Fortinet:Toename van financiële malware
Fortinet, leverancier van netwerkbeveiliging, heeft de resultaten bekend gemaakt van het FortiGuard Labs onderzoek naar internetbedreigingen, gedaan in de afgelopen drie maanden. FortiGuard Labs laat een aantal voorbeelden van malware zien die vier kenmerkende methodes illustreren waarop cybercriminelen tegenwoordig hun slachtoffers geld afhandig te maken. Daarnaast wijst het rapport op een stijgende activiteit van malwarevarianten van de Android Plankton ad kit bij mobiele toepassingen en op het groeiende aantal hacktivisten die webservers scannen om zwakke punten op te sporen.
In de afgelopen drie maanden heeft FortiGuard Labs vier vormen van malware geïdentificeerd waarbij binnen een erg korte periode (van een dag tot een week) een erg hoog activiteitsniveau werd vastgesteld. Die zijn typerend voor vier methoden die cybercriminelen tegenwoordig steeds vaker toepassen om munt uit hun malware te slaan:
1. Simda.B: deze malware dient zich aan als een flashupdate die gebruikers overhaalt om er volledige installatierechten aan toe te kennen. Zodra de malware geïnstalleerd is, steelt het de wachtwoorden van de gebruiker. Dat geeft cybercriminelen de kans om de e-mails en de accounts die het slachtoffer op sociale netwerken heeft, binnen te dringen en spam of malware te verspreiden. Tegelijk krijgen de criminelen ook toegang tot de administratieaccounts van websites, zodat ze er kwaadwillige sites op kunnen plaatsen en ze geld van online betaalsystemen kunnen versluizen.
2. FakeAlert.D: deze malware, een nep-antivirusprogramma waarschuwt gebruikers via een overtuigend uitziend pop-upvenster dat hun computer met virussen besmet is. Tegen betaling zal het nep-antivirusprogramma de virussen uit de computer van het slachtoffer verwijderen.
3. Ransom.BE78: dit is een losgeldprogramma, een malware dat verhindert dat gebruikers toegang krijgen tot hun persoonlijke gegevens en zo voor heel wat frustratie zorgt. De besmetting vertoont twee werkwijzen: ze verhindert dat de gebruiker zijn machine kan starten ofwel codeert ze gegevens op de machine van het slachtoffer en vraagt dan een betaling voor de sleutel om de gegevens te decoderen. Het verschil tussen losgeldprogramma’s en nep-antivirusprogramma’s is dat losgeldprogramma’s het slachtoffer bij de installatie geen keuze geven. Losgeldprogramma’s installeren zichzelf automatisch op een toestel en vragen dan geld om van het systeem verwijderd te kunnen worden.
4. Zbot.ANQ: dit Trojaanse paard is de ‘client-kant’ van een versie van de beruchte Zeus kit. Het onderschept de pogingen van een gebruiker om bij zijn bank in te loggen en spiegelt dan sociale toepassingen voor om de gebruiker ertoe aan te zetten om een mobiele component van de malware op zijn smartphone te installeren. Zodra het mobiele element geïnstalleerd is, kunnen cybercriminelen sms-berichtjes met bankbevestigingen onderscheppen en vervolgens geld naar een rekening van een tussenpersoon overschrijven.
“De manieren om munt uit malware te slaan, zijn in de loop der jaren gewijzigd en cybercriminelen lijken steeds roekelozer een snelle financiële winst te willen halen," zei Guillaume Lovet, senior manager van het Threat Response Team van FortiGuard Labs. “Tegenwoordig worden er niet alleen op een steelse manier wachtwoorden gestolen, maar worden besmette gebruikers ook gechanteerd om te betalen. De basismaatregelen die een gebruiker kan nemen om zichzelf te beschermen, zijn echter niet veranderd. Gebruikers moeten beveiligingsoplossingen op hun systeem installeren, moeten hun software snel met de nieuwste versies en patches updaten, geregeld scans uitvoeren en hun gezond verstand gebruiken.”
In zijn recentste rapport over de bedreigingen wees FortiGuard Labs op een groeiende verspreiding van de Android Plankton ad kit. Deze specifieke malware plaatst een set instrumenten op een android-toestel van de gebruiker. Die instrumenten laten ongewilde advertenties in de statusbalk van de gebruiker verschijnen, sporen het IMEI-nummer (International Mobile Equipment Identity) van de gebruiker op en plaatsen icoontjes op het bureaublad van het toestel. De voorbije drie maanden is de activiteit van de kit sterk gedaald. In plaats daarvan heeft FortiGuard Labs de opkomst van ad kits vastgesteld die direct door Plankton geïnspireerd lijken en die hetzelfde hoge activiteitsniveau halen als dat van Plankton drie maanden geleden.
“De ad kits die we geregistreerd hebben, suggereren dat de makers van Plankton detectie proberen te vermijden. Een andere mogelijkheid is dat concurrerende ontwikkelaars van ad kits een stuk van de winstgevende adware-koek voor zich proberen op te eisen. Hoe dan ook, het activiteitsniveau van de ad kits dat we vandaag vaststellen, laat vermoeden dat Android-gebruikers een gewilde doelgroep zijn. Zij zouden dus bijzonder oplettend moeten zijn wanneer ze apps op hun smartphone downloaden,” zei Guillaume Lovet.
Gebruikers kunnen zichzelf beschermen door aandachtig de rechten te onderzoeken die een applicatie op het moment van installatie vraagt. Het is ook raadzaam om alleen mobiele applicaties die onderzocht werden en een goede beoordeling gekregen hebben, te downloaden.
In het derde kwartaal van 2012 detecteerde FortiGuard Labs hoge activiteitsniveaus bij ZmEu, een instrument dat Roemeense hackers ontwikkeld hebben om webservers die op kwetsbare versies van de mySQL administratiesoftware (phpMyAdmin) draaien, te scannen. Bedoeling is om de controle van die servers over te nemen. Sinds september is het activiteitsniveau negen keer groter geworden, tot het in december stabiliseerde.
“Die activiteitspiek suggereert een toegenomen interesse vanwege hacktivisten, wellicht om de zaken voor uiteenlopende protesten en actiebewegingen in de hele wereld te vereenvoudigen. We verwachten dat die scanactiviteiten hoog blijven omdat hacktivisten almaar meer acties ondersteunen en hun successen bekendmaken,” zegt Guillaume Lovet. Om webservers tegen die dreiging te beschermen, raadt FortiGuard Labs aan om de nieuwste versie van PhPMyAdmin te installeren.
