Nie ma dnia bez złośliwego spamu w skrzynce – cyberprzestępcy o dwa kroki przed antywirusami

Zaktywizowali się w ostatnich dniach cyberprzestępcy rozsyłającyzłośliwe oprogramowanie w załącznikach do poczty elektronicznej.Wczoraj dostaliśmy bardzo ładnie złożoną wiadomość o zaległejfakturze, zachęcającą do otworzenia dokumentu .docx zeszczegółowymi informacjami, dzisiaj z rana przyszedł dokument zzamówieniem na targi, co ciekawe w formacie .jar Javy – i w zasadzienie ma dnia, by nie było w skrzynce złośliwego spamu.

Twórcy tego typu ataków liczą przede wszystkim na ludzi, którzyotrzymują setki wiadomości dziennie, i których częścią pracyjest po prostu czytanie przychodzącej poczty. Rady w rodzaju „nigdynie otwieraj załączników przysłanych e-mailem” są zupełniebez sensu w odniesieniu do osób, które muszą czytać wieledokumentów, przesyłanych właśnie najczęściej w postacizałączników.

Niestety trzeba to też otwarcie powiedzieć, że antywirusy teżnie dają gwarancji bezpieczeństwa. Każdy, kto otrzymał takizałącznik, może wgrać go do online’owego skanera VirusTotal,by przekonać się, że ze skutecznością detekcji bywa różnie.Wspomniany plik .jar, jaki do nas dziś rano trafił, wykryłojedynie osiem z 54 antywirusów. Bardzo ładnie przeanalizowanyprzez niebezpiecznik.pl szkodnik, który krył się w plikach Worda zzawiadomieniami o fakturach, był wykryty przez 12 z 54 antywirusów.Z czasem skuteczność detekcji dla tych pozostałych będzie rosła,jednak pamiętajmy – lwia część infekcji zachodzi w ciągupierwszych 24 godzin.

Sytuację pogarsza jeszcze fakt, że pojawiają się szkodniki nagranicy wykrywalności. Kilka dni temu dostaliśmy „zawiadomienie opłatności” z załączonymi „fakturami” w pliku zip. Ukrytytam mocno zaciemniony plik JavaScriptu został rozpoznany jedynieprzez dwa chińskie antywirusy. A co, jeśli żaden z antywirusównie zdoła rozpoznać malware? Czy taki plik należy uznać zabezpieczny, czy też po prostu za świetnie zaciemniony? Wiele z tychpodejrzanych załączników to często maile od np. chińskichsprzedawców, którzy piszą po angielsku tak jak potrafią – itrzeba przyznać, że czasem oferują bardzo ciekawe rzeczy w bardzoatrakcyjnych cenach.

Niebawem może zresztą dotrzeć do nas jeszcze gorsza falaspamware. Badacze Trend Micro mówią o nowej kampanii twórcówbankowego szkodnika Dridex, podobno pokonanego przez FBI w 2015 roku.Tym razem, zamiast zwykłych e-maili z fakturami czy powiadomieniamio urzędowych sprawach, cyberprzestępcy (którzy nie przejęli sięzwycięstwem FBI i uruchomili sobie nowe serwery dowodzenia ikontroli) mają rozsyłać e-maile informujące o czyhających naużytkownika zagrożeniach, włącznie z przejęciem konta bankowego.

By oszukać antywirusy, Dridex zmienił swoje modus operandi iteraz jego dropper, zamiast bezpośrednio pobierać szkodnika,uruchamia zaciemnione makro, pobierające plik PFX, zwyklewykorzystywany do przechowywania kluczy szyfrujących. Antywirusyuważają w zdecydowanej większości takie pliki za całkiem zdrowe– ale w tym wypadku to błąd, ponieważ w momencie, gdy plik takizagości w Windowsie 8 i nowszych, skrypt makro uruchamia sobienarzędzie certutil, element wbudowanych w system CertificateServices. Za jego pomocą PFX zostaje przekształcony w EXE – imoże już się uruchomić i zarazić system. Antywirus już przecieżuznał go za bezpiecznego.

Jak więc żyć w takich czasach, gdy wydaje się, że twórcymalware są przynajmniej o dwa kroki do przodu przed producentamizabezpieczeń? Nowegeneracje antywirusów, odchodząc od detekcji na bazie sygnatur,próbują swoich sił z algorytmami wykorzystującymi logiki rozmytedo rozpoznawania potencjalnie złośliwych plików – jednakskuteczność tych rozwiązań do tej pory nie została ustalona pozadeklaracjami producentów. Najbardziej obiecująco wypada podejścieokreślane jako bezpieczeństwo przez izolację: wiele antywirusówzaczyna dostarczać spreparowane, izolowane przeglądarkiinternetowe, które nie mają dostępu do reszty systemu operacyjnego– i mają służyć głównie do e-bankowości.

Może właśnie tak też powinno walczyć się ze złośliwymspamem? Oprócz bezpiecznej przeglądarki użytkownikom potrzebnybyłby bezpieczny klient poczty z izolowaną wyświetlarką plików,pozwalającą przynajmniej na podejrzenie załącznika poczty.Niestety dzisiaj, gdy większość internautów i tak korzysta zpoczty webmailowej, tego typu rozwiązanie w najlepszym razietrafiłoby do użytkowników biznesowych. Ci zaś oczekują niejakiegoś tam przypadkowego opensource’owego klienta poczty, aledobrze znanego sobie Outlooka, najlepiej połączonego z serweremExchange. I tu kółko się zamyka – coś takiego mógłbydostarczyć tylko Microsoft, jednak mechanizmy konteneryzacji iwirtualizacji w Windowsie wciąż są w powijakach, i mimo całegozainteresowania Dockerem szybko na windowsowym pulpicie ich niezobaczymy.

Tak więc – póki co klikajcie ostrożnie.