måndag 25 maj 2015

Varning för malware - Inkomstdeklaration ej fullständig

WeCloud har under natten mot måndagen noterat en stor mängd förfalskad e-post där svenska skatteverket uppges som avsändare. Meddelandet har "Inkomstdeklaration ej fullständig" eller "Felanmälan deklaration" som ämnesrad och innehåller en komprimerad fil med namnet "Fel i deklarationen". I den komprimerade filen återfinns en exekverbar skadlig fil.

Åter igen utnyttjas Skatteverket namn i ett försök att infektera datorer med skadlig kod. Attacken kommer lagom i tid efter att de flesta svenskar lämnat in sin deklaration och riskerar att infektera ett stort antal datorer eftersom väldigt få antivirusmotorer än så länge detekterar filen. 

Skatteverket har i förebyggande syfte konfigurerat så kallade "SPF-records" som låter mottagaren kontrollera att avsändande server har rättighet att skicka epost från den angivna epost-domänen, något som avsändaren av det förfalskade mailet kringgått genom att skicka eposten från skatteverket.net istället för skatteverket.se



Avsändaren som uppges är post@skatteverket.net och de flesta exemplar som WeCloud granskat är skickade från amerikanska och Nya Zeeländska IP-adresser.

Enligt virustesten VirusTotal är det endast 3 av 57 antivirusprogram som detekterar och stoppar filen. Dessutom behöver de flesta traditionella antivirusprogram uppdateras med ny lokal signaturfil för att kunna detektera filen - något som i värsta fall kan ta flera dagar.

-Jag befarar att denna attack kommer få stort genomslag eftersom meddelandet är skrivet på  korrekt svenska och många svenskar i nuläget väntar på besked från Skatteverket. De flesta företag och privatpersoner förlitar sig fortfarande på föråldrad antivirusteknik som saknar vettigt skydd mot okända virus och kräver ständiga uppdateringar för att kunna identifiera ny skadlig kod, säger Rikard Zetterberg, VD på WeCloud.

De förfalskade meddelandena är undertecknade med svenska namn som t.ex. Bernt Flodihn, Margareta Svensson, Lillemor Larsson, Björn Albrektsson och Kia Roman.

-Namnen "klingar myndighet" lång väg, förmodligen har avsändaren god kännedom om Sverige och besitter även en viss humoristisk nerv, säger Rikard.

WeCloud's endpoint protection, Webroot SecureAnywhere, är utvecklat för att proaktivt hantera okänd skadlig kod och behöver inte vänta på att ladda ner uppdateringar för att ta del av ny information om skadlig kod. Skadlig kod som initialt inte kan definieras som skadlig monitoreras och alla förändringar som orsakas av den okända filen loggas för att automatiskt kunna återställas så snart den okända filen klassats som skadlig.



Webroot SecureAnywhere har detekterat filen fr.o.m. måndag morgon, och tack vare den cloudbaserade arkitekturen krävs ingen uppdatering av den lokala Webroot-agenten för att blockera filen.

Primärt skickas den förfalskade eposten från följande IP-adresser:

168.235.80.92
168.235.81.11
108.179.249.53
168.235.80.67
192.171.18.142
131.72.136.243
131.72.136.173

168.235.81.109

www.wecloud.se
info@wecloud.se