Egy Skype támadás margójára

2013. november 27. 17:42 - Csizmazia Darab István [Rambo]

Megjelent az ESET összegző jelentése a májusban feltűnt és a világ nagy részén az azonnali üzenetküldő szolgáltatásokon elterjedt rosszindulatú programról. Idén május közepén felhasználók ezrei kaptak különféle üzeneteket ismerősiektől olyan azonnali üzenetküldő alkalmazásokon keresztül, mint a Skype és a Gtalk.

Az üzenetekben arra kérték a felhasználót, hogy nézzenek meg egy olyan fényképet, amit különböző közösségi média felületekre töltöttek fel, ám ez hivatkozás valójában átirányította a felhasználókat egy link rövidítővel átalakított URL-re, amely kártékony programokat tartalmazott. Többek közt a goo.gl, bit.ly, ow.ly, urlq.d, is.gd, fur.ly segítségével rövídített hivatkozások szerepeltek a linkek között. Pusztán a rövidítés még nyilván nem ad okot gyanakvásra, hiszen például a 140 karakter hosszúságú Twitter üzenetek nem is képzelhetőek el nélkülük. De míg például a Google ilyen szolgáltatása általánosságban is megbízhatónak számít, ezzel szemben a bit.ly és a többi líbiai doménhez kapcsolódó link rövidítő szinte kizárólag a kártevők terjesztésénél bukkan fel manapság.

Az első hullám utáni napokban a kiberbűnözők megváltoztatták az üzenetek tartalmát, és ezek a későbbiekben többféle szövegezéssel ismét megjelentek, de alapjaiban nem volt különbség, itt is az áldozatok minden ismerőse megkapta a fertőzött üzenetet. Az ESET-hez több különböző csatornán keresztül is érkeztek értesítések a támadásról. Egyrészt az ESET korai riasztási rendszerén (ESET Early Warning System), másrészt maguk a felhasználók is jelezték mindezt. Emellett az ESET latin-amerikai laborjában dolgozók is felfigyeltek az incidensre, hiszen maguk is használták a Skype-ot, így saját bőrükön tapasztalták a támadást.

A statisztikai adatokból jól kiolvasható, hogy legkevesebb 300,000 felhasználót sikerült ezzel a módszerrel rávenni a fertőzött linkre való kattintásra, ezek többsége Latin-Amerikából (67%) származott, majd ezt követte Oroszország és Németország, de ugyanakkor az Eset magyarországi csapata is találkozott már ilyen típusú incidenssel. A fertőzési időszak nagyjából május vége és június eleje között történt, és okozott károkat az említett térségekben. A fenyegetés alapos elemzése után azonban a korai felismerésnek hála sikerült elejét venni a további jelentősebb terjedésnek, és figyelmeztetni tudták a régióban élő felhasználókat a rohamosan terjedő új féreg megjelenéséről. Az ESET termékei az első támadási hullámban Win32/Rodpicom.C néven azonosították kártékony féreg programot, míg az újabb kártevő verziók esetében pedig Win32/Kryptik.BBKB egy változataként észlelték ezeket és blokkolták a támadást.

Tanulságképpen érdemes megjegyezni, hogy nem csak az ismeretlenektől, kéretlenül kapott e-mailek esetebén érdemes vigyázni a csatolmányokra, vagy a weboldal hivatkozásokra, hanem az üzenetküldőkön keresztül kapott linkeket tartalmazó üzeneteknél is, még ha ezek látszólag ismerőseinktől is érkeztek. A védekezésben a naprakész vírusirtó mellett az óvatosságnak is jelentős szerepe van, és az ismerősöktől származó, de szokatlan hangvételű, idegen nyelvű, vagy esetleg mindössze csak egy linket tartalmazó üzenetek esetében is érdemes óvatosnak lenni, és nem kattintani.

4 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr185661327

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Lakásfelújítás1 Kft 2013.11.28. 04:08:58

Gratula az Eset-nek. Jó a poszt és tartalmas. A lényeg pedig az utolsó mondatban rejlik!

A védekezésben a naprakész vírusirtó mellett az óvatosságnak is jelentős szerepe van, és az ismerősöktől származó, de szokatlan hangvételű, idegen nyelvű, vagy esetleg mindössze csak egy linket tartalmazó üzenetek esetében is érdemes óvatosnak lenni, és nem kattintani.

Soha ne nyiss meg olyan levelet, ami furcsa karakterkódolással, furcsán hosszú linkből érkezik a fiókosba.

Egy ismerősömnek így küldtek egy trójai vírust, persze nem volt a gépén telepített védelem.

Új gépet vett, mert drágább lett volna a javítás, mint az új gép ára!

inebhedj - szerintem 2013.11.28. 07:06:39

@Lakásfelújítás1 Kft:

"Új gépet vett, mert drágább lett volna a javítás, mint az új gép ára!"

???

o̝͚̣͔̙̜̜̞͉̺̞̬̖̱͉̼͛̑ͧ́̀̓̈́̓̾̇ͭͣ̆͊͌̑m͕̘̻̬̙̟͔̼̳̬̜̪͕͍̫ 2013.11.28. 07:35:28

@inebhedj - szerintem: ja, nekem is volt ilyen, akkora trójait kapott a gép, hogy beleégett a memóriába meg az alaplapba a vírus és azt is mondták, hogy egyesek és nullák mellett megjelentek kettesek is a merevlemezen.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2013.11.28. 08:53:23

Ezt az új gép vételt én sem értem.

Újraparticionálás, formázás, és uccu neki újratelepítés. Ez ráhagyással is csak 2 óra, max 10 ezer munkadíjjal.