Kaspersky Labs kvartalsrapport viser en kraftig forøgelse i computervirus og ondsindet malvare-angreb.

Computer bot net- IP-SupportIfølge Kaspersky Labs har deres produkter fundet og neutraliseret næsten 1 milliarder skadelige objekter i 1. kvartal 2012. Det er 28 % mere end foregående kvartal.

Online malware penetrationsforsøg tegnede sig for 50% af alle angreb. Det er op til 10 % i forhold til sidste kvartal.

Der blev opdaget 95,080,549 URL’er der indeholder ondsindet kodet, hvilket er 61 % mere end i 4. kvartal 2011.

Malware Oversigt

Botnets reloaded

Botnets er en af ​​de cyberkriminelles vigtigste teknologier. Botnet teknologierne har udviklet sig over flere år og der er i dag ebn kraftig forøgelse i eks. vis decentrale botnets og botnets administreres via sociale netværk, hvor drive-by downloads bliver den primære metode til inficering af ofrene. I denne henseende, var 2011 et relativt begivenhedsløst år og cyberkriminelle kom ikke rigtigt op med noget radikalt nyt. Men dette har ændret sig i ​​2012.

1. kvartal 2012, skabtes for første gang, botnet ved hjælp af en ‘fileless “bot. Der blev opdaget et mobil botnet, der var sammenlignelig i størrelse med typiske Windows-botnet, samt det berømte Flash-botnet bestående af mere end 700.000 Apple-computere, der kører Mac OSX.

Den usynlige bot

I 1. kvartal 2012, opdagede Kaspersky Labs et botnet skabt ved hjælp af en ny teknologi: botmaster brugt en ‘fileless’ bot. Dette malware tilhører en meget sjælden race af ondsindede programmer, der kun eksisterer i computerens RAM.

Problemet manifesterede sig i anomalier på inficerede computere: de begyndte at sende netværks forespørgsler til tredjeparts ressourcer efter at have besøgt nogle populære russiske hjemmesider, og i nogle tilfælde dukkede ukendte krypterede filer op på ofrenes harddiske. Samtidig med at der ikke blev identificeret nye eksekverbare filer på harddiskene. Yderligere analyse har identificeret en hel kæde, involveret i at inficere computere og skabe et botnet, der var langt fra ufarligt.

I den første fase når computer blev inficeret via et drive-by angreb, udnyttedes et hul i Java-klienten CVE-2011-3544. Et link omdirigerede så brugeren til hjemmesiden, der indeholdt fejlen, indsat i en teaser annonce på nogle nyhedssider. Denne teaser-annonce blev distribueret via AdFox, et russisk reklamebanner netværk.

Efter en succesfuld udnyttelse af Java sårbarheden, overføres et ondsindet DLL ind i en ​​Java proces i stedet for direkte til harddisken. Malwaren opfører sig herefter, som om den udfører opgaver på vegne af Java processen.
Lidt ligesom en JAVA Update, som så i ro og mag kan indsamle oplysninger om de steder, brugeren besøger.

Hvis der indgår bank-relaterede ressourcer, så ville ”Lurk” Trojaneren, blive installeret som en del af JAVA og rettet mod brugerens online-banking legitimationsoplysninger. – Lige denne her malware er nu bremset og indkapslet.

Selv om skadelig proces kun forblev i berørte RAM klodser indtil operativsystemet blev genstartet, så spredtes smitten hurtigt via populære hjemmesider. De cyberkriminelle inficerede computere hver dag, og dermed bevarer og vedligeholde en given bot population. Det er værd at bemærke, at næsten ingen spor af infektion eller dataindsamling forblev på computerens harddisk, når ramte operativsystemer blev genstartet.

I den beskrevne hændelse, udnyttedes to velkendte teknologier – udnyttelse af sårbarheder og injektion i en legitim proces uden at gemme en fil på harddisken – kombineret i et enkelt stykke farligt malware. Når en ‘fileless’ bot bruges, er det meget svært, at identificere de computere der udgør botnettet, da ingen nye eksekverbare filer vises på harddisken, og de cyberkriminelle får på denne måde mulighed for at udføre deres aktioner på vegne af Java, som en legitim proces. Selv patching er effektiv mod denne og lignende trusler, er der altid en overflod af brugere der undlader at lappe deres systemer med rettidig omhu. Dette betyder, at vi nok vil se flere lignende malware angreb i fremtiden, men måske ikke på så massiv skala da dette trods alt temmelig avanceret.

Nysgerig så læs mere på Kaspersky Labs Rapport

-Kaspersky Labs – leveres i samarbejde med Secconse.com

-Leverandør af Netværk, Sikkerhedsløsninger og Hosting

Secconse - Netværk, sikkerhedsløsninger og hosting