Το SecNews μετά την ανάλυση νέου malware που κυκλοφορεί ιδιαίτερα στην Ελλάδα τις τελευταίες 24 ώρες, ανακοινώνει και καλεί εταιρείες και οργανισμούς να περιορίσουν (φιλτράρουν) ΑΜΕΣΑ τις παρακάτω IP διευθύνσεις στα κέντρικά Firewalls τους:
- 192.99.34.20
- 188.165.227.37
- 37.59.48.138
- 176.31.126.25
Το κακόβουλο λογισμικό στοχοποιεί εταιρείες, Τράπεζες και οργανισμούς με στόχο υποκλοπή δεδομένων, κωδικών και αρχείων της επιχείρησης. Το Malware διαδίδεται με μεθόδους κοινωνικής μηχανικής (social engineering attacks) κυρίως μέσω e-mail και URL συνδέσμων. Πρόκειται για λογισμικό κυβερνοκατασκοπείας που εμφανίζεται ως νέο FAX ή ως statement Τραπεζών (κυρίως HSBC και RBS).
Διαθέτει εξειδικευμένα χαρακτηριστικά (εξαιρετικά sophisticated) που του επιτρέπουν τον μή εντοπισμό του από τα Antivirus (το εντοπίζουν ΜΟΝΟ 4 γνωστά Antivirus) ενώ διαθέτει τριπλού επιπέδου κρυπτογράφηση. Στοχοποιεί κυρίως χρήστες με Internet Explorer ενώ οι δυνατότητές του αλλάζουν ανάλογα με τον browser του επισκέπτη.
Έφηβος χακάρει εταιρείες τηλεπικοινωνιών
DroidBot: Νέο Android banking malware κλέβει credentials
Αφροδίτη: Είχε, τελικά, νερό;
Μηχανικοί ασφάλειας του SecNews έχουν πραγματοποιήσει ενδελεχή ανάλυση του κακόβουλου λογισμικού, αλλά μέχρι αυτή την ώρα δεν έχει εξακριβωθεί η ακριβής λειτουργικότητά του. Οι IP που αναφέρονται στο παρόν άρθρο, είναι τα σημεία C&C (ελέγχου) του κακόβουλου λογισμικού όπου όλα τα θύματα επικοινωνούν για να λάβουν εντολές αλλά και για να αποθέσουν το υποκλαπέν περιεχόμενο.
[alert]Καλούμε τους χρήστες που εντοπίσουν αντίστοιχα e-mails στο mailbox τους να μην ανοίξουν το σχετικό σύνδεσμο και να ενημερώσουν τις αρχές!
Οι διαχειριστές συστημάτων εταιρειών/οργανισμών και κυρίως Τραπεζών απαιτείται να ελέγξουν αν υπάρχει επικοινωνία εσωτερικών τερματικών σταθμών με τις παραπάνω IP διευθύνσεις και να φιλτράρουν ΑΜΕΣΑ την πρόσβαση προς τις αναφερόμενες IP![/alert]