I løbet af de seneste 4 dage har en gruppe af it-kriminelle udsendt i tusindvis af phishing til vilkårlige danske e-mail adresser. Formålet med kampagnen er at lokke naive modtagere til at klikke på det medfølgende link og fra en hacket webside, som foregiver at være TDC's, fiske kreditkort data. De høstede data vil blive misbrugt til køb af varer på nettet.

De uønskede e-mail ser ud som følgende:



Uanset hvor på denne phishing mail man klikker, så flyttes man over på en forfalsket/hacket webside. I de seneste kampagner eksempelvis (mellemrum indlagt af CSIS):

http://www.rechtsanwalt-grundmann.info/www/wp-includes/index1.php

Der er tale om en kompromitteret server som anvender en sårbar WordPress installation.

Selve indholdet af phishing siden som møder ofret ser ud som følgende:



De høstede data sendes til en Google gmail konto:
sofia.elmassifi@gmail.com

Vi har blokeret de uønskede domæner i CSIS Secure DNS og Heimdal PRO og har samtidig indrapporteret phishing siderne til flere kilder med henblik at få dem blokeret.

Vores råd er generelt, at man naturligvis ikke reagerer på uopfordrede e-mails, som fisker efter sensitive oplysninger.

Vi har i dag modtaget adskillige henvendelser angående en webside der bliver kraftigt promoveret på Facebook, og som lokker med gratis gavekort på 100 gode danske kroner til fastfood-formidleren Just-Eat.dk

Som altid, er der ikke noget der hedder "et gratis måltid", og i dette tilfælde betaler både du og dine venner på Facebook for din naive tro på gratis fastfood

Kampagnen bliver promoveret ved at ofre lader sig lokke til at klikke på et link postet på en ven/bekendt eller gruppes væg på Facebook. Denne flytter ofret mod webadressen "fri-justeat.net" hvor man mødes af følgende reklame:

Linket ”Generer kode” åbner Facebook i en ny fane, hvor app’en ”Imgur” beder om så mange tilladelser, så du reelt ligeså godt kan give dem din adgangskode til Facebook. Plus det faktum at app'en også anmoder om tilladelse til at poste til dine venner og udgive sig for at være dig.

Når app’en har opnået de ønskede rettigheder åbnes et billede på billed-delingstjenesten "imgur.com". Den URL der åbnes indeholder en unik token der skal kopieres ind i Facebook app’en. Det er manuelt arbejde som ofret anvises at gøre således:

CTRL + L markerer indhold i adresselinjen
CTRL + C kopierer markeret tekst
CTRL + W lukker fanen igen
CTRL + V kopierer indholdet ind i app’en

Token ser sådan ud:
hxxp://i.imgur.com/mrW0ETG.png#access_token=CAAB0Ei5vrDEBAP36I4qYPNZBjj9bj4bURz0FBjXNtuWVsHZCXZBrP
IISMozu02vNUamp59YeZCeK7S1BdonYlnFhKusCW4RtVINwZApH0kiaEqpFA6xirZAX4ZAfPlECVZAD0pZAJusS8N9jzS
Dq5DdTylG9VtjicU38ZD&expires_in=6543&state=95

Efter den pågældende token er kopieret ind og er blevet godkendt, flyttes brugeren til hxxp://www.lotto24.dk/c/504/3931/

Lotto24.dk er gamle kendinge på den danske svindel og spam scene. Tilbage i 2011 meldte forbrugerombudsmanden dem til politiet for vildledende konkurrencer på internettet. Ved at deltage i JustEat konkurrencen bliver man da også automatisk medlem af Lotto24s PLUS klub. Det koster 299kr pr. måned.

På web-rating siden TrustPilot er alle brugere heller ikke så imponerede, se http://www.trustpilot.dk/lotto24.dk

Som flere brugere bemærkede i Facebook gruppen ”IT-sikkerhed” vil Imgur app’en, ud over at poste et fint billede af en burger på din væg, også poste links til konkurrencen til samtlige grupper du er medlem af. Det kan give en del oprydning efterfølgende og en del vrede mennesker man skal forklare sig overfor.

Domænet fri-justeat.net er registreret med falske oplysninger, der gør et let forsøg på at ligne Just-eat.dk:

Domain Name: FRI-JUSTEAT.NET
Registrar URL: http://www.godaddy.com
Updated Date: 2013-08-19 04:56:37
Creation Date: 2013-08-19 04:55:11
Registrar Expiration Date: 2014-08-19 04:55:11
Registrar: GoDaddy.com, LLC
Registrant Name: Fri Just-Eat
Registrant Organization:
Registrant Street: Justeatvej 1
Registrant City: Just
Registrant State/Province: Eat
Registrant Postal Code: 4700
Registrant Country: Denmark
Admin Name: Fri Just-Eat
Admin Organization:
Admin Street: Justeatvej 1
Admin City: Just
Admin State/Province: Eat
Admin Postal Code: 4700
Admin Country: Denmark
Admin Phone: 13375458
Admin Fax:
Admin Email: fri@just.eat.dk
Tech Name: Fri Just-Eat
Tech Organization:
Tech Street: Justeatvej 1
Tech City: Just
Tech State/Province: Eat
Tech Postal Code: 4700
Tech Country: Denmark
Tech Phone: 13375458
Tech Fax:
Tech Email: fri@just.eat.dk
Name Server: DNS1.VPS.NET
Name Server: DNS2.VPS.NET

En aggresiv spam kampagne ruller her til morgen ind i mange mailbokse.

Meget simpelt, men uhyrre effektivt overbeviser mailen ofrene, at de har betalt kr. 558,45 for det populære Microsoft produkt Skype.

Hvis ofret føler sig overbevist om ikke at have bestilt dette produkt, er der meget belejligt et link i bunden til en klageformular, som skilter med fuld refundering. I stedet bliver man ledt hen på en phishingside.

Det ser i øjeblikket ud som om alle modtagere af denne mail er Hotmail addresser.

Linket hxxp://www.day.girltw.com/lib videresender til hxxp://www.musiciansmall.in/site-images/lofthumbs/Nordea/obli3.html

Selve phishing siden er mere ordinær og i øvrigt helt ude af kontekst. Men bedøm selv:

Tre Arabiske bogstaver er alt hvad der skal til for at få et utal af applikationer på iOS og OSX til at fejle. Den magiske tre-bogstavs kombination kan anvendes på mange forskellige måder, men er mere til irritation end en reel sikkerhedstrussel. Fejlen befinder sig teknisk i Apples CoreText font rendering framework og kan misbruges på alle  versioner af iOS og OSX (omfang kan variere) dog ikke iOS7. 

CSIS har testet dette i forskellige scenarier og det er muligt at få Apple's software til at crash ved bl.a. at lokke en person til at besøge en webside, at poste en besked på sociale netværk f.eks. Twitter, Google+, Linkedin, som så indlæses med et Apple device, at broadcaste de tre tegn i forbindelse med en SSID, at sende tekst filer til bluetooth devices med en Apple mac addresse og endeligt - og værst af alt - at sende en SMS besked til en modtager, som ved læsning, vil få postklienten til at fejle.

Hos Facebook har man faktisk handlet hurtigt og har allerede nu blokeret for bogstavskombinationen.


En test side, hvor fejlen er inkluderet, kan findes herunder (!):
https://zhovner.com/tmp/killwebkit.html

NB: Ved at besøge ovenstående URL med et Apple device risikerer man, at applikationen fejler og at data derved kan gå tabt!!

Jeg vovede her til morgen pelsen og opgraderede min iPhone 4s til iOS7. Det forløb smertefrit og ser ikke umiddelbart ud til at give nogen problemer med de apps som jeg har installeret. Bemærk at TDC - og muligvis andre udbydere - fortsat fraråder at man opgraderer, da visse funktioner, herunder viderestilling tilsyneladende har problemer. I følge flere teleselskaber skyldes det at Apple har ændret eller deaktiveret "Unstructured Supplementary Service Data" (USSD).

Disse råd gælder ikke kun iPhone 4s men også nyere versioner af Apple iPhone samt iPad.

Inden man går i gang med at anvende sin iPhone og iOS7 er her nogle tips til at beskytte sit privatliv. Nogle standardindstillinger, som iOS7 er født med, vil jeg råde alle til at slå fra/til.

1) Under Indstillinger -> Anonymitet, har Apple helt i bunden gemt funktionen "Reklamer". Den indeholder en "Begræns reklamesporing" som ved standard er slået fra. Den bør man aktivere (se skærmdump) og samtidig bør man nulstille reklameindikatoren.


2) Under lokalitetstjenester bør man også scrolle ned under Systemtjenester som har en række funktioner aktiveret som man igen med fordel kan slå fra. Slå følgende fra: "Diagnostik og brug", "Lokalitetsbaserede iAd", "Populært i nærheden".


3) Og det sidste tip er at blokere cookies i Safari. Det gør man under: indstillinger -> Safari -> Bloker Cookies -> Altid.

Hvis man af forskellige grunde har valgt at slå iMessage fra skal man også være OBS på at opgraderingen til iOS7 vil aktivere den igen. Hattip til Finn Strand for denne info.

God fornøjelse med Apple iOS7.

Android har omsider fået indbygget funktionalitet som gør det muligt for almindelige Smartphone og Android Device brugere at lokalisere, slette og låse mistede telefoner/devices. Funktionen gør det også muligt at få beskeder til at poppe op på enheden.


Alle med Android-telefon/devices bør aktivere denne funktion. Det tager ganske få minutter. 

Den korte beskrivelse af hvordan dette gøres:

Åbn "Google indstillinger" -> "Android Device Manager".
Afkryds begge valgmuligheder på skærmen og klik aktiver.
Vælg sikkerhedsspørgsmål og svar

Når dette er gjort kan du lokalisere, låse, slette din(e) enheder osv. via Googles Device Manager:
https://www.google.com/android/devicemanager

Apple har med frigivelsen af iOS7 til iPhone og iPads genintroduceret en fejl, som tidligere er blevet korrigeret i iOS6. Problemet er at stemmegenkendelsen via SIRI kan give mulighed for at foretage opkald fra en låst telefon.

Vi anbefaler af samme grund at man slår stemmekontrol fra i IOS7. Det kan ske på følgende måde:

Man kan slå funktionen fra via Generelt -> Lås med kode -> Stemmeopkald [slå fra].

Se billede herunder:

Det er verdens førende antivirus eksperter som næste uge mødes i Berlin når årets Virus Bulletin konference skydes igang.

CSIS deltager, ligesom sidste år på Virus Bulletin og med hele to præsentationer, som dels fokuserer på vores efterforskning af det Marrokanske Phishing Cluster og dels vores research i Tinba (Tinybanker) som er en avanceret informationstyv. Sidstnævnte er en præsentation i samarbejde med vores venner fra TrendMicro og researcher, David Sancho.


Årets Virus Bulletin afholdes på Maritim Hotel i Berlin og løber fra 2. Oktober til og med 4. Oktober 2013.

Vi håber, da denne store event ligger så tæt på Danmark, at det også fra vores hjemmelige himmelstrøg vil tiltrække sig deltagere og opmærksomhed. Det tager, i følge Google Maps, kun fem timer at køre fra f.eks. Skanderborg til Berlin og fra København er det endnu nemmere.

Det komplette program kan findes på adressen:
http://www.virusbtn.com/conference/vb2013/programme

I fælles bestræbelser på at udbrede de stærkeste it-sikkerhedsløsninger i det nordiske marked, har Digicure og CSIS Security Group indgået samarbejde pr. 1. august 2013.

Samarbejdet indebærer en overførsel af de af CSIS’ kunder der indtil nu har benyttet sig af scanningsportalen i Den Digitale Vægter. Samtidig vil Digicure fokusere på CSIS’ velrenommerede service; Secure DNS som en del af virksomhedens eksisterende produktportefølje.

Secure DNS er udviklet af danske CSIS på baggrund af ti års erfaring i malware research og –analyse. Servicen beskytter over 200.000 brugere i danske såvel som internationale virksomheder ved dagligt at blokere for ca. 900.000 skadelige DNS opslag. Uden blokeringer ville disse være blevet inficeret med skadelig kode, der i sagens natur medfører alt fra datalækage til driftsnedbrud.

”Vi har videregivet en række trofaste kunder i fuld overbevisning om, at Digicure vil tage godt hånd om dem. CSIS vil fortsat udvikle på Secure DNS servicen, der er en af grundpillerne i virksomhedens virke, men nu har vi samtidig frigivet ressourcer til at fokusere mere indgående på vores kerneområde; eCrime og forensics” udtaler Allan Mortensen, Adm. Direktør i CSIS.

”I Digicure er vi godt tilfredse med aftalen, der er med til at styrke vores position som en af de største scanningsleverandører i Danmark. Dette samarbejde åbner op for en bred vifte af interessante muligheder, og som virksomheder komplementerer vi hinanden forrygende” udtaler direktør Jesper Helbrandt fra Digicure.

Om CSIS

CSIS blev grundlagt i 2003 med en vision om at være blandt de bedste og mest anerkendte på verdensplan til at bekæmpe it-kriminelle. I dag er CSIS den førende leverandør af anti-eCrime services, og samarbejder med alle de danske banker samt en række af de største finansielle institutioner i Europa. Eksperterne i CSIS er blandt verdens bedste og har vundet DefCon CTF; det uofficielle verdensmesterskab i hacking. Derfor er CSIS også den foretrukne it-sikkerhedsrådgiver af mange erhvervsvirksomheder, offentlige institutioner samt nyhedsmedierne i Skandinavien.

Om Digicure

I mere end 10 år har Digicure bistået virksomheder med analyser, rådgivning og uddannelse indenfor it-sikkerhed og web performance optimering. Ved at kombinere vores ekspertise med en række af markedets mest respekterede metodeværktøjer, har vi hjulpet mere end 1.000 virksomheder med at få overblik over deres it-sikkerhed og web performance. I 2008 opnåede Digicure således, at blive PCI certificeret (Payment Card Industry) og har lige siden bistået e-handelsvirksomheder med, at sikre deres it-systemer og undgå kreditkortsvindel.

For yderligere information:

Allan Mortensen, CSIS, tlf. 88136030 og mail: amo@csis.dk

Jesper Helbrandt, Digicure tlf. 40130000 og mail jesper@digicure.dk

CSIS har frigivet en gratis Windows Phone App, som døgnet rundt kan levere dig de seneste it-sikkerhedsnyheder og advarsler direkte fra landets førende it-sikkerhedsfirma.

Den lille applikation, som fylder mindre end 1MB, er udviklet til Windows Phone 8 og leverer nyhederne på både Engelsk og Dansk.

Den kan endvidere bruges direkte med CSIS Platinum alert service såfremt man har tegnet et abonnement på denne. Det forudsætter abonnement og at man allerede har brugernavn og password til TDG portalen.

CSIS News app'en kan hentes på adressen:
http://www.windowsphone.com/en-us/store/app/csis-news/0c2fee93-2b69-4134-a3ad-ea7b6632e438

Danske CSIS Security Group er blandt de få udvalgte i European Cybercrime Centre's (EC3) Advisory Group. Denne består af ni medlemmer fra internationale banker og  virksomheder, der alle besidder viden om it-kriminalitet i den finansielle sektor. I fællesskab vil de ni medlemmer således bidrage til kampen mod it-kriminalitet i Europa.

Det seneste årti har CSIS Security Group arbejdet med en række af verdens største finansielle institutioner. Ved at bistå dem med at øge sikkerhedsniveauet, bekæmpe de it-kriminelle, samt mindske tab, har CSIS etableret sig som en virksomhed kendt for specialistviden og services af høj kvalitet.

”Vi betragter det som en stor ære at dele vores viden med EC3, der fungerer som samlingspunkt i EU’s kamp mod it-kriminalitet. Med det stigende antal trusler vi har set de seneste år, er det kun i alles interesse at sætte en stopper for den tendens” udtaler Allan Mortensen, Adm. Direktør i CSIS Security Group.

Det bliver Jan Kaastrup, Teknisk Direktør hos CSIS, der bliver det officielle medlem af EC3’s Advisory Group med særligt fokus på finansielle services. European Cybercrime Centre blev etableret den 1. januar 2013 af den europæiske kommission. På daglig basis bidrager centret til hurtigere reaktionstid på it-kriminalitet samt supporterer medlemsstaterne og EU’s institutioner med undersøgelser og samarbejde med internationale partnere.

Om EC3: https://www.europol.europa.eu/ec3

IT-kriminelle har igangsat endnu en ondsindet kampagne hvor vilkårlige modtagere skal lokkes til at klikke på et medfølgende link. Den pågældende kampagne ser ud til at være en invitation fra det sociale netværk Linkedin men peger istedet på en kompromitteret webside som automatisk flyttter ofret videre til en dedikeret drive-by server som udnytter svagheder i Java JRE, Flash, Adobe Reader og Internet Explorer.

Den uønskede e-mail kan ses herunder:


Et klik på et af flere links som er inkluderet i e-mailen flytter ofret videre til en af flere kompromitterede webservere. Herefter flyttes trafikken videre til (mellemrum indlagt af CSIS)
http://173.2 37.198.42/closest/i9jfuhioejskveohnuojfir.php

Exploitkittet, som anvendes til at tvangsfodre ofrets maskine med ondsindet kode, gennemfører i første fase en række browser og plugin checks. Dette for at afgøre hvilke exploits som skal affyres. Den vurderer i den forbindelse også hvilket OS ofret anvender:

["Win", 1, "Mac", 2, "Linux", 3, "FreeBSD", 4, "iPhone", 21.1, "iPod", 21.2,
"iPad", 21.3, "Win." + "*CE", 22.1, "Win.*Mobile", 22.2, "Pockets*PC", 22.3"

Afhængig af om ofret anvender en sårbar komponent, OS eller ej, flyttes trafikken til en webside som reklamerer for tvivlsomme medicinal produkter (mellemrum indlagt af CSIS):
http://doctor wsni.ru.

Det var ikke muligt at downloade en initielle payload da den binære kode allerede var blevet fjernet.

Vi har natrurligvis allerede blokeret disse domæner i CSIS Secure DNS og alle de sårbarheder som forsøges anvendt bliver allerede automatisk patchet af Heimdal Security Agent.

Banditterne bag en raffineret informationstyv forsøger at rekruttere muldyr i Danmark igennem flere massive spambølger, som her til formiddag har ramt vilkårlige danske indbakker. 

CSIS advarer mod at lade sig lokke, da der åbenlyst er tale om it-kriminelle som forsøger at rekruttere naive danskere til at fungere som muldyr for uautoriserede banktransaktioner.

Fælles for kampagnen er, at vi kan forbinde det domæne, som anvendes til at svare tilbage på job-tilbuddet, med en gruppe af it-kriminelle, som systematisk forsøger at høste sensitive data fra inficerede maskiner. 

Herunder eksempel på disse uønskede e-mails:

Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje [flere variationer bl.a.]

- Great Opportunity - Environmental Company Expanding and Looking for Reps

- Environmental company currently looking for partners from all over the world.

- Superb Chance for Employment for Worldwide Population - Environmental corporation rooting out and Recruiting Potential

Bemærk at e-mailen lokker med en stor månedlig indkomst, og at svar på dette jobtilbud skal rettes til [vilkårligt navn]@consult- studio.com (kopi af komplet e-mail herunder).


Samme domæne, som er registreret d. 29.9. 2013 med åbenlyst falske whois data:

Registrant Contact:
Jerry I. Gibson
Jerry Gibson
858-384-3364 fax: 858-384-3443
4815 Hamill Avenue
California CA 02110
us

Navneserveren som anvendes ser ud som følgende:

consult-studio.com     NS     ns1.golden-yacht.com
consult-studio.com     NS     ns2.golden-yacht.com

NS serveren sidder på IP adressen 164.215.38.221 som vi kan binde til en anden kampagne der netop nu kører mod England: england-trading.com.

Et opslag på det domæne giver os følgende whois data:

Registrant Contact:
Lisa J. Carter
Lisa Carter @england-trading.com
510-597-4160 fax: 510-597-4433
1901 Clifford Street
Oakland CA 94609
us

Og med navneserverne (mellemrum indlagt af CSIS):
ns1.golden-yacht.com og ns2.golden-yacht.com.

Endvidere har man tidligere i kampagnerne mod England anvendt plex-consult.com som også peger på samme navneservere.

Fælles for alle domænerne er at er registeret igennem bizcn.com i Kina.

Vi har blokeret domænerne i CSIS Secure DNS og Heimdal PRO. 

Undlad at lade dig friste som muldyr. Det kan få ubehagelige konsekvenser. Slet disse e-mails. 

Læs mere om muldyr på vores hjemmeside på adressen:
http://www.csis.dk/da/csis/news/643/

"Vil du se hvor mange der har besøgt din profil?"

Har du hørt den før? Tja, det kan ikke lade sig gøre, uanset hvordan folk med slette hensigter pakker det ind. Men det er præcist tilfældet med en ny "stalker" kampagne, som i øjeblikke spreder sig viralt blandt danske Facebook brugere.

Facebook ofret lokkes til en webside ved at en ven eller bekendt poster en besked på Facebook med følgende ordlyd:

"Nu kan du se hvem der ser din profil @ www.x.co/2WFOE

Hvis ofret kan lokkes til at klikke på det pågældende link, som deles af venner der er hoppet på limpinden, opstår den virale effekt i det øjeblik man klikker på "fortsætter" som giver den lille app ret til at poste på dine vegne. Se skærmdump herunder:

Trafikken hopper via en URL-forkorter og over en Cloud service for endeligt at lande på den webside som leverer den uønskede indhold:

http://www.x.co/2WFOE
--> http://dikmnm7loc7a1.cloudfront.net
--> http://checkstalkers.com

Der anvendes GeoIP checks, så indholdet kan tilpasses det land som klikker på det uønskede link. Vi antager at det gøres for at tilpasse kampagnen sprogligt. Vi har også observeret at trafik under særlige omstændigheder flyttes til adressen: http://estemseris4.blogspot.dk/

Vi har blokeret domænet i CSIS Secure DNS og Heimdal PRO.

TV2-udsendelsen Operation X tager torsdag den 17. oktober fat i den kriminelle underverden og jagter bagmændene i en omfattende international svindelsag med kreditkort. CSIS har medvirket i efterforskningen og har aktivt deltaget i den digitale sporing som fører os til Vilnius i Litauen.

Det omfattende misbrug med danske kreditkort er ikke kun et problem for kreditkort udstederne, men i høj grad også de danske netbutikker, som forhandler dyre elektroniske varer. Her misbruges stjålne kort til at foretage indkøb og efterlader netbutikken med omfattende økonomiske tab. Flere end 600 sager er anmeldt til politiet, hvoraf kun én er ført til sigtelse.


Operation X undersøger de sager, som politiet ikke gør noget ved, og følger sporene til udlandet. I en af sagerne holder bagmændene til i Litauen. De bliver derfor nødt til at bruge danske og udenlandske kurerer, de såkaldte muldyr, til at tage imod de stjålne varer på deres hjemadresse.

Muldyrenes opgave er at sende pakkerne videre til bagmændene, som helt uden risiko kan sidde mange tusinde kilometer væk fra gerningsstedet og skumme fløden.

Se med på torsdag kl. 20.00 på TV2.

Yderligere oplysninger:
http://omtv2.tv2.dk/index.php?id=7063

CSIS har i løbet af weekenden været vidne til en viral Facebook kampagne som har spredt sig over det meste af verden. Der er ekstremt mange naive Facebook brugere i Skandinavien, som i øjeblikket er med til at sprede denne historie. Men lad os slå fast med det samme. Der er tale om et scam/fupnummer, som er baseret på lige dele pjat og så noget der er taget ud af den blå luft.

Hvis vi starter med at se på hvad dette er, går vi direkte til kilden, som har spredt sig med hjælp fra letsindige og naive Facebook brugere:

"The Great Giraffe Game! The deal is I give you a riddle. You get it right you keep your profile pic. You get it wrong and you change your profile pic to a Giraffe for the next 3 days. I got it wrong, obviously! You have to MESSAGE ME ONLY SO YOU DON'T GIVE OUT THE ANSWER!

Here is the riddle: 3:00 am, the doorbell rings and you wake up. Unexpected visitors, it's your parents and they are there for breakfast. You have strawberry jam, honey, wine, bread, and cheese. What is the first thing you open? Remember... Message only! If you get it right I'll post your name here, >>> if you get it wrong you change to a giraffe profile pic for the next 3 days.<<<


Svaret på spørgsmålet er forøvrigt "my eyes" men bortset fra det, findes der massevis af Facebook brugere som har svaret forkert og efterfølgende har skiftet deres profilbillede til en giraf.


Som en konsekvens kommer næste etape med følgende advarsel, som spredes heftigt rundt blandt de personer, som er hoppet i med begge ben i den første bølge:

"A virus that exploits the recently discovered JPEG vulnerability has been discovered spreading over google's giraffe pictures.

"It's been done in the past, but with HTML code instead of the JPEG," said James Thompson, chief technical officer for SANS' Internet Storm Center, the organization's online-security research unit. "It is a virus, but it didn't spread very far. We've only had two reports of it."

The Facebook message goes like this: "I just changed my profile picture to a giraffe, but my answer was wrong" When you do it, Facebook automatically gives the hackers your user mail and password, malicious code embedded in the JPEG image gives the hackers everything they need, James said.

The code also installs a back door that can give hackers remote control over the infected computer. Antivirus expert Fred Hypponen of F-Secure warned on Wednesday that the JPEG exploit can also damage your Iphone if you charge it with your computer. By default, antivirus software only scans for .exe files. And even if users change the settings on antivirus software, the JPEG file name extensions can be manipulated to avoid detection.

Microsoft and google are working on it now, oct 25. We recommend Facebook users: DO NOT change your profile picture to giraffes".

Ah nej. En viral kampagne med et hoax/kædebrev add-on?! Fedt! Ja, undskyld, men vi tillader os at smile over dette. Det er da for stupidt.

Vi noterer os endvidere at der ikke findes en "Fred Hypponen" (men derimod en Mikko?) i F-Secure, og ej heller en "James Thompson" hos SANS. Tsk tsk.

En af de kilder som vi kan se har medvirket til at sætte dette i jordskred er:
http://renekleveland.blogg.no/1382750304_har_du_skiftet_profil.html (ingen grund til at besøge den side!).


Det korte budskab herfra:
Lad være med at lade dig lokke af den slags virale kampagner. Følg med på denne hjemmeside, eller på vores Facebook side (http://www.facebook.com/csis.dk).
Hvis der skulle opstå vigtige hændelser på Facebook vil vi være de første til at advare!

Opdatering:
Vi har set denne virale kampagne ændre indhold i løbet af natten. Hvis man ikke svarer korrekt på spørgsmålet skal man ændre sit profil billede til en zebra. Jamen, herregud, hvis man ikke har andet at lave :-)

Næsten synkront med gårsdagens spamrun, har en gruppe it-kiminelle skudt en ny storstilet kampagne i gang.

Denne gang foregiver e-mailen at komme fra Wells Fargo og har vedhæftet den skadelige kode som en fil, indpakket i zip. 

Den uønskede e-mail ankommer med følgende indhold:


Den vedhæftede fil har følgende egenskaber:
Copy_10292013.zip -> Copy_10292013.exe
(MD5:  93ccc1b516efc3365ceced8ae0b57ee2)

Hvis den vedhæftede fil åbnes og køres, af en uforsigtig modtager, vil koden droppe sig til windows temporære mappe med et vilkårligt filnavn. Dernæst vil den forbinde sig til en central server, hvorfra den vil hente og køre supplerende malware. Den centrale server (mellemrum indlagt af CSIS):  allison travels.com er allerede blokeret i CSIS Secure DNS. Domænet anvender følgende navneservere (mellemrum indlagt af CSIS):

ns1.twitter backlinks.com
ns2.twitter backlinks.com 

Udover at være en downloader, så indsamler koden også diverse oplysninger fra systemet som uploades til C&C serveren. Det gælder bl.a. browser historik og certifikat lageret. Og så ændrer den sikkerheds indstillinger for flere browsere ved at modificere registreringsdatasen.

En anden ændring, som foretages i registreringsdatabasen er, at tilføje C&C serveren til "websider der haves tillid til" zonen:

HKEY_LOCAL_MACHINESoftwareClassesCLSIDDomainsallison travels.com
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomainsallison travels.com

Denne manøvre gennemføres, så transporten af den supplerende malware kan gennemføres over SSL uden at brugeren ser en advarsel, da domænet gør brug af et selvsigneret certifikat.

En identifikation af den vedhæftede fil afslører, at der er tale om en downloader i "Upatre" klassen. Den henter og kører informationstyven ZeuS P2P.  

Antivirus detektion er stort set ikke eksisterende (3 / 45)

Antivirus    Result    Update
Agnitum         20131028
AhnLab-V3         20131029
AntiVir         20131029
Antiy-AVL         20131029
Avast         20131029
AVG     Win32/Heur     20131029
Baidu-International         20131029
BitDefender         20131029
Bkav         20131029
ByteHero         20131028
CAT-QuickHeal         20131029
ClamAV         20131029
Commtouch         20131029
Comodo         20131029
DrWeb         20131029
Emsisoft         20131029
ESET-NOD32         20131029
F-Prot         20131029
Fortinet         20131029
GData         20131029
Ikarus         20131029
Jiangmin         20131029
K7AntiVirus         20131028
K7GW         20131028
Kaspersky         20131029
Kingsoft         20130829
Malwarebytes     Backdoor.Bot     20131029
McAfee         20131029
McAfee-GW-Edition     Heuristic.LooksLike.Win32.Suspicious.J!81     20131029
Microsoft         20131029
MicroWorld-eScan         20131028
NANO-Antivirus         20131029
Norman         20131029
nProtect         20131029
Panda         20131029
Rising         20131029
Sophos         20131029
SUPERAntiSpyware         20131029
Symantec         20131029
TheHacker         20131029
TotalDefense         20131028
TrendMicro         20131029
TrendMicro-HouseCall         20131029
VBA32         20131029
VIPRE         20131029
ViRobot         20131029

Flere end 300.000 formodede danske e-mail adresser er del i den massive datalækage fra Adobe. CSIS anbefaler, at man ændrer password med det samme også på tværs af andre platforme hvis samme password er brugt flere steder.

CSIS har afsluttet vores analyse af den massive datalækage fra Adobe (http://helpx.adobe.com/x-productkb/policy-pricing/customer-alert.html), som vi advarede omkring for et par uger siden.

Resultatet af vores analyse er desværre nedslående og bekymrende, idet den samlede mængde af lækkede e-mails og tilknyttede krypterede passwords relateret til .dk e-mail adresser, og derfor formodes at tilhøre danske Adobe brugere, udgør mere end 300.000 unikke konti. Dette er selvsagt en betydelig risiko, da Adobe ikke har overholdt god praksis ved beskyttelse af de tilknyttede passwords, men istedet har anvendt en standard symetrisk kryptering som kan knækkes. Det kan eksponere de mange passwords og tilknyttede e-mail adresser, så der samtidig åbnes mulighed for mere målrettede/udvalgte angreb. Vores erfaring viser, at mange Internet brugere anvender samme password på tværs af mange forskellige services og af samme grund er det store antal af formodede danske brugere, som er berørt af denne lækage, bekymrende høj.

I en søgning i den 9.3GB store fil finder vi ikke færre end 368.116 unikke e-mail adresser, som slutter på .dk og dermed sandsynligvis kan have dansk ejerskab. En stor del af disse e-mail konti og krypterede passwords er, som tidligere nævnt, en kombination af privat personer og virksomheder samt offentlige institutioner.

CSIS anbefaler, at alle brugere, som mener at have en konti knyttet til Adobe, resetter deres password med det samme via Adobe's webside: https://www.adobe.com/go/passwordreset.

Hvis man er i tvivl om man har en konti hos Adobe kan samme side anvendes til at checke det.

CSIS Threat Detection er ved at blive gjort klar til at advisere alle vores kunder hvis de optræder på den omfattende liste af lækkede konti.

For at kunne imødegå det stigende behov for proaktive it-sikkerhedsløsninger i danske virksomheder, har CSIS og Comit indgået et tæt partnerskab om salg af CSIS’ danskudviklede produkter. Comit er nu blevet certificeret ”CSIS Gold Partner”, hvilket giver unik og direkte adgang til specialistviden og markedets mest innovative løsninger inden for it-sikkerhed; Secure DNS, Heimdal, samt Threat Detection.

”Vi har fået en stærk partner, der er kompetent, god til at løbe i front og samtidig har et godt navn som it leverandør. Det er et perfekt match i forhold til vores produkter, der teknologisk stadig er blandt de få af sin slags i markedet” udtaler Allan Mortensen, Adm. Direktør i CSIS.

”I Comit er vi altid på udkig efter services, der skaber mest mulig værdi for vores kunder. Derfor er vi meget tilfredse med nu at være i et etableret partnerskab med CSIS” udtaler Henrik Larsen, Salgschef hos Comit.

Secure DNS er udviklet på baggrund af ti års erfaring i malware research og –analyse. Servicen beskytter over 200.000 brugere i danske såvel som internationale virksomheder ved dagligt at blokere for hundredtusindvis af skadelige DNS opslag, der foretages uden brugernes vidende. Uden blokeringer kunne disse være blevet inficeret med skadelig kode, der i sagens natur medfører alt fra datalækage til driftsnedbrud.

Heimdal beskytter dagligt kunder i 68 lande verden over ved at lukke det sikkerhedshul, der forårsager 98% af alle succesfulde angreb fra it-kriminelle. Dette sker ved bl.a. at holde de mest essentielle tredjepartsprogrammer opdateret, såsom Java og Adobe, der bruges i vidt omfang.

Datalækager er desværre en velintegreret del af det globale mediebillede, og udgør en voksende trussel for alle typer virksomheder og insitutioner. Threat Detection er en monitor, der kontinuerligt søger efter datalækager relateret til kunder, samt holder øje med de undergrundsplatforme hvor information sælges. Som med Heimdal og Secure DNS følges virksomhedens situation via en personlig online portal.

Om CSIS
CSIS blev grundlagt i 2003 med en vision om at være blandt de bedste og mest anerkendte på verdensplan til at bekæmpe it-kriminelle. I dag er CSIS den førende leverandør af anti-eCrime services, og samarbejder med alle de danske banker samt en række af de største finansielle institutioner i Europa. CSIS er samtidig den foretrukne it-sikkerhedsrådgiver af mange erhvervsvirksomheder, offentlige institutioner samt nyhedsmedierne i Skandinavien.

Om Comit
Comit er et løsningsorienteret IT-infrastruktur hus, med domicil i Nivå. Siden 1998 har vi rådgivet, designet og implementeret Enterprise server/storage og kommunikationsløsninger til offentlige og private virksomheder, der betragter IT som kritisk for deres forretning og gerne vil udfordres på deres valg. Læs mere på www.comit.dk

CSIS har her til morgen fulgt en spamkampagne, hvor lokkemaden er en elektronisk Fax. Den uønskede e-mail ankommer med en vedhæftet zip-fil der ved udpakning kan minde om et Adobe Acrobat Reader dokument. I virkeligheden er der tale om en regulær Windows PE32, som ved kørsel vil droppe sig til maskinen og dernæst binde systemet ind i et BOTnet. Payloaden er en informationstyv i ZeuS P2P klassen.

Et skærmdump af den uønskede e-mail findes herunder:


Den vedhæftede fil, som er et zip arkiv indeholder filen "fax.pdf.exe" (MD5: 28cf295e5ba64a341379887f16c85895).

Downloader som henter ZeuS P2P
Der er tale om en klassisk downloader. Downloaderen kopierer sig til maskinen og hooker dernæst diverse funktioner og legitime processer hvorigennem den opnår adgang til den C&C server som hoster ZeuS P2P komponenten. I dette tilfælde downloades ZeuS P2P fra følgende URL (mellemrum indlagt af CSIS)
bharat truck.com/images/al0212.exe.

Den pågældende ZeuS P2P variant, som er en del af et "Crime as a Service" setup angives i den binære kode til at være knyttet til botnet-id'et: 1019492548. På den måde transportes indsamlede data videre ind igennem mange P2peers og samles i det centrale interface/C&C baseret på BOTid'et.

Domænet er blokeret i CSIS Secure DNS.

Koden kopierer sig til flere steder på systemet, men CSIS CIRK tool, som er central del af vores threat detektion service, er designet til at detekte og finde denne informationstyv uanset hvordan den pakker sig ind.

Antivirus detektion - af downloaderen - giver følgende resultat på Virustotal (21 / 46):
https://www.virustotal.com/da/file/50c02edc13549b542fbf9ed8f1f3b18abd4c00213807240fa7c116d484e9a882/analysis/

ZeuS P2P:
https://www.virustotal.com/da/file/3eb5787b9310a0bd8c7164d273b3e493dd205e98a4ecc4436d8b218d5d6abcf3/analysis/