Juleferien er for alvor slut og flere af de større aktørerer er tilbage i fulde omdrejninger. Det ses bl.a. af formiddagens helt store spamkampagne, hvor i tusindvis af uønskede e-mails har ramt danske indbakker.

Der lokkes med information om en pakke fra FedEX, men klikker modtageren på linket, tilbydes en zip-fil fra en kompromitteret webserver.

En kopi af den uønskede e-mail er gengivet herunder:


Der er naturligvis tale om malware og mere speficikt en informationstyv i Andromeda familien, som systematisk høster data fra kompromitterede systemer. Den pågældende Andromeda variant kommunikerer tilbage til følgende C&C servere:

fudssufsd3.com
fuqwedsuffsd3.com
fusdsssufsd3.com
fudsussfdsd3.com

I skrivende stund er antivirus detektion lav (4 / 56):
https://www.virustotal.com/da/file/22e4246eac4ea4662a5434e4f0a06a2fc9232e6cc91ef03715bcf979090172a0/analysis/

En ny phishing kampagne som foregiver at komme fra Jyske Bank er i omløb og spammes ud mod vilkårlige danskere.

Som det fremgår af skærmdumpet, herunder peger linket i den pågældende e-mail IKKE på Jyske bank, men derimod på en kompromitteret webserver.


Et uforsigtigt klik på dette link sender ofret videre ind på en anden webside (meine-db-security.net).

I første fase lokkes ofret til at indtaste sit personlige NemID brugernavn og password.

I sidste fase af denne phishing kampagne skal ofret lokkes til at uploade foto/indscannet billede af selve NemID kortet.


Vi har tidligere advaret omkring dette og vil opfordre alle til at udvise stor forsigtighed med at udlevere private og følsomme data over Internettet og særligt hvis man ikke ved, eller er sikker på, hvem modtageren er, som i dette tilfælde. 

At der stadig er folk som hopper på disse phishing kampagner, med den betydelige konsekvens det kan have, illustreres af vores kort herunder. Kortet viser de IP adresser som har opgivet oplysninger til den forfalskede webside. Kortet kan ikke bruges til at afgøre om der er tale om legitime oplysninger eller om de IP som har besøgt siden har gjort det med henblik på at efterforske eller blot var nysgerrige:

Vi har allerede blokeret domænerne i Heimdal PRO og corporate og CSIS Secure DNS hvorved vi yder beskyttelse mod datalækage. Vi har samtidig initieret nedskydning af det ondsindede og uønskede indhold, som anvendes i denne phishing kampagne.

CSIS har modtaget flere henvendelser fra vilkårlige danske Facebook brugere som oplever, at de via et Facebook opslag, er kommet til at installere en uønsket Facebook app med navnet "Newly Daily Entertainment". Den pågældende app vil opnå adgang til følgende Facebook områder knyttet til profilen: "offentlig profil", "venneliste" og "chatstatus". Den vil udnytte dette til at sprede sig yderligere, og lokke venner og bekendte til at installere denne app. Det skal man naturligvis ikke gøre men derimod slette disse opslag og hjælpe til at uddanne venner og bekendte så den slags i fremtiden får vanskeligere ved at sprede sig.

Den pågældende "Newly Daily Entertainment" app modtages igennem et opslag på Facebook, som deles offentligt:


Hvis en Facebook bruger ser dette, eller tilsvarende opslag, og lader sig friste til klikke på indholdet vil trafikken flyttes væk fra Facebook, og over på en ekstern webside:

news-fruitloopztopentertainments.com

Den webside flytter, via et script, brugeren videre til et domæne, som tydeligvius er oprettet af samme bagmænd:

news-festivalentertainment.com

Scriptet afslører diverse lokale server oplysninger:
/home/brainyvines/public_html/news-fruitloopztopentertainments.com/details.php

Herfra flyttes brugeren tilbage til Facebook, hvorfra man bliver tilbudt at acceptere den pågældende Facebook applikation:

Domænerne, som anvendes i denne kampagne, er registreret, så indehaverdata er beskyttet bag "whoisguard". Domænerne peger imidlertid begge på samme server: 198.44.66.98. Denne server deler andet indhold, som man sagtens vil kunne leve uden, og som faktisk kan bindes direkte til andre "Brainyvines" Facebook kampagner, herunder:

horryingvineshd.com
holidaybrainyvines.com
news-fruitloopsentertainment.com
news-fruitloopztopentertainments.com
tapbrainyvines.ninja

CSIS har blokeret de uønskede domæner i CSIS Heimdal PRO og corporate samt CSIS Secure DNS.

Vi har samtidig kontaktet Facebook og anmodet dem om at fjerne den pågældende applikation som spreder dette uønskede indhold.

I kølvandet på flere incidents i danske virksomheder med "CTB-locker" byder dagen i dag på endnu en stribe infektioner, hvor værdifulde data krypteres og udsættes for løsesumskrav.

CSIS ønsker hermed at advare om flere aktive incidents som involverer kidnapningssoftwaren kendt som "Cryptowall" - mere specifikt version 3.0. Denne krypterer alle data på harddisken samt alle delte drev ved brug af RSA-2048, hvorefter den afpresser ofret for kontanter (virtuel valuta). Krypteringen, som er asymetrisk og kraftig, er yderst vanskelig, omend umulig at knække. Den bedste løsning er at reinstallere systemet og indlæse data fra backup og derefter tilsikre en højere grad af sikkerhed og awareness. Man skal ikke betale nogen løsesum.

Denne version af Cryptowall har introduceret brug af "i2p proxy" som kamouflerer trafikken og gør det betragteligt vanskeligere at spore infrasturen bag denne gruppe af it-kriminelle.

Den nye variant af Cryptowall taler udelukkende Engelsk, men betalingssiden understøtter følgende sprog:

US English
IT
FR
ES
DE

Skærmen som frembringes hos ofret indeholder følgende anvisninger:


CSIS Secure DNS og Heimdal PRO beskytter mod denne og ældre varianter af Cryptowall.

Vi har blokeret flere end 70 forskellige domæner som anvendes som C&C servere, og hvorfra den pågældende nøgle som anvendes til at kryptere data udstedes fra. Hvis kontakt til C&C serveren ikke kan etableres, fordi den blokeres i CSIS Secure DNS, afværges den del af funktionen som krypterer data og efterlader det til en simpel opgave at fjerne denne malware.

Et lille udsnit af Cryptowall domæner findes herunder (mellemrum indlagt af CSIS)

blessedcode.net:8080
fleep.com:8081
fleep.net:8081
amaru.me:8081
macrobiotics-japan.com:8081
naomis-kitchen.com:8081
fleep.jp:8081
lensprojapan.com:8081
aquionics.net:2525
tgp.com.my:2525
mlmsoftware.com.my:2525

Antivirus detektion af Crytowall og CTB-locker er desværre generelt yderst lav ved distribution.

Cryptowall kan kædes sammen med distribution af en anden malware, som er kendt som "Dyreza". Dette er en regulær informationstyv som høster data fra systemer som den kompromitterer. Samme fremgangsmetode, at anvende en Dyreza infektion for dernæst at installere en "CryptoWall", er tidligere observeret i forbindelse med ZeuS Gameover og Cryptolocker banden.

Vi følger denne udvikling tæt og anbefaler alle vores kunder at tilsikre gode backup procedurer og incident response.

Flere danske kommuner blev i denne uge ramt af Cryptowall, som er et stykke væmmeligt kidnapningssoftware (ransomware) der systematisk gennemsøger alle datafiler (dokumenter, billeder, databaser m.v.) lokalt og på alle tilgængelige fællesdrev/shares, og krypterer disse med en unik nøgle baseret på algoritmen RSA2048.

Allerede i går eftermiddag advarede CSIS så igen vores kunder om at en ny spamkampagne er skudt i gang.

Den nye kampagne startede kl. 16.10 i går (torsdag) og ankommer med et letgenkendeligt indhold (se skærmdump herunder)
.
Den medfølgende zip fil, som indeholder en binær fil, vil ved kørsel kopiere sig til harddisken i mappen: 
"[%brugerprofil%]Application Data[vilkårligt filnavn].exe" samt en sekundær kode som kopieres ind i startmappen.


Filnavn: VOICE8419-283-481.scr
MD5:  5dd9b1d1fa4f48d440b19b6be04de03d
Størrelse: 311.296KB

I næste fase kontaktes en stribe domæner, som allerede er blokeret i CSIS Secure DNS og Heimdal PRO/Corporate, hvor den laver et post request som vist herunder:

[domæne]:8585/5x0mi[fjernet af CSIS]

I kommunikationen med C&C serveren anvendes følgende API'er:

HttpSendRequestExA.WININET
InternetWriteFile.WININET
HttpEndRequestA.WININET

Når nøglen er genereret fra C&C serveren, så kopieres følgende fil til samtlige tilgængelige drev "HELP_DECRYPT.HTML" mens kryptering af datafiler igangsættes. Det sker ved at den injektes i svchost.exe processen på værtsmaskinen. Processen sættes i dvale i 3 minutter via sleep kaldet "Thread delayed: delay time: -900000".

En stribe andre interessante funktioner omfatter bl.a.:

- Sletter windows event logs 
- Fjerner applikationsfejl via SetErrorMode
- Lytter på vilkårlig TCP port formentlig med bagdørsfunktionalitet

Den pågældende krypteringsnøgle skabes på baggrund af data der indsamles fra den kompromitterede maskine baseret på henholdsvis:

- timeGetSystemTime
- cpuid 
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptography MachineGui
- C: VolumeInformation

Cryptowall binder maskinen ind i et BOTnet, som registrerer infektionen og danner en unik krypteringsnøgle der anvendes til at kryptere data på maskinen og alle tilgængelige delte drev/mapper. 

Krypteringen er så kraftig, at reetablering af data stort set er umulig. Af samme grund opfordrer vi indtrængende alle til at sikre, at der er forsvarlig backup og incident response procedurer på plads.

Vi vurderer denne trussel som høj, idet kørsel af koden af en uforsigtig modtager, kan føre til alvorlige og uoprettelige skader såfremt der ikke er etableret en backup procedure.

Antivirus detektion giver (4 / 57):

CMC     Trojan.Win32.Krap.2!O     20150120
Kaspersky     UDS:DangerousObject.Multi.Generic     20150122
Sophos     Mal/Generic-S     20150122
Tencent     Win32.Trojan.Inject.Auto     20150122
ALYac         20150122
AVG         20150122
AVware         20150122
Ad-Aware         20150122
AegisLab         20150122
Agnitum         20150122
AhnLab-V3         20150122
Alibaba         20150120
Antiy-AVL         20150122
Avast         20150122
Avira         20150122
Baidu-International         20150122
BitDefender         20150122
Bkav         20150122
ByteHero         20150122
CAT-QuickHeal         20150122
ClamAV         20150122
Comodo         20150122
Cyren         20150122
DrWeb         20150122
ESET-NOD32         20150122
Emsisoft         20150122
F-Prot         20150122
F-Secure         20150122
Fortinet         20150121
GData         20150122
Ikarus         20150122
Jiangmin         20150121
K7AntiVirus         20150122
K7GW         20150122
Kingsoft         20150122
Malwarebytes         20150122
McAfee         20150122
McAfee-GW-Edition         20150122
MicroWorld-eScan         20150122
Microsoft         20150122
NANO-Antivirus         20150122
Norman         20150122
Panda         20150122
Qihoo-360         20150122
Rising         20150121
SUPERAntiSpyware         20150122
Symantec         20150122
TheHacker         20150121
TotalDefense         20150122
TrendMicro         20150122
TrendMicro-HouseCall         20150122
VBA32         20150122
VIPRE         20150122
ViRobot         20150122
Zillya         20150121
Zoner         20150121
nProtect         20150122

Yderligere oplysninger om Cryptowall:
http://www.csis.dk/da/csis/blog/4576/

Vi har tidligere i dag udsendt en "First Strike" advarsel til vores "platinium alert" kunder (for mere information om "Platinum alert henvises tIl: https://www.csis.dk/da/business/pas/). Et udsnit af den advarsel, som vi tidligere har udsendt findes herunder:

Vi ser her til eftermiddag et nyt "CTB-Locker" spamrun, som rammer vilkårlige indbakker:

Den ankommer som en e-mail med en vedhæftet cab-fil som indeholder en .scr fil.

Hvis cab-filen åbnes (som faktisk er en zip), og den uønskede kode køres, af en uforsigtig modtager, så krypteres indhold på harddisken og samtlige delte drev ved brug af en kraftig krypteringsnøgle. 

CSIS har blokeret alle domæner i CSIS Secure DNS, som denne malware anvender i sin kommunikation, og som den bruger til at binde kidnappede maskiner ind i dens BOTnet.

Et skærmdump af den uønskede e-mail findes herunder:


Hvis den vedhæftede fil åbnes, vil koden kopiere sig til den lokale harddisk. Filerne kopieres dernæst til den aktive brugerkonto (kernel userland) og den temporære mappe som dels en [vilkårligt filnavn.rft] og [vilkårligt filnavn.exe]. Den binære fil er en kopi af den skadelige kode, mens rtf-filen er en "decoy" som skal forvirre brugeren til at tro at intet er sket. Det sker ved at åbne dokumentet i WordPad eller Word (afhængig af hvilke indstillinger som er angivet til at håndtere rtf filer):


Inden koden optager/igangsætter dens skadelige funktionalitet, hvor den påbegynder krypteringen af tilgængelie data, gør den brug af en "sleep" funktion. Denne er identisk med Cryptowall: "Thread delayed: delay time: -300000" (ca. 3 minutter).

I næste fase igangsættes selve krypteringen af data og følgende "vejledning" til at befri data kopieres til samtlige mapper, hvor data er blevet kidnappet:

Your documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://w7yue5dc5amppggs.onion.cab or http://w7yue5dc5amppggs.tor2web.org
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://w7yue5dc5amppggs.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
YOPLXBG-[fjernet af CSIS]-JITHH75-3WTMQ3J-FSQHUAL-6DTGEM6-FTWFJSQ-UVEKYHF
FS6OJJS-[fjernet af CSIS]-YQZDOMZ-D7XVC2Q-MWP3ZB3-NB4EXTU-GAM4HSG-GRJENDN
ST4GXUX-[fjernet af CSIS]-ZSPJUPX-WIHEGMR-ERKGTDE-EPZKPX3-TNIKWV3-Q73X2OI

Follow the instructions on the server.

Det samme budskab droppes også som bmp filer med filnavnet: "Decrypt-All-Files-[filnavn].bmp

Og som grande finale afsluttes med en advarselskærm som gengivet herunder:


Koden injekter sig i flere legitime processer, herunder svchost.exe og forbinder sig til dens C&C servere, hvor den afleverer oplysninger om det inficerede system. Som tidligere nævnt beskytter CSIS imod dette ved at blokere for domænerne i CSIS Secure DNS og Heimdal Pro/corporate.  

Antivirus detektion giver i skrivende stund (1/57):
https://www.virustotal.com/da/file/6a94a4a1e154a240d6803bed560b35f750b9398105e4f69537ba7a7359b27110/analysis/

CSIS har opsamlet flere eksemplarer af en ny orm som hastigt spreder sig via Facebook. Ormen gør brug af både ofrets væg, hvor den tagger venner og bekendte (ca 20 i bunter), men samtidig kommunikerer den også via Facebook Messenger hvorved andre potentielle ofre eksponeres for koden.

Epicenter for spredningen er Danmark, så den største spredning er pt. blandt danske Facebook brugere.

Den ondsindede kode introduceres altså ved at tagge venner og bekendte i et opslag, som ormen laver på ofrets Facebook væg. Men derudover spreder den sig også via Facebook messenger, hvor den anvender en URL-forkorter via "goo.gl" tjenesten.


Den skadelige kode spredes via Amazon skyen og anvender et loop igennem annonymiseringstjensten "hidemeass.com". Et eksempel på en side som på nuværende tidspunkt er aktiv findes herunder

http://thybajote.s3-website-us-west-2.amazonaws.com/mf40.html

Denne webside, vil hvis ofret vælger at klikke på: "update player" flytte ofret videre til:
premiumd1.mzzhost.com/premiumD.xpi

Dette er en browser udvidelse, som hvis accepteres og installeres, sætter gang i spredningen af denne orm. Koden understøtter Firefox og Chrome.

Domænet, som koden leveres igennem, har været misbrugt tidligere af en tilsvarende Facebook orm, og er allerede blokeret i CSIS Secure DNS. Derved er alle Heimdal PRO og corporate kunder også beskyttet mod denne trussel.

Hvad er målet med denne kampagne?
At installere en browser udvidelse til Chrome, Firefox eller Netscape med navnet "Premium Codec 1.0.0.0". Det primære formål er at kunne gennemføre "Click Fraud".

Den pågældende udvidelse har efterladt følgende "compile" data: file:///e:/builds/moz2_slave/ og en henvisning til  "omni.jar".

Pluginet installeres ved at spawne en shell med følgende kommando:
C:WINDOWSsystem327za.exe 7za.exe x -oC:ffplugin C:2025e46dd4c66b19fec58c16dfaf421b3840bd85794644bf072f0e6ab119832f.xpi. Pluginet installeres som "Premium Codec 1.0.0.0" og er en "Crossbrowser" Click Fraud kode baseret på Crossrider frameworket. Med dette plugin kan bagmænd tjene penge ved at forfalske reklamer via Yahoo, YouTube, Bing/MSN, AOL, Google og Facebook.

Når installation er gennemført droppes:
C:Documents and Settings[%brugerkonto%]Application DataMozillaFirefoxProfilesdefaultparent.lock

Udover at forbinde sig til føromtalte domæner etablerer pluginet også kontakt til:

http://cracks4free.info
http://crossbrowser.com
http://www.besttoolbars.net

Domæerne er blokeret i CSIS Secure DNS og Heimdal PRO.

Den pågældende kode er i FBJack klassen. Antivirus detektion giver pt. 20/54:
https://www.virustotal.com/da/file/2025e46dd4c66b19fec58c16dfaf421b3840bd85794644bf072f0e6ab119832f/analysis/

Dear Madam/Sir,

Please accept our apologies if you have received an email like the one shown below. These are NOT coming from CSIS. They carry a malicious attachment and should therefore be disregarded and deleted.

Currently, we are still investigating this spam campaign and will return with further information.

Best regards,

CSIS Security Group

CSIS har her til morgen observeret flere nye aggressive spammail kampagner som målrettet forsøger at levere kidnapningssoftware i "Cryptowall" klassen. En af de mest dominante og sendt ud til mange vilkårlige danske e-mail adresser foregiver at være en regning skrevet på tysk. Den ankommer med emnelinjen: "RechnungOnline Monat Februar 2015 (Buchungskonto: 7818210382" (se skærmdump herunder).


Den uønskede e-mail forsøger at lokke modtageren til at klikke på det medfølgende link. I den pågældende kampagne peges der på flere kompromitterede domæner.

Antivirus detektion er i skrivende stund lav men vi har blokeret flere end 10 domæner alene i dag som er involveret i disse kampagner i CSIS Secure DNS.

Den bedste beskyttelse er naturligvis at bortfiltre disse uønskede e-mails på gateway niveau eller som minimum blokere for de domæner hvor koden hentes og installeres. Et andet og godt råd er at tilsikre at forsvarlige backup procedurer er på plads og at den enkelte bruger kun har netværksadgange som er nødvendige for at udføre sit arbejde.

IT-kriminelle har i dag udsendt en større bølge af phishing mails som forsøger at fiske brugernavn og password til Neteller. Det sker igennem en klassisk phishing e-mail som ankommer med følgende indhold:


Hvis den vedhæftede html fil åbnes frembringes indhold som lokker brugeren til at opgive brugernavn og password.


De fiskede oplysninger sendes via en PHP gateway til bagmanden:
http://sununionforum.tk/emsg1.php

CSIS har blokeret det pågældende domæne i CSIS Secure DNS og Heimdal PRO. Vi anbefaler generelt, at man udviser forsigtighed med e-mails, som opfordrer til at videregive private oplysninger.

En større phishing kampagne rettet mod NemID er blevet skudt i gang. Kampagnen forsøger at lokke naive brugere til at uploade en kopi af deres NemID kort samt fiske deres brugernavn og password. Det er indlysende hvilke konsekvenser det kan have.

Den uønskede e-mail ankommer med følgende indhold:  


Indholdet, som er skrevet på næsten fejlfrit dansk (dog med visse passager, som burde vække mistanke), inkluderer også et link til flere kompromitterede websider. Flere er disse har vi allerede fået suspnderet.

Hvis ofret kan lokkes til at klikke på det medfølgende link lander man på en forfalsket udgave af Nordea's webside (se skærmdump herunder). Som det fremgår er der inkluderet en fil-upload funktion hvor billed af sit NemID kort kan uploades.


Vi har allerede blokeret flere af disse forfalskede websider i CSIS Secure DNS for at beskytte vores kunder mod datalækage. Endvidere yder vi beskyttelse igennem Heimdal PRO og corporate.

En ny snedig phishing kampagne, som skal fiske NemID logins og kort, indeholder sammenkørte private data på ofret. Det kan medvirke til at skabe en høj grad af troværdighed. Det er første gang at vi har observeret, at svindlerne bag disse phishing kampagner målrettet skyder efter udvalgte ofre, og tilmed inkluderer flere personlige oplysninger i den uønskede e-mail.

En gruppe svindlere har i løbet af de seneste dage udsendt en begrænset mængde phishing mails med målet at lokke modtageren til at videregive følsomme private oplysninger, herunder et billede af det personlige NemID kort. Denne kampagne adskiller sig ved at være langt bedre udformet og mere målrettet end tidligere phishing kampagner.

Harpun phishing
Den nye kampagne har fået påført et tykt lag social engineering der opgraderer svindlen til det som vi i sikkerhedsbranchen kalder et harpun-angreb.

Et skærmdump findes herunder:


Ser vi nærmere på denne e-mail, så fremgår det tydeligt at de kriminelle på en række områder har forfinet deres teknik ved at tilføje personlige oplysninger:


Det skræmmende er, at de tilføjede private oplysninger, herunder de fire cifre i kreditkort nummeret som vist i ovenstående skærmdump, er korrekte og matcher ofrets kortoplysninger.

Vi har tidlige, som led i en række generelle råd anbefalet, at hvis den pågældende e-mail som modtages, er uden navn og andre person specifikke oplysninger - eksempelvis: "Kære NemID kunde" - så er der stor sandsynlighed for at det er svindel, idet vi antager at afsenderen bør kende modtagerens navn. Den spilleregel er med denne nye kampagne blevet ændret.

Samkørsel af data
Af indtil videre ukendte metoder er det lykkedes svindlerne at tilegne sig muligheden for at samkøre navn, mailadresse, korttype og de fire sidste cifre i kortnummeret og inkludere disse i den e-mail som sendes til modtageren. Det tyder på en kompromitteret webshop der har haft disse informationer liggende, men det er på nuværende tidspunkt spekulation.

CSIS anbefaler, at man følger vores generelle råd omkring sikker e-mail håndtering og phishing:
https://www.csis.dk/da/csis/news/3619/

Vi nar naturligvis blokeret de uønskede domæner i CSIS Secure DNS og Heimdal PRO/Corporate.

Det helt simple svar på overskriften er, at det ved vi ikke og det kommer du heller ikke til at vide uanset hvor meget du "synes godt om" denne type fup kampagner,. I modsætning til andre sociale netværk som f.eks. LinkedIn kan man på Facebook ikke se, hvem der besøger ens profil, så når endnu en af disse "likejacking" kampagner cirkulerer igen, må det være fordi at budskabet fra tidligere ikke helt er trængt igennem? Vi prøver derfor igen ...

Når en besked pludselig fremkommer med indholdet: "[NY 2015!] SE, HVEM DER SER DIN FACEBOOK-PROFIL!" så skal man holde sig fra at klikke på indholdet. I stedet bør man fortælle sine venner og bekendte om at man ikke kan se den slags. Ej, heller med smarte apps, som samtidig leverer en sværm af reklamer til ens Facebook konto, mens den samtidig forsøger at indrulle ofret i en konkurrence karusel.

Kampagnen leveres via en post på ofrets Facebook profil. Denne deles med venner og bekendte og med et link til URL-forkorter tjenesten "bitly.com".


Trafik-kæden er gengivet herunder:

http://bitly.com/18z7ceQ
--> http://dk.de3.co/e/danska/
--> http://you.likethis.website/danska/
--> https://www.facebook.com/sharer/sharer.php?u=
--> http://danska.sharelike.pw

Så hvis man vælger at "synes godt om denne side", så deler man den samtidig med venner og bekendte via "danska.sharelike.pw". Kampagnen er sprog tilrettet og leveres i flere forskellige afskygninger, herunder flere sprog i Skandinavien og resten af Europa.

Vi har blokeret flere domæner i CSIS Secure DNS og Heimdal PRO/corporate som forhindre ofret i at besøge det uønskede indhold. Vi har kategoriseret dette som "scam/spam".

CSIS har fået kendskab til en spear phishing kampagne rettet mod danske kiropraktorer. Angrebet er blevet udført ved at sende en særligt udformet e-mail, på fejlfrit dansk, til nøje udvalgte mål. Se kopi af e-mailen herunder:


Bemærk, at e-mailen er designet med en høj grad af social engineering som skal lokke netop denne målgruppe til at klikke på det medfølgende link. Samtidig bærer indeholdet tydeligt præg af, at dette kan være skrevet af en dansker.

Vi har valgt at kategorisere dette som en "høj" risiko, også selvom der er tale om et målrettet angreb. Det skyldes dels den grad af social engineering som er lagt i angrebet og dels den destruktive kode som forsøges plantet på ofrets maskine. Denne type angreb vil sandsynligvis være vellykket mod mange andre brancher i Danmark og kan derfor være en trussel for de fleste virksomheder og offentlige myndigheder.

"Pacman ransomware"
Med den uønskede e-mail følger et link til dropbox som tilbyder en ny ransomware variant som forfatteren til koden har døbt "ransomware-Pacman". Det fremgår af kompileringsresten i den binære kode: "L:x00[ransomware]PacmanPacmanobjx86ReleasePacman.pdb".

Koden er "binded" og består af flere lag som skal gøre det mere besværligt at analysere og detektere det skadelige indhold.

Hovedkomponenten kan nemt udtrækkes af "klatkagen" og hedder ikke overraskende "pacman.exe". Også af filegenskaberne afspejles det, at "Pacman" er navnet som forfatteren ønsker vi skal kende:

0000350C  Pacman.exe
0000352A  LegalCopyright
00003548  Copyright
0000355E    2014
00003572  LegalTrademarks
00003594  Pacman Tour
000035B2  OriginalFilename
000035D4  Pacman.exe
000035F2  ProductName
0000360C  Pacman Tour

Koden er udviklet i .NET og kræver således en fortolker for at kunne køre. Det har imidlertid langt de fleste Microsoft Windows installationer i dag.

Ved kørsel vil den kopiere sig til systemet via "NtCreateFile":

C:DOCUME~1[%brugerkonto%]LOCALS~1Tempimg_5672.exe.config
C:DOCUME~1[%brugerkonto%]LOCALS~1Tempimg_5672.exe

Herfra udtrækkes "pacman.exe" og droppes til windows mappen samtidig med at kryptering af filer på den lokale harddisk igangsættes. Koden gennemsøger i den sammenhæng disken for data filer og krypterer disse, mens den tilføjer en ny filendelse: ".ENCRYPTED". I direkte forlængelse af denne process ændres skrivebordet på den inficerede maskine og erstattes med instruktioner omkring hvordan man opnår adgang til sine data igen. Det er en typisk ransomware strategi. Et skærmdump af trusle, som den fremkommer hos ofret, kan ses herunder:


Betaling af løsesummen skal ske ved brug af Bitcoins og indenfor 24 timer.

Udover at indeholde ransomware funktionalitet, bærer koden også en keylogger som systematisk optager tastetryk og sender disse til bagmanden.

Når et system kompromitteres, igennem dette angreb, vil det ringe hjem til den centrale C&C server via følgende gateways (saniteret af CSIS)

http://myplacehome[.]comuv.com/crypted.php
http://myplacehome[.]comuv.com/locked.php

Vi har blokeret dette domæne i CSIS Secure DNS og Heimdal PRO/Corporate for at forhindre datalækage.

Som led i dens ondsindede funktioner gennemfører koden også løbende en "killprocess" af følgende legitime system værktøjer:

taskmgr
cmd
regedit
msconfig
sdclt
rstrui
powershell

Det kan indlysende nok besværliggøre fjernelse af "pacman" fra et inficeret system.

Hovedkomponenten opnår følgende antivirus detektion (20 / 57 ):
https://www.virustotal.com/en/file/68931ef9cf810d5a69d8ebf33155db7845fffcc685b1ae9f0670803bb97228cc/analysis/

CSIS ønsker at takke Jens Roed Andersen for at inddrage os i dette arbejde samt Max Sand fra Midtvest-it for at sikre os en kopi af koden.

Et ondsindet fjernbetjeningsværtøj, som ser ud til at være designet til at gennemføre videooptagelser af naive ofre, spredes i disse timer blandt danske Facebook brugere. Lokkemaden er hardcore pornografisk materiale og med den skadelige pakke kommer et plugin som tagger venner og bekendte og derved giver koden en viral effekt.

Hvis du pludseligt bliver tagget i indhold af yderst pornografisk karakter på Facebook er der stor sandsynlighed for at en ven eller bekendt har åbnet og aktiveret en ondsindet kode som bærer en cocktail af dårligdom. Koden som leveres bruges til at sprede det uønskede budskab videre til andre, men samtidig stjæler den også data fra din maskine og aktiverer bl.a. dit webcam.  

Infektionen starter med at du tagges i et opslag. Se eksempel herunder:


Hvis du klikker på denne Facebook tagging flyttes du til en webside hostet i skyen hos Amazon. Fra denne flyttes du med det samme videre til en anden webside, hvorfra der tilbydes en fil med navnet "YoutubePlayer7.exe". Det er den skadelige malware som man skal holde sig fra!


Se infektionskæden herunder (saniteret af CSIS):

http://kx30u4jpu1atq.s3-website-us-east-1[.]amazonaws[.]com
--> http://storage.googleapis[.]com/asdf435sd/i.html?bebehhnfasfasfasvxcbdgeryerfbvcbcvbdfgdsgfdhgf
--> YoutubePlayer7.exe (MD5: 281222bacdb022a9b38978cd2cacd807)

Det pågældende program installerer et browser plugin ved navnet "Dragon City" der anvendes til at sprede det uønskede budskab videre, hvor vilkårlige venner og bekendte tagges i. 

Sexortion værktøj
Men desværre indeholder pakken også funktioner som gør det muligt for bagmanden at aktivere webcam, mikrofon, tage skærmbilleder osv. Det er indlysende hvad det kan føre til i denne sammenhæng. Vi har set flere af den slags blive anvendt i sexortion sager og særligt i en sammenhæng som denne der starter med hardcore pornografisk lokkemad. 

Når "YoutubePlayer7.exe" åbnes af en uforsigtig bruger vil den via et HTTP get hente filen "servant" og kopiere den til: C:Users[brugernavn]AppDataRoamingservant.exe

Den binder sig herefter ind i et BOTnet med (saniteret af CSIS): 
HTTP GET 178.62[.]143.123/durum.php?v=16&unique=53921260&os=7

Dine følsomme data postes til samme server, som befinder sig i Holland, via en HTTP POST mod PHP gatewayen: update.php og indeholder bl.a. brugernavne og passwords som høstes fra den lokale harddisk. 

Der er tale om en væmmelig cocktail, så udvis derfor forsigtighed med at klikke på denne type indhold og åbn aldrig filer hvis indhold du ikke kender.

En del af koden ringer hjem til flere domæner, som vi har blokeret i CSIS Secure DNS og Heimdal PRO/Corporate.

Hovedkomponenten opnår kun begrænset antivirus detektion:
https://www.virustotal.com/en/file/cd4880182db9fc4d31d7e87d8c8fa0e4c7f81825aab56135d008f0e9f9ebae32/analysis/1427285449/

I morges modtog CSIS flere henvendelser fra almindelige mennesker som havde modtaget en e-mail med et indhold der i den grad lignede klassisk phishing og med et link inkluderet.

Vi forventede at lande på en phishing side. Men nej. Til vores store overraskelse var det såmænd folkene bag de tvivlsomme kampagner/konkurrencer dirigeret igennem henholdsvis "Euroads" og "Brugerpanelet" som stod bag.

En skærmdump af den pågældende e-mail findes herunder:

Det pågældende link peger på (saniteret af CSIS)
http://link.super-mails.net/link/link.php?[fjernet]

Linket har kun et formål. At identificere brugeren og dernæst videredirigere trafikken til "brugerpanelet":

--> http://tracking.euroads.dk/system/tracking.php?[fjernet]
--> http://konkurrence.brugerpanelet.dk/?[fjernet]


Formålet? Tja, åbenlyst at lokke naive brugere ind i en konkurrence karrusel ved at tilbyde ofret at udfylde en "survey".

Slet den pågældende e-mail.

CSIS går en travl tid i møde hvor vi taler på flere spændende og dedikerende it-sikkerhedskonferencer både herhjemme og i udlandet. Vi glæder os til at præsentere dele af den tekniske research vi har lavet indenfor de seneste 6 måneder.   

Den største og vigtigste nyhed er naturligvis at it-sikkerhedskonferencen: "Copenhagen Cybercrime Conference 2015", som ligesom de seneste 2 år, afholdes i København.


Detaljerede oplysninger omkring CCCC15, som finder sted i midten af Juni måned, vil blive udsendt på mandag til vores platinum alert kunder. Den følges op af en pressemeddelelse og oplysninger som offentliggøres her på vores hjemmeside. Det er først til mølle, så hold dig klar ved tasterne mandag! 

Vi glæder os til at løfte sløret for et spændende konference program med en stribe af kendte og respekterede internationale researchere og it-sikkerhedseksperter på talerlisten.

Udover CCCC15 vil CSIS være at finde på følgende konferencer (listen vil opdateres løbende og vil senere blive postet på vores hjemmesider og diverse sociale medier):

IT-Relation formiddagsmøde,
5 Maj 2015 og 19 Maj 2015
http://www.itrelation.dk/invitation-til-gratis-formiddagsmoede-om-it-sikkerhed

CARO Workshop, Hamborg,
11-12 Maj 2015
http://2015.caro.org/

APWG, Symposium on Electronic Crime Research, Barcelona
26-29. Maj 2015:
https://apwg.org/apwg-events/ecrime2015/

DataCloud Europe, Monaco,
3-4 Juni 2015:
http://www.datacloudcongress.com/

FIRST, Berlin,
14-19. Juni 2015
https://www.first.org/conference/2015

Virus Bulletin, Prag,
30. September - 2. Oktober 2015
https://www.virusbtn.com/conference/vb2015/index

IDC IT security, Århus, 6. oktober 2015
(hjemmeside og indhold publiceres senere)

Vi ønsker alle en god og sikker forlænget weekend.

En virus/orm har i løbet af weekenden spredt sig blandt brugere på Facebook. Den opnår en viral effekt ved at installere en udvidelse til browseren herunder til Firefox og Chrome. I næste fase tagger den 30-50 af vilkårlige venner og bekendte på Facebook og poster beskeden "Private V1DEO" og en henvisning til Youtube. Det pågældende link peger imidlertid på en URL, som intet har med Youtube at gøre. Se vedhæftede skærmdump.


Infektionskæde er gengivet herunder (saniteret af CSIS):

http://ki[.]je
--> http://tjetri.s3-website-us-west-2.amazonaws[.]com/mf40.html
--> https://cracks4free[.]info
--> https://dl.dropbox[.]com/s/0w6uex0aa8ap098/premiumD.xpi?dl=0

Hvis ofret accepterer, at installere den pågældende udvidelse: "Premium Codec", vil ormen sprede sig til andre brugere på Facebook, hvorved den opnår den virale effekt. Koden er i familien "Kilim".

Udvidelsen henter ledsagende uønsket malware fra følgende websider (saniteret af CSIS):

http://besttoolbars[.]net/commercial_license/
http://crossbrowser[.]com
http://sizzlejs[.]com/

Pakken "premiumD.xpi@dl=0" er i virkeligheden et zip arkiv som indeholder følgende filer:

install.rdf
icon.png
chrome.manifest
chrome [mappe]

Det er muligt for den pågældende udvidelse at opdatere sig selv via en indbygget funktion som også løbende kan poste nyt indhold som spredes via Facebook:



Indholdet fra adeaditi.info, som trækkes ned via SSL (udstedt af Geotrust) er gengivet herunder:


Her ser vi forskellige former for indholdsstyring og tracking.

Komponenten "install.rdf", som også er en del af pakken, anvendes til at installere "Crossbrowser", som er en udvidelse til Chrome der viser reklame indhold baseret på ens interesser og søgekriterier. Et udsnit af denne kode findes herunder:

000000C9  <em:id>Premium_Codec@CrossBrowser</em:id>
000000F6  <em:type>2</em:type>
0000010E  <em:name>Premium Codec</em:name>
00000132  <em:description>Premium_Codec</em:description>
00000164  <em:creator>CrossBrowser</em:creator>
0000018D  <em:homepageURL>http://crossbrowser.com</em:homepageURL>
000001C9  <em:version>1.0.0.0</em:version>
000001ED  <em:contributor></em:contributor>
00000212  <em:iconURL>chrome://Premium_Codec/content/default_app_icon_32x32.png</em:iconURL>
00000268  <em:targetApplication>
00000283  <Description>
00000296  <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
000002D1  <em:minVersion>4.0</em:minVersion>
000002F9  <em:maxVersion>9.*</em:maxVersion>
00000320  </Description>
00000332  </em:targetApplication>
0000034C  </Description>
0000035C  </RDF>

CSIS beskytter mod denne trussel i Heimdal PRO og CSIS Secure DNS og har blokeret for samtlige dedikerede websider/domæner som anvendes af Kilim.

Virus detektion af udvidelsen giver (10/56):
https://www.virustotal.com/en/file/37731bd0987cd1a3577d32183b226cda1b5113ea47eaf71acc982290b559f397/analysis/1430640309/

Vi har forøvrigt tidligere advaret omkring denne virus/orm:
https://www.csis.dk/da/csis/blog/4530/

I Juni måned er København værtsby for en international konference med fokus på it-sikkerhed. Konferencen er etableret i samarbejde mellem CSIS, DI ITEK og Erhvervsstyrelsen og tiltrækker flere af verdens førende eksperter og forskere indenfor dette felt.

CSIS Security Group A/S er begejstrede over at kunne annoncere årets Copenhagen Cyber Crime Conference 2015 (CCCC-15). CCCC-15 afholdes i hjertet af København i Dansk Industris hovedkvarter, torsdag d. 11. Juni 2015 mellem kl 8.00 og ca. 17.30.

I lighed med tidligere år er konferencen inddelt i tre spor og vil byde på anerkendte internationale it-sikkerhedseksperter, -researchere og -forskere fra mange lande og forskellige markedsledende selskaber. Alle præsentationer afholdes på engelsk.

Mere viden - ingen salgsgas!
Der vil være noget for enhver smag på CCCC-15 fra best practices, management og compliance til tung teknisk analyse af avanceret og komplekse angreb mod offentlige og private selskaber. "Vi har forsøgt at samle de førende it-sikkerhedseksperter og researchere til denne konference. Der skal ikke sælges produkter på CCCC-15, men derimod deles viden" fortæller Peter Kruse, som er partner og it-sikkerhedsekspert i CSIS.

Keynote fra Microsoft DCU
Det er i år lykkedes CSIS at tiltrække Richard Boscovich fra Microsofts særlige Digital Crimes Unit (DCU). Richard har været en ledende kraft i de legale aspekter omkring nedtagningen af kraftfulde BOTnets som f.eks. Waledac, Rustock, Kelihos, Bamital, Nitol, Zeus Gameover, Shylock og senest Ramnit.

Derudover er der på CCCC-15 spændende talere fra bl.a. Sophos, ESET, Farsight Security, G Data, TDC, Cyphort Inc., Cryptomathic, Kaspersky, NC3 samt mange flere.


Yderligere oplysninger, agenda samt tilmelding kan ske på konferencens hjemmeside:
http://cccc-2015.com/

Smishing er identisk med phishing, men er i stedet for at blive båret via e-mails leveres de istedet via SMS beskeder. Målet er at fiske brugernavne og passwords fra ofret og i denne sammenhæng også NemID nøglekort.

Smishing, som teknik i forsøg på at franarre følsomme oplysninger fra naive ofre, har været praktiseret siden 2002-2003, men herhjemme i Danmark har vi hidtil været relativt forskånet for denne type svindel, som kan sammenstilles med phishing.

De IT-kriminelle, som står bag denne kampagne, har åbenlyst købt sig til en mobiltelefon database indeholdende numre og navne, så SMS'erne der udsendes kan udformes med navnet på modtageren, sammen med et link der skal klikkes på.

Det pågældende link kan eksempelvis være forkortet via bit.ly med formålet at videredirige til en kompromitteret webside, som foregiver at være en bank eller virksomhed som ofret generelt har tillid til. Som det fremgår af nedenstående skærmdump lokkes ofret til at opgive NemID brugernavn og password sammen med en kopi af det private NemID nøglekort.


CSIS har allerede nedskudt flere af disse kampagner hen over den forløbne uge, men bagmændene fortsætter med at udsende de uønskede SMS beskeder med nye links til nye numre hvorved dette er en vedvarende trussel som almindelige brugere skal være yderst opmærksomme på og slette hvis de modtages. Man skal ikke forsøge at svare tilbage eller klikke på det medfølgende link og man skal slet ikke opgive følsomme private oplysninger som fiskes på denne måde.

Vi har blokeret flere end 10 domæner anvendt i denne kampagne i CSIS Secure DNS og Heimdal PRO.