwiązanie w najlepszym razie trafiłoby do użytkowników biznesowych. Ci zaś oczekują nie jakiegoś tam przypadkowego opensource’owego klienta poczty, ale dobrze znanego sobie Outlooka, najlepiej połączonego z serwerem Exchange. I tu kółko się zamyka – coś takiego mógłby dostarczyć tylko Microsoft, jednak mechanizmy konteneryzacji i wirtualizacji w Windowsie wciąż są w powijakach, i mimo całego zainteresowania Dockerem szybko na windowsowym pulpicie ich nie zobaczymy.

Tak więc – póki co klikajcie ostrożnie.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.