torsdag 16 april 2015

Ny våg av falsk epost från Elgiganten

WeCloud har uppmärksammat en stor våg av förfalskad epost som anger Elgiganten som avsändare. Det är inte första gången Elgiganten anges som avsändare i spam och virus-utskick, men denna gången är den skadliga koden som bifogas elakare än tidigare.

WeCloud har tidigare rapporterat om förfalskad epost från Elgiganten. Denna gång har WeCloud's tekniker registrerat tusentals utskick av falsk epost som anger att Elgiganten som avsändare. Meddelandet är utformat som en orderbekräftelse och innehåller en bifogad ZIP-fil. Arkiv-filen gömmer en exekverbar fil som av WeCloud har identifierats som en variant av LeViewer. LeViewer klassificeras som en trojan utformad för att attackera alla typer av Windows-baserade system. 




Efter att trojanen infekterat datorn kan den automatiskt aktiveras genom att addera ett objekt i autostart. Drabbade datorer blir tillgängliga för flera angrepp och kan nås från Internet av den eller de som utformat attacken.

WeCloud's tekniker har också konstaterat att elgiganten.se har en svag SPF-konfiguration, villket innebär att man i sin DNS inte specifikt deklarerar vilka servrar som har rätt att använda elgiganten.se som avsändare-adress. WeCloud har kontaktat Elgigantens ägare Elkjøp i Norge och påtalat problemet.

I skrivandets stund (torsdag 16:e april, klockan 16:15) stoppas trojanen inte av någon av de större antivirusleverantörerna. Enligt virus-testen VirusTotal är det endast 3 av 57 antivirusmotorer som klarar att identifiera trojanen.



Med Webroot SecureAnywhere, som distribueras av WeCloud i Skandinavien,  identifieras och blockeras trojanen i nuläget. SecureAnywhere innehåller också en funktion som automatiskt loggar och övervakar okända filer, så att den datorn skyddas även mot okänd skadlig kod och automatiskt återställer eventuella förändringar som trojanen hunnit orsaka innan den klassificerades som skadlig av Webroot SecureAnywhere.

SecureAnywhere™ Endpoint Protection är ett banbrytande och modernt malware-skydd. Genom att kombinera innovativ matchning av fil-mönster och beteende-analys med kraften i cloud computing kan SecureAnywhere stoppa både kända hot och förhindra okända zero-day-attacker mer effektivt än något annat antivirus-system.


www.wecloud.se
info@wecloud.se


torsdag 9 april 2015

Zscaler blockerar dataläckage i Chrome-plugin

Det svenska IT-säkerhetsföretaget Sentor upptäckte nyligen en allvarlig säkerhetsbrist i det populära Google Chrome-tillägget Webpage Screenshot. Zscaler har analyserat mjukvaran och utvecklat ett skydd mot dataläckaget.

Det osäkra Chrome-tillägget Webpage Screenshot har laddats ned av ca 1 miljoner användare och kan leda till att webb- och browserhistorik skickas vidare till en server i USA. Enligt uppgift har ägaren till den amerikanska servern sålt vidare informationen till tredje part. 




Zscalers molnbaserade säkerhetsproxy skannar och filtrerar Internettrafik för miljontals användare. Zscalers Security Research-team meddelar att man nu utvecklat och applicerat ett skydd mot dataläckage som orsakas av Webpage Screenshot genom att dels blockera trafik baserat på domännamn men också genom analys av matchning av mönstret i trafiken som skickas från drabbade datorer till den Amerikanska servern. Trafiken kategoriseras i Zscalers lösning som Spyware/Adware.

-Vi har implementerat domänbaserade blockeringar och signaturer för att blockera kommunikationen mellan användaren (som har denna plug-in) och fjärrservern. Vi kategoriserar trafiken som Adware / Spyware och kommer fortsätta att övervaka WebPageScreenshot säger Deepen Desai, Director of Security Research at Zscaler.

Zscaler WebSecurity Gateway finns i flera olika versioner, där du enkelt kan lägga till funktionalitet efter behov. Utöver traditionell URL-filtrering och antivirus-skanning kan lösningen utökas med Advanced Malware Protection som analyserar mönster i webbtrafiken och blockerar nya hot. Här finns också en automatisk koppling till Microsoft MAPPs som säkrar att nyupptäckta sårbarheter i Microsofts mjukvara inte utnyttjas via webben. Dessutom kan funktioner för DLP, Bandwith management och behaviour analytics av okända filer enkelt aktiveras i lösningen.

Tack vare den molnbaserade arkitekturen kan även användare som arbetar utanför det egna nätverket skyddas effektivt. Genom några enkla inställningar i Active Directory säkras att externa användare omfattas av Zscalers skydd. Oavsett var användaren kopplar upp sig ansluts han automatiskt till den närmst belägna proxynoden.

Kontakta WeCloud nu för kostnadsfri konsultation och utvärdering!

www.wecloud.se
info@wecloud.se