Antivirus Blog
blog o bezpečnosti

 

 

Vyjádření AEC ke KRACKs zranitelnosti.http://www.antivirus.cz/Blog/Stranky/vyjadreni-aec-ke-kracks-zranitelnosti.aspxVyjádření AEC ke KRACKs zranitelnosti.<p>​<strong>V posledních letech jsme byly zvyklí na to, že standard WiFi sítí WPA2 zabezpečoval bezpečné připojení do sítě. Včera (16. října 2017) byla zveřejněna objevená zranitelnost KRACKs, která za určitých okolností umožňuje kompromitovat WiFi síť tak, že útočník je schopen číst a přeposílat komunikaci. Zranitelnost je implementačního charakteru výrobců síťových karet a operačních systémů, standard WPA2 zůstává i nadále bezpečný. </strong></p><h2>Byl skutečně standard WPA2 prolomen?</h2><p>Standard WPA2 je založen na silné šifře AES pracující v režimu CCMP. Distribuce klíčů je zajištěna pomocí kryptografického protokolu výměny „4way handshake“. Oba tyto principy byly formálně verifikovány a jsou považovány za bezpečné. Zranitelnost KRACKs v žádném případě neprolamuje bezpečnost standardu WPA2, ale ukazuje špatnou implementaci tohoto standardu. Hlavní problém spočívá v tom, že zranitelná zařízení mají chybně implementovaný stavový automat zajištující výměnu klíčů. Pomocí této chyby je možné klíč přenášený z přístupového bodu (AP) znovu odeslat, přičemž jej zařízení přijme a přepíše původní klíč. U systémů Linux a androidů, které používají nástroj pro správu WiFi wpa_supplicant je situace horší. Tyto systémy nahradí původní klíč nulami, tím systém šifrování značně degradují a šifrování probíhá jen na základě inicializačního vektoru, který je možné získat z přenášeného rámce.</p><p>Pomocí zranitelnosti KRACKs není možné získat klíč k dešifrování provozu anebo k přístupu k síti. Změna aktuálního hesla tedy zranitelnost nezastaví. V případě použití režimu WPA2-enterprise není možné získat autentizační údaje a ani narušit proces autentizace v tomto režimu. Autenticita připojované stanice a přístupového bodu je zachovaná. Bezpečný kanál pro kryptografickou výměnu klíčů zůstává také zachován.</p><h2>O co se vlastně jedná?</h2><p>Pro kompromitaci WiFi sítě je nezbytnou podmínkou pozice útočníka na dosah přístupového bodu i stanice. Následně je realizován útok typu Man-in-the-middle (útočník se staví do role prostředníka v komunikaci) způsobem, kdy je vystaven falešný přístupový bod se stejnou adresou jako reálné AP, ale na jiné frekvenci. V dalším kroku je stanice pomocí speciálního rámce přepnuta na frekvenci falešného AP, proběhne výměna klíčů a ve správný okamžik je znovu odeslán klíč určený pro šifrování a dešifrování komunikace stanice. </p><h2>Co tím útočník získá?</h2><p>Útočník je schopen odposlouchávat a přeposílat komunikaci, což mu za určitých podmínek umožní převzít TCP spojení, pomocí kterého je schopen zasahovat a modifikovat komunikaci aplikačních protokolů jako například protokol HTTP pro provoz webu. V případě použití bezpečného protokolu HTTPS je útočník schopen podvrhnout falešný certifikát nebo je schopen přepnout komunikaci na nezabezpečené spojení. </p><h2>Co to znamená v praxi?</h2><p>V případě, že útočník realizuje útok pomocí této zranitelnosti, všechna přenášená data na nezabezpečených protokolech se stávají viditelná pro útočníka. V případě zabezpečených protokolů se cesta k jejich kompromitaci značně zjednodušuje. Cílem útočníka mohou být citlivá firemní data ale i získaní přístupu k internetovému bankovnictví. Jinak řečeno, po úspěšné realizaci útoku, jsme přišli o první ochrannou linii.   </p><h2>Která zařízení jsou zranitelná?</h2><p>Zranitelné jsou všechny systémy, které jako základ pro WiFi subsystém používají linuxový nástroj wpa_supplicant. Jedná se o všechny linuxové distribuce, OS X, MacOS a 31% systémů Android. Systémy iOS a Microsoft Windows jsou zranitelné méně, v důsledku čehož není možné realizovat útok v takovém rozsahu. Útočník získává jen data z některých systémových protokolů pracujících na principu broadcast. </p><p>Oprava zranitelnosti spočívá v přidání nové proměnné do stavového automatu zpracovávajícího 4-way handshake.  Oprava je tedy velmi jednoduchá. Firma Microsoft a linuxová distribuce Debian již hlásili opravu zranitelnosti 10. resp. 16. října.</p><p>Momentálně však neexistuje jednoduchý způsob nebo nástroj jak zjistit, že dané zařízení resp. operační systém je stále zranitelný. </p><h2>Co doporučujeme? </h2><p>Do doby než výrobci zařízení a operačních systémů chybu neopraví, doporučujeme na bezdrátových sítích WiFi vždy používat VPN připojení. V případe enterprise zákazníků doporučujeme vynutit připojení na VPN pomocí centrálních bezpečnostních politik v závislosti na použité technologii. Všechna jiná bezpečnostní opatření, jako například použití HTTPS při komunikaci na webu, je možné obejít.</p><p>Jak se tedy proti KRACKs zranitelnosti dále bránit? Sledujte webové stránky a informace od výrobce vašeho zařízení, zda již vydal bezpečnostní záplatu. Aktualizujte!<br></p><p> </p><div align="right"><table width="260"><tbody><tr><td width="70" align="center" valign="middle"> <img src="/Blog/PublishingImages/AEC-lidi/matej-kacic-2016.jpg" alt="" style="margin:5px;width:60px;height:80px;" /> </td><td width="190" align="left" valign="top"> <strong>Matej Kačic</strong><br>Head of Security Technologies<br>AEC a.s.</td></tr></tbody></table></div>1
ESET upozorňuje na falešné soutěže na Facebooku, oběti mohou přijít o peníze.http://www.antivirus.cz/Blog/Stranky/eset-upozornuje-na-falesne-souteze-na-facebooku-obeti-mohou-prijit-o-penize.aspxESET upozorňuje na falešné soutěže na Facebooku, oběti mohou přijít o peníze.<p>​Bezpečnostní společnost ESET varuje internetové uživatele v České republice a na Slovensku před falešnými soutěžemi na Facebooku, které zneužívají důvěřivosti lidí. Oběti mohou v konečném důsledku přijít o peníze tím způsobem, že od nich správci těchto soutěží vymámí osobní údaje, číslo platební karty, datum její platnosti a CVC/CVV číslo ze zadní strany karty. Jde o údaje nezbytné pro uskutečnění online transakce s platební kartou oběti.</p><p>Několik facebookových stránek slibuje lidem jako výhru luxusní auta, mobilní telefony nebo pračky. Tyto podvodné soutěže, které pravděpodobně pochází ze Slovenska, mají již více než 39 tisíc lajků.</p><p><img src="/Blog/PublishingImages/Clanky/2017/ESET_falesna_soutez_01.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>„Pro účast v těchto falešných soutěžích stačí lajkovat celou facebookovou stránku, nebo sdílet a komentovat příspěvek a šířit tak podvod mezi své facebookové přátele,“ upozorňuje Václav Zubr, bezpečnostní expert společnosti ESET. </p><p>Principem této falešné soutěže je, že „vyhrává“ každý. Soutěžícímu se následně přes zprávu na Facebooku ozve falešný vyhlašovatel soutěže a vyžádá si od něj osobní údaje a informace o platební kartě. Jako důvod uvádí ověření identity vítěze. Přestože řada stránek již byla smazána či zablokována, některé z nich (například <a href="https://www.facebook.com/vyhrajemtodnes" target="_blank">Vyhraj to</a> a <a href="https://www.facebook.com/vyhernyden1/">Výherní den</a>) jsou však stále ještě aktivní.</p><p><img src="/Blog/PublishingImages/Clanky/2017/ESET_falesna_soutez_02.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>„Internetoví uživatelé by si měli jednou provždy uvědomit, že ne vše, na co na internetu narazí, je pravdivé. Pokud to je zároveň příliš dobré na to, aby to byla pravda, jde s největší pravděpodobností o podvod,“ dodává Zubr.</p><p>ESET zároveň upozorňuje na novou vlnu podvodu se slevami na značkové brýle RayBan, jež se šíří rovněž přes Facebook. Tentokrát jde o lokalizovanou verzi ve slovenštině. Cílem této škodlivé kampaně je šíření podvodných stránek, které sbírají údaje o platebních kartách uživatelů. Weby jsou, <a href="/Blog/Stranky/na-facebooku-a-twitteru-se-siri-podvodna-kampan-zneuzivajizi-znacku-ray-ban-cilem-je-ziskat-udaje-o-platebnich-kartach.aspx">stejně jako v minulosti</a>, propagované prostřednictvím fotografií výprodeje značkových slunečních brýlí RayBan. Útočník však pouze zneužívá značku známého výrobce a společnost Ray Ban ani její distributoři nejsou autory falešné slevy, která může dosahovat výše až 90 procent.<br></p>0
Nebezpečí e-mailových příloh JS/Danger pominulo, v září byl největší hrozbou trojan JS/Chromex.http://www.antivirus.cz/Blog/Stranky/nebezpeci-emailovych-priloh-js-danger-pominulo-v-zari-byl-nejvetsi-hrozbou-trojan-js-chromex.aspxNebezpečí e-mailových příloh JS/Danger pominulo, v září byl největší hrozbou trojan JS/Chromex.<p><strong>​Podíl detekcí jednotlivých škodlivých kódů v Česku byl v září podle statistiky společnosti ESET velmi vyrovnaný.</strong></p><p>Žebříček nejčastějších internetových hrozeb v České republice za měsíc září vedl trojský kůň JS/Chromex.Submelius. Jeho podíl na celkových virových hrozbách byl 7,34 procenta. Po více než roce z čela žebříčku sestoupil JS/Danger.ScriptAttachment. Ten ještě v loňském měsíci držel bezmála čtvrtinový podíl, nyní je to méně než 3 procenta.</p><p>„Zajímavý je výrazný pokles podílu JS/Danger.ScriptAttachment, který už druhým rokem v našich statistikách měsíc, co měsíc vedl. Nabízí se vysvětlení, že přestává fungovat tento distribuční mechanismus, tudíž od něj útočníci upouští a budou se snažit najít jiný způsob,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.</p><p>Trojský kůň JS/Chromex.Submelius, jenž se v září stal nejčastěji zachyceným škodlivým kódem, se šíří prostřednictvím neoficiálních streamovacích služeb. Uživatelům nabízí instalaci škodlivých pluginů pro internetový prohlížeč Chrome. Ačkoli tyto pluginy mají zajistit rychlejší načítání internetových stránek, obvykle způsobují opak. JS/Chromex.Submelius se v České republice poprvé četněji vyskytl letos v březnu, kdy byl pátou nejčastěji zachycenou hrozbou. V červenci pak v četnosti výskytu téměř dotáhl vedoucí JS/Danger.ScriptAttachment.</p><p>Druhým nejčetnějším škodlivým kódem byl v září JS/ProxyChanger. „Jde o trojského koně, který brání přístupu na určité webové stránky a přesměrovává provoz na konkrétní IP adresy. Může například oběť přesměrovat na web útočníka,“ vysvětluje Miroslav Dvořák. V září představoval JS/ProxyChanger zhruba každou třicátou hrozbu, dosáhl podílu 3,18 procenta. Virovou trojkou v září byl Java/Adwind, další trojský kůň, který slouží jako backdoor a umožňuje vzdálené ovládání napadaného zařízení.</p><p>Dlouhodobá jednička mezi českými internetovými hrozbami, škodlivá e-mailová příloha JS/Danger, se v září propadla v žebříčku četnosti na páté místo a podílem 2,93 procenta si meziměsíčně pohoršila o víc než 20 procentních bodů. </p><h2>Deset nejčastějších internetových hrozeb v České republice za září 2017:</h2><p>1. JS/Chromex.Submelius (7,34 %)<br>2. JS/ProxyChanger (3,18 %)<br>3. Java/Adwind (3,17 %)<br>4. VBS/TrojanDownloader.Agent.PFE (2,98 %)<br>5. JS/Danger.ScriptAttachment (2,93 %)<br>6. Win32/RiskWare.PEMalform (2,40 %)<br>7. SMB/Exploit.DoublePulsar (2,31 %)<br>8. Win32/GenKryptik (1,95 %)<br>9. JS/Adware.AztecMedia (1,87 %)<br>10. VBS/TrojanDownloader.Agent.PGF (1,86 %)</p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-zari-2017.png" alt="" style="margin:5px;width:650px;" /> </p>0
Kyberzločinci v srpnu využívali ransomware a širokou škálu bankovních trojanů.http://www.antivirus.cz/Blog/Stranky/kyberzlocinci-v-srpnu-vyuzivali-ransomware-a-sirokou-skalu-bankovnich-trojanu.aspxKyberzločinci v srpnu využívali ransomware a širokou škálu bankovních trojanů.<p>Ze zprávy společnosti Check Point vyplývá, že Roughted zůstal nejčastěji použitým malwarem k útokům na podnikové sítě, následovaly škodlivé kódy Globalimposter a HackerDefender.</p><p>Check Point zveřejnil srpnový Celosvětový index dopadu hrozeb, podle kterého byly v srpnu bankovní trojské koně velmi oblíbeným nástrojem kyberzločinců.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila v srpnu mezi nejbezpečnější země, když se v Indexu hrozeb umístila na 122. příčce. Podobně si vedlo i Slovensko, které skončilo na 119. pozici. Na prvním místě se v Indexu hrozeb umístila Dominikánská republika. Největší skok mezi nebezpečné země zaznamenala Uruguay, která se posunuly o 75 míst na 47. příčku. Naopak Bangladéš se posunula z 16. příčky až na bezpečnější 125. pozici.</p><p>Do Top 10 škodlivých kódů se dostaly bankovní trojany Zeus, Ramnit a Trickbot. Identifikují, kdy oběť navštíví webové stránky banky, a pak pomocí techniky webinject nebo sledováním stisknutých kláves kradou přihlašovací údajů a další citlivá data, jako jsou například PIN kódy. Trojské koně mohou také zkusit ukrást přihlašovací údaje přesměrováním obětí na falešné bankovní internetové stránky.</p><p>Srpnový Celosvětový index dopadu hrozeb také odhalil, že ransomware Globeimposter byl druhým nejčastějším malwarem na světě. Ačkoli byl objeven v květnu 2017, až do srpna se masivně nešířil. Globeimposter šifruje soubory a od obětí požaduje platbu za dešifrování cenných dat.</p><p>„Finanční zisk je hlavním motivem pro drtivou většinu kyberzločinců a bohužel pro to mají k dispozici i celou řadu nástrojů,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „V Top 10 malwarových rodinách vidíme vysoce efektivní variantu ransomwaru i celou řadu bankovních trojanů, což znovu ukazuje, jak vynalézaví umí hackeři být ve snaze vydělat peníze. Organizace musí být při ochraně své sítě ostražité a proaktivní.“</p><p>Roughted zůstal i během srpna nejčastěji použitým malwarem k útokům na podnikové sítě, přestože celosvětově klesl jeho dopad z 18 % na méně než 12% organizací. Globalimposter na druhém místě ovlivnil 6 % organizací z celého světa a HackerDefender na třetím místě měl dopad na 4 % společností.</p><h2>Top 3 - malware:</h2><p> <strong>1. ↔ RoughTed</strong> – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.<br><strong>2. ↑ Globeimposter</strong> - Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.<br><strong>3. ↓ HackerDefender</strong> - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.</p><p>Hummingbad, který se v první polovině roku 2017 pokaždé umístil v Top 10 škodlivých kódů, zaznamenal výrazný pokles. Naopak Triada se posunula na první příčku ze třetí pozice a následovaly škodlivé kódy Hiddad a Gooligan:</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Triada</strong> - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.<br><strong>2. Hiddad</strong> – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.<br><strong>3. Gooligan</strong> – Malware pro Android umí rootovat zařízení a krást e-mailové adresy a autentizační tokeny uložené v zařízení.</p><p>Srpnový Index hrozeb ukazuje, jak je oblast kyberhrozeb různorodá a dynamická. Před několika měsíci byl Hummingbad zcela dominantní, ovšem v srpnu se nedostal ani do Top 10. Naopak výrazný byl především ransomware a na vzestupu jsou bankovní trojské koně.</p><p>„Je důležité, aby organizace znaly rizika a neustále měly aktuální ochranu proti dobře známým malwarovým rodinám, novým variantám i novým hrozbám nultého dne,“ dodává Kovalčík. „Vyžaduje to vícevrstvou bezpečnostní strategii, která dokáže reagovat na nejrůznější neustále se vyvíjející typy útoků.“</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Stejně jako ve světě i v ČR je na prvním místě stále malvertisingová kampaň RoughTed, na druhém místě Globeimposter a na třetím HackerDefender.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="2" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – srpen 2017</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"> <strong>Popis</strong></td></tr><tr><td class="ms-rteTable-default">RoughTed</td><td class="ms-rteTable-default">Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.</td></tr><tr><td class="ms-rteTable-default">Globeimposter</td><td class="ms-rteTable-default">Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.</td></tr><tr><td class="ms-rteTable-default">HackerDefender</td><td class="ms-rteTable-default">HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.</td></tr><tr><td class="ms-rteTable-default">Conficker</td><td class="ms-rteTable-default">CConficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.</td></tr><tr><td class="ms-rteTable-default">Tinba</td><td class="ms-rteTable-default">Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit.<br>Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje.<br>Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru).</td></tr><tr><td class="ms-rteTable-default">Fireball</td><td class="ms-rteTable-default">Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.</td></tr><tr><td class="ms-rteTable-default">Trickbot</td><td class="ms-rteTable-default">Bankovní trojan, který je variantou Dyre, byl objeven v říjnu 2016. Trickbot může stahovat pokyny z řídících a velících serverů, když se oběti pokusí navštívit webové stránky, na rozdíl od většiny bankovních trojanů, které aktualizují své konfigurace periodicky. Tato funkce pomáhá Trickbotu vyhnout se chybám způsobeným zastaralou konfigurací, což by jinak mohlo vést k jeho objevení.</td></tr><tr><td class="ms-rteTable-default">GhOst</td><td class="ms-rteTable-default">Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen tak, aby poskytoval útočníkům vzdálený přístup k infikovanému počítači.</td></tr><tr><td class="ms-rteTable-default">Datan</td><td class="ms-rteTable-default">Nepříznivě ovlivňuje výkon počítače.</td></tr><tr><td class="ms-rteTable-default">MagicHoundFetch</td><td class="ms-rteTable-default">MagicHoundFetch je trickler, který cílí na platformu Windows. Tento malware byl údajně používán v pokročilé perzistentní útočné kampani působící primárně na Blízkém východě. Malware shromažďuje informace o systému a odesílá je na vzdálený server. Také hlásí serveru svůj stav. Může stáhnout a spustit soubory na infikovaném systému. Navíc infikuje spouštěcí klíč v registru, aby přežil restart systému.</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.</p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a>.</p>0
Antivirová mobilní aplikace neoprávněně shromažďovala soukromá data a využívala je ke komerčním účelům.http://www.antivirus.cz/Blog/Stranky/antivirova-mobilni-aplikace-neopravnene-shromazdovala-soukroma-data-a-vyuzivala-je-ke-komercnim-ucelum.aspxAntivirová mobilní aplikace neoprávněně shromažďovala soukromá data a využívala je ke komerčním účelům.<p>​20 procent ze všech kyberútoků v Americe v 1. polovině roku 2017 byly mobilní útoky. Uživatelé jsou neustále varováni před hrozbami, takže instalují bezpečnostní software na ochranu zařízení, dat i soukromí. Ale kyberpodvodníci ve své aktivitě nepolevují, takže i při instalaci bezpečnostních aplikací je potřeba si dávat pozor.<br> <br>Výzkumníci společnosti Check Point nedávno objevili bezplatnou mobilní antivirovou aplikaci vyvinutou skupinou DU, vývojářem aplikací pro Android, která shromažďuje uživatelská data bez souhlasu vlastníků zařízení. Aplikace s názvem DU Antivirus Security byla z Google Play stažena až 50 milionkrát.<br> <br>Aplikace začne při prvním spuštění sbírat informace, jako jsou jedinečné identifikátory, seznam kontaktů, informace o hovorech a případně poloha zařízení. Informace jsou pak zašifrovány a odesílány na vzdálený server. Informace o zákaznících jsou později používány jinou aplikací nabízenou skupinou DU nazvanou "Caller ID & Call Block - DU Caller", která poskytuje uživatelům informace o příchozích telefonních hovorech. Takže zatímco uživatelé důvěřovali, že DU Antivirus Security ochrání jejich soukromé informace, ve skutečnosti se stal přesný opak. Aplikace shromažďovala osobní informace uživatelů bez jejich svolení a následně je používala pro komerční účely.<br> <br>Check Point informoval Google o nelegálním použití soukromých dat 21. srpna 2017 a aplikace byla z Google Play odstraněna 24. srpna 2017. Nová verze, která neobsahuje škodlivý kód, byla do Google Play nahrána 28. srpna 2017.<br> <br>Check Point navíc detekoval stejný kód v dalších 30 aplikacích, z nichž 12 bylo nalezeno na Google Play, tyto aplikace byly následně odstraněny. Aplikace pravděpodobně implementovaly kód jako externí knihovnu a přenesly ukradené data na stejný vzdálený server, jaký používá aplikace DU Caller. Jak vyplývá z dat Google Play, celkově se tento nedovolený kód týkal až 89 milionů uživatelů, kteří aplikace nainstalovali.<br> <br>Uživatelé, kteří nainstalovali DU Antivirus Security nebo jakoukoli z dalších aplikací, by si měli ověřit, že aktualizovali na nejnovější verzi, která tento kód už neobsahuje.<br> <br>"Antivirové aplikace z logických důvodů žádají o neobvykle široká oprávnění, a jsou tak dokonalým maskováním pro kyberzločince, kteří chtějí tato oprávnění zneužít. V některých případech jsou mobilní antivirové aplikace dokonce použity pro šíření malwaru. Uživatelé by si měli dávat pozor na podezřelá antivirová řešení a používat pro ochranu před mobilními hrozbami jen řešení od renomovaných prodejců, kteří opakovaně dokázali, že jsou skutečně schopni chránit mobilní zařízení, data a soukromí," říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.</p><p>Více informací najdete na blogu společnosti Check Point:<br><a href="https://blog.checkpoint.com/2017/09/18/does-your-mobile-anti-virus-app-protect-or-infect-you/" target="_blank">https://blog.checkpoint.com/2017/09/18/does-your-mobile-anti-virus-app-protect-or-infect-you/</a><br></p>0
Malware ExpensiveWall odesílá prémiové SMS zprávy bez vědomí uživatelů.http://www.antivirus.cz/Blog/Stranky/malware-expensivewall-odesila-premiove-sms-zpravy-bez-vedomi-uzivatelu.aspxMalware ExpensiveWall odesílá prémiové SMS zprávy bez vědomí uživatelů.<p>​Výzkumný tým společnosti Check Point odhalil novou variantu malwaru pro Android, která odesílá podvodné prémiové SMS zprávy a účtuje poplatky za falešné služby bez vědomí uživatelů. Podle údajů z Google Play infikoval malware nejméně 50 aplikací a než byly odstraněny, zaznamenal malware odhadem až 4,2 milionů stažení.</p><p>Nový malware "ExpensiveWall" je pojmenovaný po aplikaci "Lovely Wallpaper", což je jedna z aplikací, kterou používal k infikování zařízení. ExpensiveWall je nová varianta škodlivého kódu, který byl objeven na začátku tohoto roku na Google Play. Počet stažení celé malwarové rodiny může podle některých odhadů dosáhnout až 21,1 milionů.</p><p>ExpensiveWall se liší od ostatních členů této malwarové rodiny, protože využívá pokročilou maskovací techniku, kterou používají vývojáři malwaru k šifrování škodlivého kódu, což mu umožňuje vyhnout se antimalwarovým ochranám Google Play.</p><p>Check Point o ExpensiveWall informoval Google 7. srpna 2017 a Google okamžitě odstranil reportované aplikace ze svého obchodu. Nicméně i poté, co byly infikované aplikace odstraněny, se během několika dnů infiltroval do Google Play další vzorek a i když byl za 4 dny odstraněn, stihl nakazit dalších více než 5 000 zařízení.</p><p>Je důležité upozornit, že jakákoli infikovaná aplikace nainstalovaná na zařízení před tím, než byla odstraněna z Google Play, stále zůstává nainstalována na zařízeních uživatelů. Uživatelé, kteří tyto aplikace stáhli, jsou proto stále v nebezpečí a musí je ručně odstranit ze svých zařízení.</p><p>ExpensiveWall je v současné době navržen pouze pro generování zisku, ale podobný malware může být snadno upraven, aby využíval stejnou infrastrukturu pro pořizování fotek, záznam zvuku a dokonce i krádeže citlivých dat a jejich odesílání do velícího a řídícího serveru (Command and Control Server). Protože je tento malware schopen fungovat nepozorovaně, všechny škodlivé aktivity mohou probíhat bez vědomí oběti a jednalo by se tak o špičkový špionážní nástroj.</p><p>Více informací najdete na blogu společnosti Check Point:<br><a href="https://blog.checkpoint.com/2017/09/14/expensivewall-dangerous-packed-malware-google-play-will-hit-wallet/" target="_blank">https://blog.checkpoint.com/2017/09/14/expensivewall-dangerous-packed-malware-google-play-will-hit-wallet/</a><br></p>0
Nová hrozba pro počítače s Windows 10, jakýkoli malware se může vyhnout bezpečnostním řešením.http://www.antivirus.cz/Blog/Stranky/nova-hrozba-pro-pocitace-s-windows-10-jakykoli-malware-se-muze-vyhnout-bezpecnostnim-resenim.aspxNová hrozba pro počítače s Windows 10, jakýkoli malware se může vyhnout bezpečnostním řešením.<p>​Jak roste počet kyberútoků a jejich rafinovanost, stále více organizací využívá pro svou ochranu kvalitní bezpečnostní produkty a investuje do důmyslných bezpečnostních strategií. Přesto Check Point objevil novou alarmující metodu, která umožňuje jakémukoli známému malwaru vyhnout se i těm nejběžnějším bezpečnostním řešením, jako jsou antiviry nové generace, kontrolní nástroje a antiransomware. Technika nazvaná Bashware využívá novou funkci Windows 10 nazvanou "Subsystem for Linux" (WSL), která ještě nedávno byla jen v betaverzi, ale nyní už je plně podporovanou funkcí Windows.</p><p>Díky ní je oblíbený linuxový terminál (Bash) dostupný pro uživatele operačního systému Windows a umožňuje nativně spustit soubory z Linuxu v operačním systému Windows.</p><p>Stávající bezpečnostní řešení stále nejsou přizpůsobeny sledování procesů spustitelných linuxových souborů v operačním systému Windows. Tento hybridní koncept umožňuje současně kombinovat systémy Linux a Windows. Kyberzločincům se tak otevírají nová dvířka, jak nepozorovaně spustit škodlivý kód a využít funkce WSL k maskovaní před bezpečnostními produkty, které ještě neimplementovaly odpovídající detekční mechanismy.</p><p>Bashware je nebezpečný, protože ukazuje, jak snadné je využít mechanismus WSL a maskovat malware před bezpečnostními produkty. Check Point testoval tuto techniku na většině předních antivirových a bezpečnostních produktů a malware nebyl detekován. Bashware tak může potenciálně ovlivnit libovolný z 400 milionů počítačů, které v současné době pracují se systémem Windows 10.</p><p>Check Point zároveň vyzval výrobce bezpečnostních řešení, aby okamžitě na novou útočnou metodu reagovali a upravili odpovídajícím způsobem svá řešení.</p><p><iframe width="560" height="315" src="https://www.youtube.com/embed/fwEQFMbHIV8?rel=0" frameborder="0"></iframe> </p> <p>Celou technickou zprávu najdete zde:<br><a href="https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/" target="_blank">https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/</a><br></p>0
Check Point odhalil pozadí kyberútoků na více než 4000 společností, za kampaní stál mladý Nigerijec.http://www.antivirus.cz/Blog/Stranky/check-point-odhalil-pozadi-kyberutoku-na-vice-nez-4000-spolecnosti-za-kampani-stal-mlady-nigerijec.aspxCheck Point odhalil pozadí kyberútoků na více než 4000 společností, za kampaní stál mladý Nigerijec.<p>​<strong>Za vlnou kyberútoků na více než 4000 ropných, plynařských, těžebních, stavebních a dopravních společností nestála profesionální skupina, ale jeden mladý Nigerijec.</strong></p><p>Check Point Software Technologies odhalil pozadí kyberútoků na více než 4000 společností z oblastí energetiky, těžby a infrastruktury. Způsob provedení a rozsah kampaně původně ukazoval na státem sponzorované kyberútoky.</p><p>Kampaň byla spuštěna v dubnu 2017 a cílem byly i velké mezinárodní ropné, plynařské, výrobní, bankovní a stavební organizace. Celosvětový charakter kampaně a typ napadených organizací naznačovaly, že by za kampaní mohl stát profesionální gang nebo státem sponzorovaná agentura. Ve skutečnosti se ale jednalo o práci jednoho mladého Nigerijce, který žije poblíž hlavního města Nigérie. Na svém facebookovém účtu používá motto: „Zbohatni, nebo zemři při snaze zbohatnout.“</p><p>Při útocích byly použity podvodné e-maily, které napodobovaly zprávy od ropného a plynárenského giganta Saudi Aramco, druhého největšího producenta ropy na světě. E-maily cílily na finanční pracovníky a snahou bylo získal detaily o bankovních účtech nebo přimět zaměstnance otevřít infikovanou e-mailovou přílohu.</p><p>Útočník používal NetWire, trojan se vzdáleným přístupem, který umožňoval plnou kontrolu nad infikovanými stroji, a Hawkeye, program zaznamenávající stisknuté klávesy. Výsledkem kampaně bylo 14 úspěšných infekcí, které kyberútočníkovi vydělaly tisíce dolarů.</p><p>„Přestože útočník používal nekvalitní phishingové e-maily a generický malware, který je snadno dostupný online, jeho kampaň byla schopna infikovat několik organizací a cílit na tisíce dalších po celém světě. Ukazuje se, jak snadné je i pro relativně nezkušeného hackera spustit rozsáhlou kampaň, která úspěšně naruší obranu i velkých společností a umožní spáchat podvody,“ říká Maya Horowitz, Threat Intelligence Group Manager, Check Point. „Znovu se tak ukazuje, že organizace musí zlepšit své zabezpečení, aby byly v bezpečí před phishingem a podvody pomocí firemních e-mailů. Zároveň je důležité vzdělávat zaměstnance, aby byli opatrní při otevírání e mailů, a to dokonce i od společností nebo jednotlivců, které znají.“</p><p>Po odhalení původu kampaně informoval výzkumný tým společnosti Check Point úřady v Nigérii a mezinárodní orgány a sdílel s nimi své poznatky a zjištění.</p><p>Útoků realizovaných prostřednictvím firemních e-mailů (Business Email Compromise, BEC) v uplynulých 18 měsících dramaticky přibylo. <a href="https://www.ic3.gov/media/2016/160614.aspx" target="_blank">Podle FBI</a> došlo k 270% nárůstu počtu obětí od začátku roku 2016 a tyto útoky stály organizace po celém světě v období od roku 2013 do roku 2016 přes 3 miliardy dolarů. Odhaduje se také, že oběti BEC přijdou v průměru o 50 000 dolarů.</p><p>Check Point <a href="https://www.aec.cz/cz/produkty-a-sluzby">Anti-Spam & Email Security Software Blade</a> chrání zákazníky před podobnými podvody. Multidimenzionální přístup chrání e-mailovou infrastrukturu, poskytuje velmi přesný antispam a chrání organizace před nejrůznějšími viry a škodlivými kódy, které mohou být ukryté v e-mailech. <a href="https://www.aec.cz/cz/produkty-a-sluzby">SandBlast Agent s technologií Zero Phishing</a> navíc chrání organizace před novými a neznámými phishingovými stránkami i před hrozbami ukrytými v dokumentech a v odkazech e-mailů.<br></p>0
V srpnu se opět zvýšil počet nevyžádaných e-mailů s nebezpečnou přílohou JS/Danger.http://www.antivirus.cz/Blog/Stranky/v-srpnu-se-opet-zvysil-pocet-nevyzadanych-e-mailu-s-nebezpecnou-prilohou-js-danger.aspxV srpnu se opět zvýšil počet nevyžádaných e-mailů s nebezpečnou přílohou JS/Danger.<p><strong>Dlouhodobě nejčetnější internetová hrozba v Česku během druhého prázdninového měsíce ještě více posilovala. </strong></p><p>Český internet v srpnu zaplavila nová vlna nebezpečných e-mailových příloh, které ESET detekuje jako JS/Danger.ScriptAttachment. Z výsledků pravidelné měsíční statistiky společnosti ESET vyplývá, že tento typ škodlivého kódu v srpnu představoval téměř každou čtvrtou detekovanou hrozbu. Dlouhodobě jde o nejčastější kybernetické nebezpečí, kterému čelí čeští uživatelé internetu. Oproti červenci podíl JS/Danger.ScriptAttachment na celkových hrozbách vzrostl o 6,5 procentního bodu na 24,01 procenta.</p><p>„JS/Danger.ScriptAttachment detekujeme již více než rok jako nejčetnější hrozbu, jejíž podíl se v jednotlivých měsících mění, ale neustále se drží na první příčce mezi nebezpečnými kódy. Zákeřnost tohoto kódu spočívá především v tom, že dokáže do napadeného zařízení stahovat malware, aniž by si toho uživatel všiml,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. „Nejnebezpečnější v tomto ohledu může být ransomware, který zašifruje obsah napadeného zařízení a požaduje po oběti výkupné za opětovné zpřístupnění dat,“ dodává.</p><p>Mezi tzv. downloadery, tedy „stahovače“ dalších škodlivých kódů, patří i druhý nejčastěji zachycený malware JS/TrojanDownloader.Nemucod. Šíří se podobně jako JS/Danger.ScriptAttachmen přílohami nevyžádaných e-mailů. Během srpna JS/TrojanDownloader.Nemucod představoval 8,23 procenta všech detekcí škodlivých kódů a do žebříčku deseti nejčastějších hrozeb se vrátil po měsíční absenci.</p><p>Třetím nejčastěji zachyceným škodlivým kódem v Česku zůstává JS/Adware.AztecMedia. V srpnu však jeho podíl oproti červenci mírně klesl o 0,73 procentního bodu na hodnotu 3,63 procenta. Jde o adware, který v internetovém prohlížeči otevírá nevyžádaná okna s reklamou a v některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče.</p><p>Nebezpečí od trojského koně JS/Chromex.Submeliux, který  se v červenci dotahoval na nejčetnější malware JS/Danger.ScriptAttachment a aspiroval na největší internetovou hrozbu v Česku, během srpna takřka pominulo. Tentokrát se JS/Chromex.Submeliux nedostal ani do první desítky nejčastěji zachycených škodlivých kódů.</p><h3>Deset nejčastějších internetových hrozeb v České republice za srpen 2017:</h3><p>1. JS/Danger.ScriptAttachment (24,01 %)<br>2. JS/TrojanDownloader.Nemucod (8,23 %)<br>3. JS/Adware.AztecMedia (3,63 %)<br>4. JS/ProxyChanger (3,06 %)<br>5. Win32/RiskWare.PEMalform (2,80 %)<br>6. VBS/TrojanDownloader.Agent.PDT (2,29 %)<br>7. SMB/Exploit.DoublePulsar (2,20 %)<br>8. VBS/TrojanDownloader.Agent.PDO (1,96 %)<br>9. PDF/TrojanDropper.Agent.AR (1,88 %)<br>10. Win32/GenKryptik (1,64 %)</p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-srpen-2017.png" alt="" style="margin:5px;width:650px;" /><br> </p>0
Nová hrozba se zaměřuje na hráče počítačových her.http://www.antivirus.cz/Blog/Stranky/nova-hrozba-se-zameruje-na-hrace-pocitacovych-her.aspxNová hrozba se zaměřuje na hráče počítačových her.<p>Analytici společnosti ESET objevili nový škodlivý kód Joao, který se šíří prostřednictvím počítačových her stahovaných z neoficiálních internetových obchodů. Joao je modulární škodlivý kód, který dokáže do infikovaného zařízení stáhnout v podstatě jakýkoli další malware a spustit ho. </p><p>„K jeho šíření útočníci zneužili několik her typu MMORPG jež modifikovali přidáním trojan downloaderu pro stahování dalšího malwaru,“ vysvětluje Václav Zubr, bezpečnostní expert společnosti ESET.</p><p>ESET zjistil, že útočníci zneužili několik her vytvořených společností Aeria Games. Pozměněné verze potom podstrčili návštěvníkům neoficiálních herních webů. Infikované počítače odesílaly na řídící server útočníků informace o nakaženém počítači a stahovaly další škodlivé komponenty jako software pro DDoS útok a kód pro špehování své oběti.</p><p>„Celý proces infekce je před oběťmi dobře skryt. Modifikované hry fungují tak, jak mají. Když se uživatel rozhodne stáhnout si takto upravenou hru, nic nebude nasvědčovat tomu, že je něco v nepořádku. Hráči bez spolehlivého bezpečnostního softwaru si takto nakazí své zařízení,“ varuje Zubr.</p><p>Uživatelé mohou přítomnost infekce zjistit tak, že si dají ve svém zařízení vyhledat soubor mskdbe.dll, což je knihovna tohoto škodlivého kódu. Útočníci však mohou tento soubor kdykoli přejmenovat, proto by měli hráči infekci vyhledat prostřednictvím bezpečnostních programů, například jednorázovým skenem u bezplatného nástroje ESET Online Scanner.</p><p>ESET blokuje poslední aktivní web šířící hry, které obsahují tento škodlivý kód, a informoval o tom i společnost Aeria Games.</p><p> </p><p> <img src="/Blog/PublishingImages/Clanky/2017/Joao-grand-fantasia.jpg" alt="" style="margin:5px;width:650px;" /> <br> <em>Obr. 1: Infikovaná verze hry Grand Fantasia distribuovaná prostřednictvím webu gf.ignitgames.to</em></p><p> <br> <strong>Tipy pro hráče, jak mají chránit svá zařízení:</strong></p><ul><li>Vždy, když to je možné, upřednostňujte oficiální zdroje. </li><li>Aktualizujte si hry. </li><li>I během hraní používejte spolehlivé a aktualizované bezpečnostní řešení s cloudovou ochranou. Některá z těchto řešení nabízí hráčům speciální herní mód. </li><li>Na fórech pro hráče buďte obezřetní. Útočníci se mohou vydávat za zdatné hráče, kteří chtějí pomoci těm méně zkušeným. Rozhodně proto nikomu nesdělujte své přihlašovací údaje hry. </li><li>Po ukončení používání služeb jakými jsou například Steam nebo Origin se z této služby odhlaste. </li></ul><p> </p><p> <img src="/Blog/PublishingImages/Clanky/2017/Joao-Mapa-zeme.png" alt="" style="margin:5px;width:650px;" /> <br> <em>Obr. 2: Mapa znázorňuje nejvíce postižené země</em><br></p>0
Internetové hrozby v Česku: Chromex v červenci srovnal krok s malwarem Danger.http://www.antivirus.cz/Blog/Stranky/internetove-hrozby-v-cesku-chromex-v-cervenci-srovnal-krok-s-malwarem-danger.aspxInternetové hrozby v Česku: Chromex v červenci srovnal krok s malwarem Danger.<p>​<strong>ESET varuje před trojským koněm JS/Chromex.Submelius, který se šíří přes neoficiální streamovací služby.</strong></p><p>Sledování neoficiálních streamovacích stránek na internetu se během léta řadě Čechů nevyplatí. Mnoho těchto webů je totiž infikováno trojským koněm JS/Chromex.Submelius a pro spuštění videa vyžadují několikeré kliknutí na náhled videa, které otevírá nová okna prohlížeče a zobrazuje v nich reklamy. Tyto weby v některých případech fungují na doménách .cz a .sk a obsahují nabídky instalace škodlivých pluginů. Společnost ESET zaznamenala během července takřka stejný počet detekcí tohoto trojského koně jako u v poslední době nejčastější tuzemské internetové hrozby, malwaru JS/Danger.ScriptAttachment.</p><p>JS/Chromex.Submeliux o prvním prázdninovém měsíci představoval 16,72 procenta zachycených hrozeb, malware JS/Danger.ScriptAttachment dosáhl podílu 17,50 procenta. „Nárůst detekcí trojského koně JS/Chromex.Submeliux může souviset s obdobím prázdnin. Právě v této době více uživatelů využívá neoficiální streamovací služby a stahuje si nabízené pluginy,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. „Pluginy však mají naprosto opačný efekt. Navíc mohou do napadeného zařízení instalovat downloader,“ vysvětluje Dvořák.</p><p>Nejčetnější internetovou hrozbou zůstává JS/Danger.ScriptAttachment. Tento škodlivý kód se šíří především prostřednictvím příloh nevyžádaných e-mailů. „Neškodí jen sám o sobě, dokáže do napadeného zařízení stáhnout další škodlivé kódy včetně vyděračského ransomware, který zašifruje obsah zařízení a požaduje po oběti výkupné,“ varuje Dvořák.</p><p>Třetí nejčastěji zaznamenanou hrozbou v červenci byl škodlivý kód JS/Adware.AztecMedia. Ten v internetovém prohlížeči otevírá nevyžádaná okna s reklamou. V některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče. V červenci představoval 4,36 procenta zaznamenaných hrozeb v České republice.</p><p>Deset nejčastějších internetových hrozeb v České republice za červenec 2017:</p><p>1. JS/Danger.ScriptAttachment (17,50 %)<br>2. JS/Chromex.Submeliux (16,72 %)<br>3. JS/Adware.AztecMedia (4,36 %)<br>4. Win32/GenKryptik (2,29 %)<br>5. SMB/Exploit.DoublePulsar (2,25 %)<br>6. PDF/Fraud (1,90 %)<br>7. JS/Adware.BNXAds (1,88 %)<br>8. Java/Kryptik.FN (1,77 %)<br>9. Java/Kryptik.FL (1,76 %)<br>10. HTML/Frame (1,44 %)</p><p> </p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-cervenec-2017.png" alt="" style="margin:5px;width:650px;" /> </p>0
28 procent organizací po celém světě bylo v červnu postiženo malvertisingovou kampaní RoughTed.http://www.antivirus.cz/Blog/Stranky/28-procent-organizaci-po-celem-svete-bylo-v-cervnu-postizeno-malvertisingovou-kampani-roughted.aspx28 procent organizací po celém světě bylo v červnu postiženo malvertisingovou kampaní RoughTed.<p>Check Point Software Technologies zveřejnil červnový Celosvětový index dopadu hrozeb, podle kterého bylo v červnu 28 procent organizací po celém světě  ovlivněno malvertisingovou kampaní RoughTed.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika zaznamenala významný posun mezi bezpečnější země a oproti květnu si polepšila z 62. příčky na 104. místo. Slovensko se umístilo na 76. příčce. Na prvním místě se v Indexu hrozeb nově umístila Uganda. Největší skok mezi nebezpečné země zaznamenaly Bermudy, které se posunuly o 94 míst na 25. příčku. Naopak Albánie se posunula z 18. příčky na bezpečnější 101. pozici.</p><p>Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. RoughTed byl velmi nebezpečný už koncem května a během června dosáhl zatím svého maxima. Kampaň měla v červnu dopad na organizace ze 150 zemí. Nejvíce postižené organizace byly z oblasti komunikací, vzdělávání, maloobchodu a velkoobchodu. Útočníci přitom nepotřebovali spravovat žádnou složitou distribuční infrastrukturu, k napadení obrovského množství obětí jim stačilo jen infikovat jednoho poskytovatele online reklamy.</p><p>Na druhém místě skončil Fireball. Ten v květnu ovlivnil 20 procent organizací, ale v červnu došlo k prudkému poklesu a Fireball měl dopad pouze na 5 procent společností. Červ Slammer byl třetím nejrozšířenějším malwarem s dopadem na 4 procenta organizací.</p><p>Nejčastěji používané škodlivé kódy ukazují rozsah útoků a cílů a ovlivňují všechny fáze infekčního řetězce. Fireball na rozdíl od RoughTed přebírá kontrolu nad cílovými prohlížeči a dělá z nich zombie, které pak lze použít pro další akce, jako jsou stažení dalšího malwaru nebo krádeže cenných přihlašovacích údajů. Slammer je odolný paměťový červ, kterého lze použít k DoS útokům.</p><p>Do Top 10 škodlivých kódů se dostaly i další typy hrozeb, včetně ransomwarů Cryptowall (4. místo) a Jaff (6. místo), rootkitu HackerDefender používaného k ukrytí souborů a bankovního trojanu Zeus (9. místo).<br> </p><h2>Top 3 - malware:</h2><p> <strong>1. ↑ RoughTed</strong> – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.<br><strong>2. ↓ Fireball</strong> – Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru.<br><strong>3. ↑ Slammer</strong> – Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.</p><p>Hummingbad byl nejrozšířenějším mobilním malwarem. Těsně v závěsu následovaly škodlivé kódy Hiddad a Lotoor:</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Hummingbad</strong> – Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.<br><strong>2. Hiddad</strong> – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.<br><strong>3. Lotoor</strong> – Hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení.</p><p>„Během května a června se organizace zaměřovaly hlavně na ochranu před ransomwarem v důsledku masivních útoků WannaCry a Petya,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „Nicméně různorodost červnových útoků znovu ukázala, že bezpečnostní infrastruktura organizací musí být robustní s nutností chránit před všemi taktikami a metodami používanými kyberzločinci. Organizace bez ohledu na odvětví musí využívat vícevrstvé bezpečnostní technologie. Například naše řešení SandBlast Zero-Day Protection a Mobile Threat Prevention chrání před těmi nejsofistikovanějšími útoky i před malwarem nultého dne.“</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Stejně jako ve světě i v ČR na první místo vystřelil RoughTed, druhé místo patřilo škodlivému kódu Fireball a Top 3 uzavíral červ Slammer.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="2" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – červen 2017</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"> <strong>Popis</strong></td></tr><tr><td class="ms-rteTable-default">RoughTed</td><td class="ms-rteTable-default">Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.</td></tr><tr><td class="ms-rteTable-default">Fireball</td><td class="ms-rteTable-default">Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.</td></tr><tr><td class="ms-rteTable-default">Slammer</td><td class="ms-rteTable-default">Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.</td></tr><tr><td class="ms-rteTable-default">Cryptowall</td><td class="ms-rteTable-default">Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.</td></tr><tr><td class="ms-rteTable-default">HackerDefender</td><td class="ms-rteTable-default">HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.</td></tr><tr><td class="ms-rteTable-default">Jaff</td><td class="ms-rteTable-default">Ransomware, který začal být distribuován botnetem Necrus v květnu 2017.</td></tr><tr><td class="ms-rteTable-default">Conficker</td><td class="ms-rteTable-default">Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.</td></tr><tr><td class="ms-rteTable-default">Nivdort</td><td class="ms-rteTable-default">Nivdort je trojan, který cílí na platformu Windows.<br>Shromažďuje hesla a informace o systému nebo nastavení, jako je verze systému Windows, IP adresa, konfigurace softwaru a přibližná poloha.<br>Některé verze tohoto malwaru shromažďují informace o stisknutých klávesách a upravují nastavení DNS.<br>Nivdort ukládá své soubory do složky systémových souborů systému Windows.<br>Malware se šíří prostřednictvím příloh v nevyžádané poště nebo prostřednictvím škodlivých webových stránek.</td></tr><tr><td class="ms-rteTable-default">VBKrypt</td><td class="ms-rteTable-default">VBKrypt je trojan, který cílí na platformu Windows. Příkazy ke stahování, aktualizaci, spuštěná nebo odinstalaci škodlivých souborů na infikovaném systému dostává od řídícího serveru. Malware také přidává registrové položky, aby se mohl spustit, jakmile se oběť přihlásí.</td></tr><tr><td class="ms-rteTable-default">Graftor</td><td class="ms-rteTable-default">Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky, a pro to využívá informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den</p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a><br></p>0
Malware Stantinko napadl více než půl milionu uživatelů ve východní Evropě.http://www.antivirus.cz/Blog/Stranky/malware-stantinko-napadl-vice-nez-pul-milionu-uzivatelu-ve-vychodni-evrope.aspxMalware Stantinko napadl více než půl milionu uživatelů ve východní Evropě.<h3>Těžce identifikovatelný nový kmen malwaru se šíří prostřednictvím dvou pluginů pro internetový prohlížeč Chrome.</h3> <br> <p>Společnost ESET zveřejnila rozsáhlou studii o velmi obtížně rozpoznatelném druhu malware zvaném Stantinko, který své oběti podvodně přiměje ke stahování pirátského softwaru z falešných torrentových serverů a jenž se během posledních pěti let průběžně proměňoval, aby se vyhnul detekci. Stantinko cílí především na rusky mluvící uživatele a jedná se o síť botů, jež svým tvůrcům generují zisky instalací rozšíření webového prohlížeče, které při surfování na webu vkládá podstrčené reklamy. Pokud dojde k jeho instalaci do počítače, dokáže anonymně provádět masivní vyhledávání na Googlu a vytvářet falešné účty na Facebooku, kde dokáže „lajkovat“ fotografie, stránky a přidávat přátele. V České republice je riziko nakažení poměrně nízké. Cílem této kampaně je především Rusko, Ukrajina a Bělorusko.</p><h2>„Modulární zadní vrátka“</h2><p>Schopnost malwaru Stantinko vyhnout se detekci antivirových programů spočívá ve využití silné obfuskace a skrývání se ve zdrojových kódech, které na první pohled vypadají legitimně. Škodlivý kód využívá vyspělé techniky a je skryt buď zašifrovaný v souboru, nebo v registru Windows. Následně je dešifrován pomocí klíče, který se vygeneruje během prvotního napadení. Jeho škodlivé chování nelze detekovat, dokud ze svého řídicího serveru neobdrží nové komponenty, což komplikuje jeho odhalení.</p><p>Jakmile je počítač infikován, nainstaluje dvě škodlivé služby v rámci operačního systému Windows, které se spouští při každém jeho startu. „Když ho ‚chytíte‘, je obtížné se ho zbavit, protože každá z obou služeb má schopnost znovu nainstalovat tu druhou. Aby uživatel problém plně eliminoval, musí vymazat ze svého počítače obě tyto služby současně,“ vysvětluje Frédéric Vachon, analytik společnosti ESET.</p><p>Když se Stantinko dostane do počítače, nainstaluje do prohlížeče dva zásuvné moduly – oba jsou jinak běžně k dispozici ke stažení na Google Chrome Web Store – jmenují se „The Safe Surfing“ a „Teddy Protection“. „Během naší analýzy byly oba pluginy na internetu stále nabízeny,“ říká Marc-Etienne Léveillé, expert na výzkum malwaru ve společnosti ESET. „Na první pohled vypadají jako legitimní rozšíření webového prohlížeče a dokonce mají své internetové stránky. Pokud je však nainstaluje Stantinko, obdrží tato rozšíření odlišnou konfiguraci, která obsahuje příkazy na provádění podvodných kliknutí na reklamy a vkládání vlastního kódu do navštěvovaných webových stránek.“</p><p>Když se Stantinko infiltruje do počítače, mohou operátoři tohoto malwaru používat flexibilní pluginy k tomu, aby s nakaženým počítačem prováděli, cokoli si budou přát. To znamená například masivní anonymní vyhledávání stránek vytvořených pomocí nástrojů Joomla a WordPress, na něž následně provádějí tzv. „brute force“ útoky s cílem vyhledání a odcizení dat, a mohou též vytvářet falešné účty na Facebooku.</p><h2>Jak hackeři vydělávají na malwaru Stantinko?</h2><p>Malware Stantinko má velmi lukrativní potenciál, jelikož automaticky generovaná kliknutí na online reklamy jsou pro hackery hlavním zdrojem příjmů. Organizace White Ops a Association of National Advertisers provedly ve Spojených státech průzkum a odhadují, že falešná kliknutí na reklamu bude firmy jen v tomto roce stát 6,5 miliardy USD.</p><p>Detailní informace o webových stránkách, které se staly obětí útoků vedených malwarem Stantinko, jež se snaží uhádnout přístupová hesla tím, že zkouší tisíce různých možností, lze navíc prodávat na černém trhu. I když experti společnosti ESET zjevné škodlivé aktivity na sociálních sítích nezjistili, operátoři malwaru Stantinko mají nástroj, který jim umožňuje provádět podvody na Facebooku tím, že prodávají „lajky“, čímž neoprávněně upoutávají pozornost spotřebitelů, kteří podvodné jednání neočekávají.</p><p>Zásuvné moduly Safe Surfing a Teddy Protection jsou schopné vkládat reklamy nebo přesměrovávat uživatele. „To operátorům malwaru Stantinko umožňuje získávat odměnu za internetový provoz, který těmto odkazům zprostředkují. Dokonce jsme zjistili, že někteří uživatelé se dostali na stránky plátce reklamy přímo z reklam, jež ovládal Stantinko,“ uzavírá Matthieu Faou, analytik malwaru ve společnosti ESET.</p><p>V České republice je riziko nakažení poměrně nízké. Evidováno je přibližně tisíc detekcí. V počtu detekcí tohoto malware je Česká republika na dvaadvacátém místě. Žebříček vede Rusko, Ukrajina a Bělorusko.</p><p>Více informací o malwaru Stantinko si můžete přečíst ve whitepaperu na webu <a href="http://www.welivesecurity.com/" target="_blank">WeLiveSecurity.com</a>. <br></p>0
Mobilní malware CopyCat infikoval 14 milionů Androidůhttp://www.antivirus.cz/Blog/Stranky/mobilni-malware-copycat-infikoval-14-milionu-androidu.aspxMobilní malware CopyCat infikoval 14 milionů Androidů<p>​Výzkumníci společnosti Check Point odhalili nový mobilní malware, který infikoval 14 milionů zařízení se systémem Android, z čehož zhruba 8 milionů rootoval. Malware hackerům vydělal falešnou reklamou přibližně 1,5 milionu dolarů za 2 měsíce.</p><p><img src="/Blog/PublishingImages/Clanky/2017/copycat-by-the-numbers.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Malware, označený mobilním výzkumným týmem společnosti Check Point jako CopyCat, využívá novou techniku pro krádeže citlivých informací a generování zisků z reklamy. CopyCat infikoval uživatele především z jihovýchodní Asie, ale zasáhl také více než 280 000 amerických uživatelů.</p><p><img src="/Blog/PublishingImages/Clanky/2017/Infographic-top-12-countries.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>CopyCat je komplexní malware s nejrůznějšími schopnostmi, včetně možnosti rootovat zařízení nebo vložit kód do Zygote, procesu zodpovědného za spouštění aplikací v operačním systému Android, což malwaru umožňuje mít kontrolu nad jakoukoli aktivitou na zařízení.</p><p><img src="/Blog/PublishingImages/Clanky/2017/where-copycat-is-concentrated.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>Více informací najdete v <a href="/Blog/Documents/Check_Point-CopyCat_Research_Report.pdf">tomto reportu</a> a na blogu společnosti Check Point <a href="http://blog.checkpoint.com/2017/07/06/how-the-copycat-malware-infected-android-devices-around-the-world/" target="_blank">http://blog.checkpoint.com/2017/07/06/how-the-copycat-malware-infected-android-devices-around-the-world/</a>.<br></p>0
Trojský kůň Chromex se vrací, v červnu se dotahoval na největší hrozbu v Česku, škodlivý kód Dangerhttp://www.antivirus.cz/Blog/Stranky/trojsky-kun-chromex-se-vraci-v-cervnu-se-dotahoval-na-nejvetsi-hrozbu-v-cesku-skodlivy-kod-danger.aspxTrojský kůň Chromex se vrací, v červnu se dotahoval na největší hrozbu v Česku, škodlivý kód Danger<p><strong>Chromex v červnu představoval každou sedmou detekovanou hrozbu. První vlnu jeho útoků zaznamenal ESET letos v březnu.</strong></p><p>Nebezpečný trojský kůň Chromex, který se šíří prostřednictvím neoficiálních streamovacích služeb a společnost ESET před ním poprvé varovala letos v dubnu, se vrátil v nové vlně. Během června představoval druhou nejčetnější internetovou hrozbu v České republice a svým podílem se blížil k dlouhodobě nejsilnějšímu škodlivému kódu JS/Danger.ScriptAttachment. ESET, který tuto hrozbu detekuje jako JS/Chromex.Submelius, jej v červnové statistice virových hrozeb identifikoval v 13,93 procentech případů. </p><p>„Chromex využívá například popularity neoficiálních streamovacích služeb na internetu a uživatelům nabízí instalaci škodlivých pluginů,“ vysvětluje Miroslav Dvořák, technický ředitel společnosti ESET. Tyto pluginy často slibují zrychlení načítání internetových stránek, ale ve skutečnosti způsobují opak. Uživatelé na ně narazí i na streamovacích stránkách s českou nebo slovenskou doménou. </p><p>Jak napovídá jeho název, Chromex se soustředí na doplňky k internetovému prohlížeči Chrome. V České republice se poprvé četněji vyskytl letos v březnu, kdy se ve statistice společnosti ESET objevil na pátém místě. Dosud však nepředčil největší internetovou hrozbu současnosti, škodlivý kód JS/Danger.ScriptAttachment, který se šíří prostřednictvím infikovaných příloh e-mailů. Podíl kódu JS/Danger.ScriptAttachment  ale v červnu meziměsíčně klesl o 3,58 procentního bodu na hodnotu 17,81 procenta.</p><p>Třetí nejčastější internetovou hrozbu v červnu představoval adware AztecMedia, který uživatelům doručuje nevyžádanou reklamu. Nejde o typický vir, ale spíše nepříjemný skript, který otevírá v prohlížeči nevyžádaná pop-up okna nebo bannery s reklamou. Bez vědomí uživatele ale dokáže změnit i domovskou stránku internetového prohlížeče. AztecMedia v červnu dosáhl podílu 6,65 procenta na detekovaných hrozbách v České republice.</p><h2>Top 10 hrozeb v České republice za červen 2017:</h2><p>1. JS/Danger.ScriptAttachment (17,81 %)<br>2. JS/Chromex.Submeliux (13,93 %)<br>3. JS/Adware.AztecMedia (6,65 %)<br>4. JS/ProxyChanger (4,59 %)<br>5. Win32/GenKryptik (4,22 %)<br>6. Java/Adwind (2,88 %)<br>7. JS/Adware.Imali (2,71 %)<br>8. JS/TrojanDownloader.Nemucod (2,66 %) <br>9. PDF/TrojanDropper.Agent.AE (1,70 %)<br>10. PDF/TrojanDropper.Agent.AJ (1,62 %)</p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-cerven-2017.png" alt="" style="margin:5px;width:650px;" /> </p>0