Der er konstateret en sårbarhed i Microsoft XML Core Services, som gør det muligt at afvikle arbitrær kode via en særligt udformet webside. Der er tale om en såkaldt 0-dags sårbarhed, og Microsoft har af samme årsag set sig nødsaget til at frigive et midlertidigt Fix-it værktøj.  

Sårbarheden udløses via Microsoft Internet Explorer og MSXML der under særlige omstændigheder kan tvinges til at tilgå et objekt i hukommelsen, som ikke er blevet initialiseret. Det kan føre til en korruption af hukommelsen og mulighed for kodekørsel med samme rettigheder som den påloggede bruger.

CSIS anbefaler at private brugere anvender nedenstående link og gennemfører en Fix-It. Det forventes, at Microsoft vil frigive en "udenfor patch cyklus" opdatering der mere permanent korrigerer denne sårbarhed. Indtil videre er der tale om yderst begrænset misbrug af denne sårbarhed, men det kan meget vel ændre sig. Vi følger udviklingen tæt.

Yderligere oplysninger:
http://technet.microsoft.com/en-us/security/advisory/2719615

Fix-It værktøj:
http://support.microsoft.com/kb/2719615

Det er næppe forbigået manges opmærksomhed, at Danmark hen over det seneste halve år, har været ramt af en sværm af målrettede phishing angreb, der udspringer fra flere forskellige bander. 

I mere end 98% af disse angreb har målet alene været at fiske kreditkort oplysninger og andre potentielt følsomme data. De indsamlede oplysninger anvendes af flere af disse grupper, til at købe varer på nettet, herunder flyrejser, hotelophold eller virtuelle let omsættelige services.

Problemet med disse phishing angreb er at de vil fortsætte. Der findes fortsat mange brugere som ikke er tilstrækkeligt oplyst om risikoen ved phishing. Desuden bliver disse kampagner løbende forbedret så de også sprogligt er mere troværdige end de første kampagner vi observerede.

Disse kampagner, adskiller sig fra andre spamruns, ved at være geografisk rettet mod danske e-mail adresser. Hovedparten af de grupper der angriber Danmark - indenfor den seneste måned - arbejder ud fra Marokko.

Hvis vi kigger på de forskellige phishing kampagner der har kørt de seneste måneder, og hvor målet har været at stjæle data fra uforsigtige danske brugere, har følgende brands/firmanavne været misbrugt: 



- øvrige brands tæller PayPal, SKAT og eBay m.fl.

Alene i dag har vi registreret fire unikke phishing kampagner.

Når en ny kampagne observeres, initialiserer CSIS Security Group med det samme en nedtagning af den pågældende webside, men i gennemsnit går der 5,6 timer før indholdet er blevet fjernet, eller kontoen spærret. Bemærk, at der kan være meget stor forskel på responstid. Det skyldes, at mange af websiderne administeres og ejes af ikke-tekniske private personer, der simpelthen ikke ved hvordan de skal forholde sig. Vi ser også hyppigt, at ofret fjerner indholdet, men at indholdet i løbet af få timer bliver uploadet og genaktiveret af phisheren. Det sker fordi phisheren enten har uploadet en PHP bagdør (en såkaldt shell) eller at den oprindelige sårbarhed, som ikke er blevet fjernet, misbruges igen.  

I ca 93% af alle tilfælde anvendes der usikre WordPress og Joomla installationer som platform for phishing materialet og ofte anvendes den kompromitterede server også som host for udsendelse af de mange spammails.

Vores problem er, kombineret med ovenstående, at Danmark er et relativt lille land og de kommercielle antispam leverandører tydeligvis kommer til kort og utilsigtet lader disse phishing mails lande hos slutbrugeren. Allerførst er der de sprogmæssige udfordringer, da disse spamruns er udformet på dansk, og dernæst er dette isolerede angreb der hyppigt slipper forbi internationale radarer og honeypots.

Hos CSIS har vi tre tilgange til denne problemstilling. Dels at oplyse vores kunder mod denne type risici, så almindelige medarbejdere og danske brugere opnår viden om phishing, og dels ved at stoppe disse uønskede e-mails i vores mailfirewall service og samtidig blokere adgang til phishing siderne i CSIS Secure DNS.

CSIS vil fortsætte med at identificere og spore disse phishing angreb. Vi frygter problemet vil vokse og at det afspejler en generel trend i det globale trusselsbillede hvor geografiske angreb bliver mere og mere populære hos it-kriminelle.

CSIS har i går aftes stoppet flere spammails, som lokker naive Internet brugere med et fint lønnet deltidsjob, og uden krav til personlige kvalifikationer.

Lyder det for godt til at være sandt? Det er præcist hvad det er! Det er blot endnu en muldyrsrekrutteringskampagne med det formål at hverve naive danskere til at fungere som mellemmænd for uautoriserede banktransaktioner eller fungere som pakkemuldyr. Vi har tidligere advaret omkring at lade sig lokke til denne form for jobs. Se vores artikel: "CSIS advarer mod at lade sig hverve som "muldyr" (http://www.csis.dk/da/csis/blog/643/).

Den uønskede e-mail ankommer med følgende indhold (mellemrum indlagt af CSIS):

Fra: info@world- moneys.com

Emnelinje: Job offer CareerBuilder ID 26

Indhold:

Hello! You are worried by Worldmoney company. Your email was bought at the Employment Service. Are you sure you are looking for a job? We send this letter to many people, need of work since for our organization urgently needs agents.
Worldmoney company is engaged in transferring money from one electronic system to another, delivery of cash at home. Now the demand for our services is very high. Therefore, we want to expand the network of agents. Now we need to find 15 agents in your country, 12 agents in Russia. So we want to offer you participation in the competition for the post of agent Worldmoney company. For this competition you need to send us the following information:

1. Your full name
2. The area of your activity
3. Your Age
4. How much time you can give attention for agency work
5. City you live

Requirements for agent:
1. Knowledge of basic English, or property to contact a translator.
2. Responsibility for the assignment
3. Ability to travel within the city (by car or bus)
4. Ability to use a money transfer systems Western Union and Moneygram
5. Having a bank account

Duties of an agent:
1. accept cash or noncash money from customers and deliver them to the specified location
2. accept funds from our organization and deliver them to the specified location

Thus, the agent's activity in our company is an activity that promotes rapid delivery of funds to a designated place, avoiding the usual delays in the banking translation.

A salary in our company is generous. From every operation of money an agent will get 5 percents from sums of order (minimum 50 euros). For example if we give you an order to deliver 1000 euros, you will get 50 euros. So  for an order to deliver 5000 euros, you will get 250 euros. Now you can see , that we pay good money, but there is one nuance: expenses on transport charges(petrol, cost of ticket on a bus) you will carry out.
We believe, that on every agent in a week there will be orders minimum on a sum in 15 000 euros. So your salary will make approximately 500 - 750 euros in a week minimum it depends on the amount of orders. In future we plan to open an office in your district, thus during good job you will have the opportunity to go on a quarry stair and apply on the post of manager this office. About it we will tell to you later. First we need check, your work on position of agent.

From the number of responded to this letter people, we will choose the best. Processing messages will take place in the shortest possible time. So if you are interested in this offer, please reply as soon as possible and we will consider your candidacy for the the position of the agent. Thank you.
Yours faithfully,
Worldmoney company (world- moneys.com)

-

Den IT-kriminelle anvender åbenlyst domænet (mellemrum indlagt af CSIS)
world-mo neys.com.

Dette domæne oversættes til IP adressen: 212.59.117.48 med en reverse DNS til (mellemrum indlagt af CSIS): io- hosts.ru.

Domænet er registreret med følgende oplysninger:

Registrant ID:    XC3ZD1A-RU
Registrant Name:    Viktor P Opanasenko
Registrant Organization:    Viktor P Opanasenko
Registrant Street1:    chigorina 49 kv 31
Registrant City:    kiev
Registrant State:    kiev
Registrant Postal Code:    10100
Registrant Country:    UA
Contact e-mail         viktor.[..]enko@gmail.com

Den samme e-mail adresse er også blevet misbrugt i andre muldyrskampagner bl.a. (mellemrum indlagt af CSIS): swif t-money.net.

En anden interessant observation er det faktum, at føromtalte IP adresse også hoster (mellemrum indlagt af CSIS): macro android.ru.

I lighed med tidligere kampagner, så fremstår de hjemmesider der anvendes til rekruttering af muldyr, yderst professionelt:





CSIS har blokeret domænerne i CSIS Secure DNS og stopper disse uønskede spammails i CSIS mailfirewall services.

En sårbarhed der rammer en funktion i Exhange 2007 og 2012 servere (OWA) samt FAST Search Server 2010 til SharePoint misbruges aktivt af hackere i spear phishing angreb.

Microsoft har netop frigivet "Security Advisory 2737111" som adresserer en sårbarhed i "Oracle's Outside In technology" der anvendes som tredjepartsprodukt i bl.a. Microsoft Exchange Server 2007 og 2010 samt FAST Search Server 2010 til SharePoint.

Sårbarheden er introduceret i flere Microsoft produkter via et bibliotek fra Oracle der anvendes til processering af mange typer filformater.

Microsoft Exchange Server 2007 og Exchange Server 2010, Outlook Web App (OWA) tilbydes brugere en funktion der hedder "WebReady Dokument visning" (WebReady Document Viewing), hvilket gør det muligt at få vist særlige dokumenter, som HTML sider. Det åbner for en åbenlys mulighed for at eksponere udvalgte brugere for potentiel skadelig kode igennem særligt udformede e-mails.

En umiddelbar workaround, som kan implementeres uden de helt store komplikationer, består i at deaktivere "WebReady Dokument visning" (WebReady Document Viewing) i Exchange Server 2007/2010 på VDir af alle CAS Serverere. Dette indbreb vil begrænse angrebsvektoren indtil der foreligger en reel patch der korrigerer denne problemstilling.

Microsoft beskriver hvordan denne workaround kan gennemføres i praksis i deres netop publicerede security advisory samt tilknyttede blogindlæg, som kan findes på følgende adresser: 

http://technet.microsoft.com/en-us/security/advisory/2737111
http://blogs.technet.com/b/srd/archive/2012/07/24/more-information-on-security-advisory-2737111.aspx

Formålet med kampagnen er at lokke godtroende Twitter brugere til at klikke på et link, der så flytter dem over mod en server, som via et Blackhole exploitkit, tvangsfodrer systemet med ondsindet kode.

De uønskede beskeder postes med følgende indhold:

@[%navn på Twiter konto%] It's you on photo? http://[DGA subdomæne].nar od2.ru/ 

Et skærmdump findes herunder.


Kampagnen anvender i skrivende stund tre forskellige domæner til at levere det skadelige indhold (mellemrum indlagt af CSIS)

http://school13spb[.]ru/cli/
http://narod2[.]ru
http://467777[.]ru/media/

Ovenstående domæner skal man undgå. Vi har blokeret dem i CSIS Secure DNS, og Heimdal Pro og corporate brugere er naturligvis allerede beskyttet.

Vi har samtidig noteret os at følgende server deltager i angrebet:
hxxp://216.17.10 1.156/?2/

Denne IP kan man med fordel overveje at blokere i sin firewall.

I løbet af weekenden er to kædebreve (med samme indhold men på engelsk og dansk) blevet sendt rundt mellem mange Facebook brugere.

Det interessante er her, at nogen har gjort sig den ulejlighed at oversætte kædebrevet fra engelsk til dansk.

Herunder det "originale" kædebrev på engelsk:

PLEASE CIRCULATE THIS NOTICE TO YOUR FRIENDS, FAMILY, CONTACTS!

In the coming days, you should be aware.....Do not open any message with an attachment called: Invitation FACEBOOK, regardless of who sent it. It is a virus that opens an OlympIc torch that burns the whole hard disc C of your computer.

This virus will be received from someone you had in your address book. That's why you should send this message to all your contacts. It is better to receive this email 25 times than to receive the virus and open it.

If you receive an email called: Invitation FACEBOOK, though sent by a friend, do not open it and delete it immediately. It is the worst virus announced by CNN.

A new virus has been discovered recently that has been classified by Microsoft as the most destructive virus ever. It is a Trojan Horse that asks you to install an adobe flash plug-in. Once you install it, it's all over. And there is no repair yet for this kind of virus. This virus simply destroys the Zero Sector of the Hard Disc, where the vital information of their function is saved.

SNOPES SAYS THIS IS TRUE

http://www.snopes.com/computer/virus/facebook.asp

-

Og herunder den danske oversættelse:

ADVARSEL .............. VENLIGST Cirkulér denne besked til dine venner og familie på din kontaktliste. I de kommende dage, bør du være meget forsigtig ... Du må IKKE åbne en meddelelse med en vedhæftet fil kaldet "Invitation Facebook", uanset hvem der sendte den. Det er en virus, der åbner en olympisk fakkel, som brænder hele harddisken C på din computer. Denne virus vil blive modtaget af nogen, du havde i din adressebog. Derfor bør du sende denne besked til alle dine kontakter. Det er bedre at modtage denne e-mail 25 gange end at modtage virus og åbne det. Hvis du modtager E-MAIL hedder: "Invitation Facebook", men sendt af en ven, må du IKKE åbne den og slette den straks. CNN sagde, at det er en ny virus opdaget for nylig, og er blevet klassificeret af Microsoft som den mest ødelæggende virus nogensinde. Det er en trojansk hest, der beder dig om at installere en Adobe Flash plug-in. Når du installerer det, det hele er overstået. Og der er ingen reparation endnu for denne type virus. Denne virus ødelægger den del af harddisken, hvor vigtige oplysninger opbevares...

-

Det er generelt meget nemt at spotte denne type hoaxes/kædebreve. De indeholder typisk sætninger som: "VENLIGST Cirkulér denne besked til dine venner og familie på din kontaktliste", "CNN sagde", "klassificeret af Microsoft som den mest ødelæggende virus nogensinde" osv.

Slet disse kædebreve, og send dem ikke videre. Det er komplet spild af alles tid, og grobund for unødig bekymring.

Tillad mig at være en smule irriteret og frustreret over, at der dagligt skal leveres aggressive banner reklamer og popups og pop downs for alskens vidunder værktøjer som kan rydde op på din PC og gøre den hurtigere.

I det følgende en oplevelse som jeg fik da jeg besøgte den populære webside "examiner.com" som er blandt de 200 mest besøgte i USA.

Det starter med et link til en nyhed som jeg ønsker at læse. Med nyheder fra sådanne slags websider finder vi altid diverse pop-ups og pop-downs. Det finansierer indholdet helt på linje med nyhedssider herhjemme. Med denne artikel modtager jeg følgende reklame. Se nedenstående skærmdump.


Jeg bliver altid irriteret når smarte reklame folk skræmmer brugere med direkte usande oplysninger, hvilket tydeligvis er tilfældet her "Reparer (15) pc-fejl". Denne popup har ingen jordisk chance for at afgøre om jeg har problemer med min PC, eller for dens sags skyld har virus på den, som er en anden metode der hyppigt anvendes. Den pågældende reklame har også nemt kunne registrere at jeg kommer fra Danmark, hvorfor også indholdet leveres på dansk. Det øger sikkert chancen og sandsynligheden for at indfange naive internet brugere ...

Et klik på reklamen flytter mig fra Examiner.com og videre ind igennem Meebo netværket der også samarbejder med clkads.com, hvorigennem vi lander på websiden: www.appround.biz der via et link til Amazon's sky tilbyder mig programmet "PCperformer". Se skærmdump:


Ok, alright, lad os kigge på det værktøj.

Planen er at downloade programmet til en virtuel maskine og køre det. Inden jeg gør det, noterer jeg mig, at programmet har en valid digital signatur udstedt af Godaddy i går.


SERIALNUMBER = 07969287
CN = Go Daddy Secure Certification Authority
OU = http://certificates.godaddy.com/repository
O = GoDaddy.com, Inc.
L = Scottsdale
S = Arizona
C = US

Program egenskaberne fortæller mig endvidere, at vi har at gøre med "InstallBrain Installer" kompileret med følgende datostempel: 2012:07:30 14:06:11+02:00. Det passer også meget godt med den minimale antivirus detektion som vi linker til i slutningen af denne blog.

Tilbage til installationen: Den kommer hurtigt i fulde omdrejninger, og er man ikke opmærksom under installationen, får man snart to nye "værktøjslinjer/toolbars" bl.a. den "populære" Babylon Toolbar". Se skærmdump herunder.


Jeg fravælger Babylon toolbar, og vælger de prædefinerede tilvalg fra.

I næste fase kommer så endnu et tilbud om en værktøjslinje/toolbar. Denne gang er det "Searchcore Toolbar" som i lighed med Babylon gerne - udover at installere en værktøjslinje - vil være min startside samt foretrukne søgemaskine. Jeg fravælger, ligesom Babylon Toolbar, dette værktøj og dens ønsker om at ændre indstillinger i min browser.

Under installationen noterer jeg at aldrig får lov til at fravælge programmet "Saving Sidekick" fra websiden savings-sidekick.com. Dette installeres altså obligatorisk med dette optimeringsværktøj.

Omsider, og efter at skulle holde et konstant vågent øje med installationsprogrammet og dens mange forhåndstilvalgte optioner, er jeg nu klar til at installere og teste det jeg kom efter: "PCperformer". Programmet installeres, som tidligere nævnt på en jomfruelig Windows XP SP3 virtuel maskine.

Det første jeg noterer mig at jeg også har fået et andet program "Audio Performer fra "PerformerSoft", som jeg ikke mindes at have godkendt eller bedt om. Jeg gætter på at det har været druknet i de oceaner af linjer som deres EULA (Licensbetingelser) består af. Jeg noterer mig at værktøjet kommer fra samme firma som "PCperformer" men svært ved at se hvad det har at gøre med PC optimering?

PCperformer åbner som det første for en velkomst side igennem Internet Explorer:
http://www.performersoft.com/pcperformer/welcome/

Websiden takker for min download af programmet og består derudover af følgende overskrift

All you need to know About PC Maintenance
By: Director of IT at PerformerSoft (der er underligt nok ikke et navn knyttet til billedet)

- ledsaget af nogle råd til at holde min PC hurtig og ren for malware.

Der er links til flere andre værktøjer bl.a. http://www.pchelpsoft.com/pc-cleaner/ og http://ultra-pc-care.com. Fælles for alle links er, at de leveres via "googleadservices.com". Det giver så disse mennesker endnu et økonomisk afkast på den trafik de hiver ind på siden og sender videre til andre. Jeg vil kigge nærmere på dem ved en anden lejlighed. En hurtig Google søgning afslører også at de mange steder er klassificeret som fup og adware programmer.

Ikke overraskende er der på min virtuelle maskine fundet mange fejl som hvis man ønsker at korrigere skal betale for.


Nok får man lov til at korrigere de første 15 fundne fejl med gratis udgaven men derfra er betaling af licens nødvendig. Som det fremgår er der 43 fejl som skal korrigeres så de fleste helt almindelige brugere vil nok vurdere værktøjet som en god investering. Det er det naturligvis ikke!

Medmindre, at Microsoft Windows XP leveres med så mange fejl, som bør rettes, så lugter det her, ligesom mange andre af dens slags programmer, af ren fup og svindel.

Selve installationsprogrammet opnår følgende antivirus detektion på hos Virustotal [klik her]

I det følgende har jeg samlet de forskellige websider, som enten direkte eller indirekte indgår i denne kampagne. Jeg linket dem op mod Web of Trust (WoT).

Formålet med WoT er at man kan se hvordan andre Internet brugere oplever de pågældende websider og samtidig linkes der til diverse kendte blacklists.

Et klik på de enkelte links vil give WoT result:

clkads.com [RØD]
appround.biz [RØD]
savings-sidekick.com [Ikke vurderet]
performersoft.com [RØD]

Eksterne links - ikke direkte involveret i kampagnen:

pchelpsoft.com [GUL]
ultra-pc-care.com [GRØN]

I løbet af det seneste halve år og måske endda længere endnu, er danske indbakker blevet oversvømmet med såkaldte phishing e-mails. Phishing er en teknik der misbruges af it-kriminelle til at fiske følsomme oplysninger fra naive Internet brugere. Det er simpelt men det virker ...

Ofte anvendes denne teknik i forbindelse med spammails der udsendes vilkårligt. Et eksempel er en phishing e-mail som nedenstående som vi modtog her til morgen:


Hvordan undgår du at blive offer for phishing?
Det bedste du kan gøre er at sætte dig ind i, hvordan dit pengeinstitut eller andre virksomheder, som du gør forretninger med, kommunikerer med dig. Så er du automatisk mere på vagt når du modtager noget usædvanligt!

Al kommunikation omkring dine bankforhold eller kreditkort vil ske enten inde i selve Netbanken eller via almindelig post. Der findes ingen større virksomheder som kontakter dig uopfordret og samtidig anmoder dig om at opgive oplysninger som de i forvejen har! Du vil derfor aldrig modtage en e-mail fra dit pengeinstitut eller kreditkort udsteder som beder dig om at udlevere die kreditkort eller personlige oplysninger. Hvis du modtager en sådan e-mail, skal du derfor regne med, at det er et forsøg på at narre dig.

En anden måde hvorpå man kan genkende en phishing mail er at det medfølgende link aldrig peger på den rigtige webside. Ved første øjekast kan det se rigtigt ud. Det skyldes at e-mailen kan være HTML formatteret og at der anvendes et underliggende hyperlink (kaldes en HREF). Denne kan altid ses ved at flytte musen op til linket, som også vist i ovenstående eksempel. Her kan man tydeligt se at noget er helt galt. I det konkrete eksempel flyttes brugeren mod domænet eb2a.com som intet har med NETS at gøre.

Ubehjælpsomt dansk
Hovedparten af de mange phishing kampagner, er, for at fremstå mere troværdige, blevet oversat til dansk, men det er ofte både ubehjælpsomt og med manglende dansk karakterunderstøttelse (hvor er æøå i ovenstående eksempel?). Når indholdet oversættes anvendes tit en såkaldt translator, og det får naturligvis indholdet til at fremstå sprogligt ukorrekt og i det hele taget virke utroværdigt. Det bør man også forholde sig til. Sådan kommunikerer professionelle virksomheder aldrig med deres kunder!

Heimdal beskytter mod phishing
CSIS blokerer løbende og dagligt massevis af phishingsider i vores Secure DNS, så også vores Heimdal kunder, kan opnå optimal beskyttelse. Sådan ser det ud når Heimdal blokerer adgang til en phishing side:



Modtager du en mistænkelig e-mail så send den til:
phishing @ csis.dk

Vi vil herefter sikre, at websiden hvorfra det uønskede indhold præsenteres, fjernes og at beskyttelse mod tilsvarende kampagner blokeres i Heimdal.

Vil du vide mere om hvordan Heimdal kan beskytte dig og din familie mod phishing og andre Internet trusler, så besøg vores Heimdal side på adressen:
https://www.heimdalagent.com

CSIS har her til morgen observeret hvordan it-kriminelle har igangsat endnu en phishing kampagne hvor målet er at fiske kredit kort oplysninger fra godtroende Internet brugere. Den pågældende phishing mail foregiver at komme fra SKAT. Se nedenstående skærmdump.


E-mailen er HTML formatteret og den underliggende HREF peger på en kompromitteret webside som anvendes til videredirigeringen til den server hvorfra selve phishingen gennemføres:

ctedu.org.tw
--> http://211.75.193.133/skat/page/skat_refund.html

Når ofret har indtastet sin kreditkort oplysninger flyttes denne videre til SKATs webside:
http://skat.dk/SKAT.aspx?oId=77606&vId=0

CSIS anbefaler at man sletter disse e-mails. Det er naturligvis direkte uklogt at opgive kreditkort eller andre følsomme oplysninger via nettet, hvor opfordringen hertil stammer fra uønskede e-mails.

CSIS har allerede blokeret domænet i CSIS Secure DNS, hvorfor vi også beskytter mod denne kampagne i Heimdal Pro og Corporate. Vi stopper endvidere disse e-mails i vores mailfirewall services. Vi har endvidere initieret nedtagning af materialet på den kompromitterede server.

Som vi tidligere har varslet har Oracle i nat, og i al hast, frigivet en udenfor cyklus sikkerhedsopdatering til Java 7. Opdateringen lapper kritisk sårbarhed (CVE-2012-4681) der aktivt misbruges i angreb mod sårbare systemer.

Oracle har døbt denne opdatering Java 7 update 7 som allerede nu er tilgængelig via Oracles webside.

Hos CSIS er vi ved at gøre opdateringen klar til automatisk udrulning i Heimdal Security Agent. Vi forventer opdateringen vil være klar senere i dag. Sårbare systemer vil med Heimdal Security Agent automatisk blive opgraderet til denne version.

Opdateringen fylder 894,952 bytes til Microsoft Windows og kan hentes på adressen:
http://java.com/en/

Dette er en yderst kritisk opdatering, som bør installeres med det samme. Sårbarheden misbruges allerede i omfattende angreb både via usikre og fjendtlige websider og spammail kampagner.

Med sikkerhedsopdateringen følger optionen at installere "Ask Toolbar" og samtidig gøre Ask til den foretrukne søgemaskine i browseren. Denne option bør fravælges medmindre man har behov for værktøjslinjen og ændring af standard søgemaskine.

Opdateringen forudsætter at man stopper sin browser for at installationen kan gennemføres. Den kræver imidlertid ikke en genstart af maskinen.

Yderligere oplysninger:
http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html

CSIS har over de seneste dage observeret hvordan en gruppe it-kriminelle har udsendt i massevis af phishing mails til vilkårlige danske e-mail adresser.

Den pågældende e-mail er spoofet, så den ser ud til at komme fra Microsoft. Endvidere er den, som det er set i mange af de klassiske phishing kampagner vi ser for tiden, HTML formatteret, hvilket betyder, at det pågældende link umiddelbart ser legitimt ud. Ved en "mouse over" vil det snart afsløres, at den underliggende HREF peger på en kompromitteret webside.

Den uønskede e-mail ankommer med emnelinjen:
Advarsel: Urgent besked! (*3 september-2012) - E-mail Konto alert!

Indholdet ser ud som følgende (kort udsnit):

Kære WindowsLive e-mailkunde,
Vi sender denne e-mail for at informere dig om, at din e-mailkonto har overskredet begrænsningen for at afsende og modtage mails de seneste 7 dage. [SNIP]

--> link til kompromitteret webside.

Det pågældende link, flytter brugeren til en klassisk phishing side (se skærmdump herunder).



Vi har allerede blokeret de pågældende domæner i CSIS Secure DNS hvorved vi beskytter vores kunder mod utilsigtet datalækage. Det samme gælder alle vores kunder der anvender enten Heimdal pro eller corporate.

CSIS er i øjeblikket i gang med at analysere lækkede data der hævdes at indeholde over 1 million "Apple Devices UDIDs" (http://theiphonewiki.com/wiki/index.php?title=UDID).

Gruppen bag denne lækage (AntiSec) hævder at have mere end 12 millioner unikke Apple Devices UDIDs inklusiv fuld navn, mobil nummer, adresse, postnummer, etc.

De lækkede data består af følgende felter:
Apple Device UDID, Apple Push Notification Service DevToken, Device Name, Device Type.

Desværre er der beviser for at disse data rent faktisk kommer fra en FBI agents PC, som er blevet kompromitteret i Marts 2012 ved at udnytte en sårbarhed i Java JRE. Se links i bunden for yderligere oplysninger.

De lækkede data (når de er blevet analyseret og valideret) vil naturligvis blive processeret i CSIS Threat Detection, og relevante oplysninger/data vil automatisk blive distribueret til berørte CSIS Threat Detection kunder.

Desværre tyder alt på at denne lækage er reel. Et eksempel, som bekræfter vores bekymring, er det faktum at tre af Peter Kruse's iDevices er at finde blandt de allerede lækkede data. Se billede herunder:

Et andet eksempel findes herunder:

Indlysende nok kan denne lækage blive yderst problematisk for Apple.

Yderligere oplysninger (officiel statement fra (Antisec):
http://pastebin.com/nfVT7b0Z

Check om dit iDevice er lækket:
Du kan nu checke online hvorvidt dit UDID er blevet lækket:
http://thenextweb.com/apple/2012/09/04/heres-check-apple-device-udid-compromised-antisec-leak/

Læs også:
How the FBI might've been owned (12M Apple records)
http://erratasec.blogspot.co.uk/2012/09/how-fbi-mightve-been-owned-12m-apple.html

Som tidligere nævnt ser disse data ud til at være lækket fra en FBI agents PC. Det store spørgsmål er hvad disse data laver hos FBI og hvorfor mit unikke UDID samt personlige oplysninger, findes på en sådan PC? Skræmmende. Apple må vi bede om en forklaring!?

I lyset af en betydelig efterspørgsel fra det private erhvervsliv, er markedets første CERT koncept til danske såvel som udenlandske virksomheder blevet introduceret af CSIS Security Group A/S.

Konceptet CERT (Computer Emergency Response Team) kendes fra staten, forskningsnettet og militæret. CSIS har gennem en årrække oplevet en stigning i industrispionage og målrettede angreb, hvor 81% af tilfældene med datalækager i 2011 var direkte forårsaget af hacking. Det er bl.a. en af årsagerne til, at mange virksomheder efterhånden har oplevet et akut behov for assistance til sikkerhedshændelser.

CSIS har i en årrække haft et solidt funderet samarbejde med alle de danske, samt en række af de største internationale, pengeinstitutter, hvilket har givet CSIS en unik indsigt i det danske såvel som udenlandske trusselsbillede.

Den viden, der genereres ved disse samarbejder, kombineret med ekspertisen fra teamets medlemmer, danner grundlaget for det nye koncept; CSIS-CERT. Konceptet består af forskellige områder inden for it-sikkerhed, herunder forensics, sikkerhedsarkitektur, incident response samt netværks- og penetrationstest. Specialisterne i CSIS-CERT fokuserer desuden på de nyeste tendenser og metodikker, hvilket har givet dem førstepladsen ved verdensmesterskabet i hacking.

CSIS-CERT er allerede blevet vel mødt af flere af de største danske virksomheder, der kan se fordelene ved at trække på specialistviden og –kompetencer. Ligeledes sikrer CSIS-CERT, at virksomhederne ikke rammes af den kommende lovgivning om datalækager, hvor EU vil pålægge virksomheder en økonomisk straf hvis der undgås at blive oplyst om lækager af privatpersoners personlige data. CSIS-CERT er således også en garant for opretholdelse af et godt virksomhedsrenommé, da risikoen for uventede hændelser minimeres.

CSIS er, i kraft af den markante efterspørgsel, i færd med at oparbejde samarbejder med andre markedsledende it-sikkerhedsfirmaer i Europa, der kan se fordele i at tilbyde løsningen til deres kunder.

Læs mere om CSIS-CERT her

CSIS har observeret en massiv phishing kampagne der for øjeblikket ruller ind over danske indbakker.

De it-kriminelle misbruger Danske Banks navn og navnet på en medarbejder i Danske Bank. Se skærmdump herunder.


I lighed med tidligere kampagner er der tale om en regulær phishing kampagne hvor målet er at lokke godtroende brugere til at klikke på det medfølgende link der peger mod en forfalsket Danske Bank webside. Fra denne webside fiskes efter kreditkort oplysninger. Se skærmdump af den forfalskede webside herunder:


De it-kriminelle har med denne kampagne gjort sig den ulejlighed, at købe et domæne der til forveksling minder om Danske Banks. Det drejer sig om domænet:

http://www-danskebank-dk.dan ske-ssl.net/

Whois oplysninger giver os følgende data tilbage:

Domain Name.........: danske-ssl.net
Creation Date.......: 2012-09-02 00:00:00
Expiration Date.....: 2014-09-02 00:00:00

Registrant Details..:
Registrant Name.....: Martin Guess
First Name..........: Martin
Last Name...........: Guess
Address Line 1......: 10 Godliman Street
Address Line 2......:
City................: London
State...............: London
Country.............: GB
Post Code...........: EC4V 5AJ
Phone...............: (+44) 4768665662
Fax.................: (+)
Email Address.......: jeankurtio@hotmail.com

CSIS har allerede indberettet det pågældende domæne på diverse blackliste, initieret nedtagning, samt tilføjet det i Heimdal Pro og Corporate, så vores kunder er beskyttet mod utilsigtet datalækage. Som altid anbefaler vi at denne type mails slettes uden at klikke på indlejrede links eller potentielle vedhæftninger.

IT-kriminelle har kastet sig over Rema 1000 hvor de for øjeblikket forsøger at få naive danskere til at indrulle sig i en konkurrence om 500 iPads. 

Det er svindel og fup og værst af alt; det er tilmed hostet i Amazon's Cloud service på adressen (mellemrum indlagt af CSIS) http://rema ipad.s3-website-ap-south east-1.amazonaws.com/

Se skærmdump af svindelsiden herunder:


Hele formålet med denne type viral marketing, som spredes med lynets hast på Facebook, er at lokke naive Facebook til at dele indholdet og samtidig deltage i en konkurrence. Inden optages og kan indgå i lodtrækningen om de attraktive iPads, skal man da også først lige indtaste i stribevis af personlige oplysninger herunder navn, adresse, mobilnummer m.v. og acceptere konkurrencevilkår.

Krogen er hyppigt at vilkårerne for deltagelse i denne type konkurrencer indbefatter at man med accept også oprettes som abonnent på diverse services samt indvilger i at konkurrenceudbyderen kan videregive dine oplysninger til diverse samarbejdspartnere.

Det er en dum ide at lade sig friste af den slags. Bemærk iøvrigt det der står med småt på den webside hostet hos Amazon som man skal lokkes til at besøge:
"* This promotion is not affiliated in any way with Rema 1000 or Apple". Ja, den lader vi lige stå og blinke til eftertanke.

I sidste uge blev Danmark udsat for en massiv phishing kampagne, hvor Microsoft Hotmail blev misbrugt som fluepapir.

Vi advarede omkring denne kampagne på vores hjemmeside med overskriften "Fiskekampagne jagter Hotmail logins"
https://www.csis.dk/da/csis/blog/3633/

Hvordan og hvorfor?
Ofte spørger vi os selv om hvad der gør en phishing kampagn effektiv, og i dette tilfælde er svaret ret ligetil. Denne kampagne blev rullet ud i én voldsom bølge som åbenlyst skyllede forbi samtlige spam og mailfiltre. Derudover var kampagnen rettet imod Microsoft Hotmail, hvilket tilsyneladende også har gjort at denne kampagne blev en sucess for de it-kriminelle.

22,000 brugere opgav data til phishere
Når vi gør skaderne op kan de være svære at vurdere men faktum er at CSIS har været i stand til at udtrække de data der er blevet fisket via denne kampagne og de afslører at hele 22,000 danskere hoppede på limpinden - og udfra de data vi har korreleret ser det ud til, at der er ca. end 16,000 valide brugernavne og passwords til Microsoft Hotmail. Vi antager at passwords som f.eks. "fuckyou" og "dummass" er en hilsen til fiskeren :-)

Fra datalækage til Nigeria svindel
Måske er en sådan lækage i sig selv ikke et stort problem, men lad os slå fast med det samme: der er en grund til at der fiskes efter Hotmail konti! En af grundene kan være at en Hotmail konto kan bruges til at nulstille passwords på tværs af andre tjenester og en anden er, at de kan misbruges til at igangsætte en anden kampagne mod venner og bekendte der udspringer fra en legitim Hotmail konto. Det er ofte den type tricks som Nigeria (419) svindlere gør brug af, men det kan også misbruges til at lokke ofret til at klikke på et link der kan flytte dem mod en fjendtlig webside (drive-by) der kan give virus.

Herunder præsenterer vi et lille udsnit af de mange kompromitterede konti.


CSIS har naturligvis kontaktet Microsoft og videregivet de lækkede data. Personer som optræder på listen kan forvente at deres password vil blive nulstillet. Vi antager at de i den forbindelse vil blive kontaktet direkte af Microsoft.

Udover at data er sendt til Microsoft har vi også parset de mange data ind i vores Threat Detection service, så vores kunder automatisk notificeres omkring lækagen.

Vores arbejde er gjort her ...

CSIS har i samarbejde med Trend Micro frigivet et teknisk whitepaper omkring netbanktyven "Tinba" (også kendt som Tinybanker). CSIS eCrime researchere navngav denne malware "Tinba" fordi det er den hidtil mindste netbank specifikke malware observeret. Den fylder kun ca. 20KB.

Som vores whitepaper vil dokumentere har banden bag Tinba haft et meget koncentreret fokus på Tyrkiet som mål for deres nålestiksoperation. Vi har registreret ikke færre end 60,000 unikke infektioner i Tyrkiet alene, hvilket gør denne trojanske hest til en yderst potent trussel for Tyrkiske Internet brugere og virksomheder.

Vores whitepaper, som er på Engelsk, kan downloades fra CSIS' blog på adressen: 
https://www.csis.dk/en/csis/blog/3653/

CSIS har observeret en familie af ransomware (kidnapningssoftware), som for øjeblikket rammer danske brugere. Det er første gang at vi har set ransomware ramme danske brugere målrettet og med tilpasset sprogindhold. Vi fraråder selvsagt at man betaler løsesum for at få frigivet kidnappede data da det blot er benzin på et i forvejen optændt bål. 

Hvis den skadelige kode køres, typisk via drive-by angreb eller "Pay per install services" (også observeret som en spammail der foregiver at komme fra Facebook), vil den droppe flere vilkårligt navngivne filer til maskinen, og dernæst systematisk begynde at kryptere alle dokumenter og potentielt vigtige filer på den inficerede maskine. Herefter bliver ofret mødt af en dialog boks der truer med at der er observeret børneporno aktivitet på maskinen. 

Koden, der checker hvilket keyboard layout som er valgt på systemet, vil med et dansk tastetur frembringe en dialogboks med instruktioner på dansk. Det fremgår tydeligt (se skærmdump herunder), at indholdet er robot oversat. Ikke desto mindre skal ofret betale hele €100 via Ukash for at de kidnappede data kan løslades. 


Ransomware komponenten ringer ind til en Command & Control (C&C) på domænet (mellemrum indlagt af CSIS):
windowso nlypositives.org

Kontakten sker med en 
GET /ad/?eaisx=F3AJARgR[%unikt ID%]pbfhP

Domænet er hostet i Rusland via navneserveren (mellemrum indlagt af CSIS) goss imer.com.

Samme navneserver er vært for talrige andre skadelige domæner, som naturligvis allerede er blokeret i CSIS Secure DNS.

Udover at kryptere data på den lokale maskine sender den også ukrypterede data til den centrale C&C server. Det kan føre til en alvorlig datalækage, og risiko for decideret datatyveri.

Som tidligere omtalt indeholder denne ransomware variant, som er udviklet i Microsoft Visual C++,  flere sprogmoduler. Det bestemmer hvad der skal vises og hvordan koden opfører sig baseres på data der trækkes fra den inficerede maskine. Den anvender følgende funktioner til formålet:

GetMailslotInfo
GetDriveTypeW
GetACP
GetStartupInfoW
GetEnvironmentStringsW
GetCPInfo
GetOEMCP

Udover det indeholder den flere antidebugging tricks (isdebuggerpresent etc) samt en sleep funktion efter koden er kørt i hukommelsen.

Den skadelige Ransomware komponent opnår kun begrænset antivirus detektion: 

Antivirus    Result            Update
AhnLab-V3     Trojan/Win32.Jorik     20120912
AntiVir     -     20120912
Antiy-AVL     -     20120911
Avast     -     20120912
AVG     -     20120912
BitDefender     -     20120912
ByteHero     -     20120817
CAT-QuickHeal     -     20120912
ClamAV     -     20120912
Commtouch     -     20120912
Comodo     UnclassifiedMalware     20120912
DrWeb     Trojan.DownLoader6.53690     20120912
Emsisoft     Trojan.Win32.Menti!IK     20120912
eSafe     -     20120911
ESET-NOD32     -     20120912
F-Prot     -     20120912
F-Secure     -     20120912
Fortinet     -     20120830
GData     -     20120912
Ikarus     Trojan.Win32.Menti     20120912
Jiangmin     -     20120912
K7AntiVirus     -     20120911
Kaspersky     Trojan.Win32.Menti.omyj     20120912
McAfee     -     20120912
McAfee-GW-Edition     -     20120912
Microsoft     -     20120912
Norman     -     20120912
nProtect     -     20120912
Panda     Suspicious file     20120911
PCTools     -     20120912
Rising     -     20120912
Sophos     -     20120912
SUPERAntiSpyware     -     20120911
Symantec     Suspicious.Cloud.5     20120912
TheHacker     -     20120911
TotalDefense     -     20120912
TrendMicro     -     20120912
TrendMicro-HouseCall     TROJ_GEN.F47V0912     20120912
VBA32     -     20120912
VIPRE     -     20120912
ViRobot     -     20120912
VirusBuster     -     20120912

De seneste dage har medierne herhjemme og i udlandet været optaget af en kritisk sårbarhed i Microsoft Internet Explorer. En sårbarhed som har været misbrugt til at inficere PC'ere med malware/virus via såkaldte "drive-by angreb".

Microsoft har i den forbindelse, og som vi allerede varslede i går på vores Platinum Alert liste, frigivet et såkaldt "Fix-it" værktøj der midlertidigt lapper denne sårbarhed.

CSIS anbefaler imidlertid, at man afventer den permanente og officielle patch der frigives allerede i morgen fredag.

Microsoft har frigivet et Fix-It værktøj der fjerner en kritisk sårbarhed i Microsoft Internet Explorer 6, 7, 8, og 9 (CVE-2012-4969 - "Use-after-free vulnerability in the CMshtmlEd::Exec function in mshtml.dll"). Den pågældende sårbarhed er en såkaldt 0-dags sårbarhed  der har været anvendt i begrænsede målrettede angreb op til d. 14.9. 2012, men som sidenhen har fundet sin vej til den brede offentlighed, hvorved risikoen for udbredt misbrug er blevet betragteligt forøget.

Fix-it værktøjet anbefales primært til bekymrede private brugere der ønsker en nem løsning her og nu, mens virksomheder, som skal udrulle en løsning i et Microsoft Windows netværk, bør vente til morgendagens security bulletin og tilhørende patch.

Sikkerhedsopdateringen, som frigives i morgen, vil gøres automatisk tilgængelig via Windows Update.

I mellemtiden er der beskyttelse at finde i CSIS Secure DNS som aktivt blokerer alle domæner hvorfra sårbarheden misbruges. Det samme gælder brugere af Heimdal Pro og Corporate.

Vi udsender en advisering i morgen når den officielle patch er gjort tilgængelig af Microsoft.

Det pågældende Fix-It værktøj samt yderligere oplysninger kan findes på adressen: 
http://support.microsoft.com/kb/2757760

Microsoft har frigivet "MS12-063" som er en såkaldt kumulativ sikkerhedsopdatering rettet mod flere versioner af Microsoft Internet Explorer.

Det primære formål med denne "uden for cyklus" opdateringspakke er imidlertid at lappe en kritisk 0-dags sårbarhed, som har været misbrugt i flere spear phishing angreb og som har givet anledning til massiv presseomtale.

Sikkerhedsopdateringen er fortsat under udrulding, mens vi skriver dette, men "Microsoft Security Bulletin MS12-063" er nu blevet publiceret, hvilket betyder at mange vil opleve at "windows update" gør opmærksom på at en kritisk opdatering er klar til installation.

Vi anbefaler at alle vores kunder prioriterer denne opdatering og henviser samtidig til Microsoft webside for yderligere oplysninger: http://technet.microsoft.com/en-us/security/bulletin/ms12-063