Ta del av allt innehåll på Aktuell Hållbarhet
Starta din prenumeration

Prenumerera

Klimat

Gör dig redo att infekteras

Publicerad: 12 maj 2009, 04:21

Och nu talar vi inte om svininfluensan. Masken Conficker infekterar miljoner runt om i världen.


Det är business as usual, meddelar Halon Security i sin trendrapport om hot på Internet för första kvartalet 2009.

Huvudnyheten det första kvartalet var den snabba fortplantningen av masken Conficker. Forskningen visar att dess tre varianter har infekterat fler än 15 miljoner datorer och har byggt upp ett massivt zombie-botnät, från det att den uppträdde på scenen i november 2008. Botnätet låg latent flera veckor, vilket gjorde datoranvändare nervösa och sårbara. Nätet började det aktiveras för sitt uppsåtliga syfte i mitten av april 2009.

Genom hela kvartalet fortsatte spammare och sabotageprogrammerare att exploatera legitima webbsidor för att ta sig förbi traditionella metoder för innehållsfiltrering. Bland de nya metoderna finner vi en inriktning på Internetleverantörer och lån av bilder från legitima välkända hotell för användning i e-postmeddelanden.

En annan växande trend är användningen av sociala nätverkssidor (t.ex. Facebook och Twitter) för nätfiske. Genom att använda sig av vänners nätverk har användare fallit offer för bedrägerier som stjäl lösenord och pengar.

Conficker slingrar sig jorden runt

Fenomenet Conficker har kommit att bli en av de mest spridda maskarna någonsin och slutet är inte någonstans i sikte. När den för första gången uppträdde i november exploaterade Conficker A en sårbarhet i Microsoft Windows, ålande in i ett system och genererade där en lista med 250 slumpvisa domäner. Det infekterade systemet kommunicerade därefter med domänerna ända tills det hittade den domän som skapats med ytterligare instruktioner.

Conficker B visade sig tidigt det första kvartalet 2009. Varianten passerade från dator till dator via gemensamma nätverk och minnespinnar. Den senaste varianten, Conficker C, stänger av säkerhetstjänster (t.ex. anti-virus mjukvara) och blockerar säkerhetsuppdateringar av webbsidor, vilket gör den svårare att behärska. För att spä på komplexiteten ytterligare så genererar Conficker C 50.000 slumpvisa domäner varje dag istället för 250.

Alla de tre varianterna av masken har infekterat ca 15 miljoner datorer runt om i världen och dess slutliga syfte har varit oklart. Masken ligger latent i flera veckor och väntar på ytterligare instruktioner. I mitten av april har den börjat användas för att skicka ut spam; och om ägaren av denna mask ordnar så att alla maskiner ”vaknar” på samma gång och arbetar som ett enda spammande botnät, finns det risk för en betydande ökning av spam under det andra kvartalet.

Spam

Företag runt om i världen fortsätter att skicka miljoner e-brev som ingen har bett om, täppa till inkorgar och sänka andras produktivitet. Efter McColos fall fjärde kvartalet 2008 och den efterföljande nedgången i mängden spam, har nivåerna så sakteliga återvänt till vad de låg på innan incidenten.

Spammare gör Internetleverantörer till måltavla

Legitima organisationer och internetleverantörer övervakar aktiviteten på Internet och sluter sig samman för att identifiera och svartlista distributörer för att förhindra ytterligare attacker. För att kringgå detta har spammarna börjat attackera internetleverantörerna, en åt gången. Ett generellt e-brev skickas till en lista med användare hos en internetleverantör; spammaren byter därefter till nästa lista och attackerar användare hos en annan internetleverantör och kan få dess meddelandeserver att försena upptäckten. Generellt är spammare svårare att identifiera och upptäcka när de använder den här metoden att skicka stora mängder till en ISP, till skillnad från att slumpvis skicka buntvis med e-post.

Ryska spamnivåer ökar

Under kvartalet har Commtouch noterat en uppgång i den mängd ryskspråkig spam som cirkulerar i världen. När den jämförs med andra typer av spammeddelanden är den ryska spammen unik – den skickas vanligtvis från legitima företag som en del av en direkt marknadsföringsplan. I resten av världen anses oombedd e-post som skickas i bulk vara just ”spam”. Ryska företag använder sig dock ofta av den här biliga metoden som en del av sin marknadsföring, eftersom beteendet sällan medför åtal – eller ens anses oacceptabelt i Ryssland.

Rysk spam kan också vara unik till sin form. Till skillnad från spam på andra språk som publicerar webbadresser och gömmer företagets telefonnummer och adresser, så innehåller ryskspråkig spam sällan länkar till webbsidor. E-posten innehåller ofta aktuella telefonnummer för mottagaren att ringa, även om telefonnumren generellt sett göms för att ta sig förbi traditionella innehållsfiltrerande system. Som kan ses i exemplet ovan (reklam för turist- och immigranttjänster, med hjälp för att erhålla visa eller körkortsbevis) innehåller telefonnumret bokstäver istället för några av siffrorna (dvs. ett ”O” istället för en nolla och en kyrillisk bokstav istället för siffran fyra).

ZDNet utnyttjas via Google Docs

Google Docs, en gratis onlinetjänst med kontorsapplikationer, har hjälpt till med fortplantning av nya utbrott det senaste kvartalet. En attack i början av 2009 utnyttjade den populära webbplatsen ZDNet, genom att påstå att ett Google-dokument hade rekommenderats av deras Tech Update-tjänst. Hyperlänken i e-postmeddelandet leder emellertid till en reklam för International Rx, där man som vanligt vill sälja Viagra.

CBS och Pizza Hut säljer dina favoritläkemedel

Spammarna fortsatte att utnyttja legitima sidor för att hysa sitt material. De maskerade också sina e-postadresser och alldeles nyligen har de börjat ”låna” bilder från legitima, välkända värdar för att använda i e-post i hopp om att ta sig förbi spamfilter.

I ett utbrott i januari inkluderades en bild kallad ”News Summary” i sidhuvudet. Det var samma bild som finns på en legitim sida från CBS News. Även om det fanns olika webbadresser i meddelandet så länkade de ändå till samma sida med läkemedel.

I exemplet här används bilder från den legitima sidan från Pizza Hut för att förvirra traditionella bildscannande spamfilter. I exemplet här används den gröna knappen ”Order Now” och fliken ”Find Exclusive Deals Online!”, bilder som kommer från Pizza Huts sidor.

Sociala nätverk och nätfiske

Sociala webbsidor så som Facebook, Twitter och MySpace har blivit mål för cyberkriminella som letar efter sätt att tjäna pengar genom att lura nätverk av vänner eller genom att stjäla lösenord för att få tillgång till personliga och finansiella konton. Allt eftersom dessa nätverk ökar i popularitet och antal användare, har allvaret i nätfiskeattackerna också ökat.

Facebookvän eller -fiende?

Nya nätfiskemetoder attackerar sociala nätverk. Tidigt 2008 cirkulerade en attack på Facebook där några användare fick loggmeddelanden om att roliga eller skandalösa bilder på dem hade uppdagats. När en användare klickade på länken omdirigerades han eller hon till vad som liknade Facebooks inloggningssida, men som egentligen var en falsk webbsida som samlade in användarnamn och lösenord från ovetande användare.

Den senaste händelsen som blev allmänt utbredd är något mer komplex. Några användare mottog något som verkade vara ett desperat meddelande från deras ”vänner” som hade råkat hamna i finansiell knipa. Dessa meddelanden kom via Facebook chatt, som ett direkt meddelande till en användares inkorg eller som en uppdaterad status på offrets profil förklarandes att personen behövde hjälp fortast möjligt. Detta är en ny typ av brott där cyberkriminella försöker att stjäla pengar genom att testa vänners lojalitet.

Twitter har blivit måltavla för ny typ av nätfiske

Web 2.0-applikationer håller på att bli mer sårbart när syndare söker enklare vägar att nå ut till stora mängder människor. Ett av de senaste målen är mikrobloggtjänsten Twitter.

Twitteranvändare attackeras via meddelande som anger att en bloggpost har skrivits om dem eller att roliga bilder på dem har lokaliserats.

Om en användare klickar på den bifogade länken i det misstänkta meddelandet dirigerades han eller hon till en sida som ser exakt ut som Twitters startsida. Vid närmare inspektion visade sig webbadressen emellertid vara en variation av den riktiga Twitteradressen, t.ex. http:// twitter . access – logins . com. Denna domän skapades i syfte att ge sken av att vara Twitter, i hopp om att stjäla användarnamn och lösenord från människor som inte insett att de blivit lurade.

Blandhot

Blandhot är attacker som använder flera vägar för att nå sina mål; ibland en e-post som leder till att sabotageprogram laddas ner eller nätfiske. Cyberkriminella blir allt mer avancerade i sina attacker och blandhot blir allt mer sofistikerat med nästintill perfekta duplikationer av webbsidor och officiella e-brev.

CNN faller offer för konflikten I Gaza

Oron i Mellanöstern tidigare i år användes av spammare som vile få ovetande offer att ladda ner sabotageprogram. Liksom vid tidigare utbrott använder spammare händelser (t.ex. den finansiella krisen, val, större internationella händelser) för att snärja mottagare. Genom att maskera källan och lura användare att tro att det är en legitim källa, ökar chanserna för att lyckosamt kunna distribuera sabotageprogram.

Som kan ses ovan så verkade ett spamutbrott under det första kvartalet ha skickats ut av CNN. Man drog nytta av fiendskapen i Gaza med ämnesrader så som ”Israels krig mot Hamas: ett dussin tankar”, ”Hamas driver Israel att gå ut i krig”, ”Israel lovar krig mot Hamas i Gaza” och ”Hamas startar raketkrig efter Gazaevakuering”. Den aktuella länken i e-posten var dock inte från CNN. Länken verkade peka mot den legitima ”edition.cnn”, men den verkliga domänen var en bluffsida.

Offren för bluffen trodde att de fick legitima nyheter om kriget och togs till en webbsida som var mycket lik CNNs. När de klickade på länken för att se videon blev de indragna i ett komplicerat nät av nedladdningssidor som uppmanade dem att uppdatera Adobe Acrobat eller Flash Player. Enda vägen ut ur loopen var att stänga av webbläsaren. Användare som råkade acceptera att ladda ner mjukvaran fick en trojan installerad som öppnade kommunikation för nedladdning av ytterligare sabotageprogram.

Näthotstrender: sabotageprogram och nätfiske

Listorna nedan visar de kategorier webbsidor som mest sannolikt innehöll sabotageprogram eller nätfisken. Som väntat så toppade pornografiska och webbplatser med sex listan. Mindre förväntat så dök även webbplatser med arbetsförmedling upp på listan, även om de återfanns längre ner. Kriminella webbplatser föll från förstaplats förra kvartalet, till sjätteplats detta kvartal.

På listan webbkategorier som manipulerats med nätfiske, fortsatte nedladdningssidor och sociala nätverk att falla offer för nya bedrägerier. Nykomlingar på listan inkluderar förstaplatstagaren – hälsa och medicin, samt chattsidor och nätbaserad e-post.

Zombie-leverantörer

Verizon.net fanns inte med förra kvartalet men har nu återvänt och slängt ut 163.data.co.cn från tio-i-topplistan. Tpnet från Polen flyttade från tredje till första plats detta kvartal. Brasilien fortsätter att producera de flesta zombierna och står ansvarig för nästan 14 procent av den globala zombieaktiviteten.

Spamnivåer

Spamnivån låg på 72% av all e-posttrafik under kvartalet med en topp på 96% i början av januari och en botten på 65% i februari.

Men det händer inget

Det trista med allt detta är att inget händer. All världens mailreläer och mailservrar belastas till 70% med skräp och vi läser rapporter som denna, småler och tänker att, ”Ja, det var ju för värst. Men det är inte mitt problem.” Och så fortsätter det. Ingens problem.

Lågvattenmärkena i sammanfatting, första kvartalet 2009

> Masken Conficker infekterade fler än 15 miljoner datorer sen dess första uppträdande förra hösten.
> Lånespam knep förstaplatsen av spam-ämnen, med 28% detta kvartal.
> Användare av sociala nätverk föll offer för nya, mera komplexa nätfiskeattacker.
> Dator/Teknologi-sidor och sökmotorer/portaler finns med bland de 10 mest infekterade av sabotageprogram och/eller manipulerade av nätfiske.
> Brasilien fortsätter att leda zombieaktiviteten och producerandes nästan 14% av zombierna under kvartalet.
> Spamnivån låg på i genomsnitt 72% av all e-posttrafik under kvartalet med en topp på 96% i början av januari. Botten, 65%, nåddes i februari.
> Spammare attackerade stora grupper av en ISP:s användare och flyttade till nästa ISP i ett utbrott.
302.000 zombier aktiverades i genomsnitt varje dag med elakt syfte.

Läs hela rapporten på: http://www.halon.se/press/documents/Q1-2009s.pdf

Jörgen Städje

Dela artikeln:

Håll dig uppdaterad med vårt nyhetsbrev

Genom att skicka in mina uppgifter godkänner jag Bonnier Business Media AB:s (BBM) allmänna villkor. Jag har även tagit del av BBM:s personuppgiftspolicy.