onsdag 27 januari 2016

Postnord-bluffen tar ny fart

Under veckan har Postnord-bluffen tagit ny fart och nya varianter av Postnord-spam skickas ut i stora volymer. WeCloud har utvecklat en rad nya signaturer för att blockera de pågående utskicken i sitt e-postfilter. De förfalskade e-postmeddelandena är i sig ofarliga men innehåller länkar till hackade webbsidor som kan infektera datorn om mottagaren klickar på länken.

WeCloud uppmärksammade redan under måndagen en ny våg av förfalskad e-post från Postnord. E-postmeddelandet ser ut att komma från Postnord, men uppger olika avsändare i olika utskick. Länken i de falska meddelandena varierar, men leder i de flesta fall till en hackad webbserver där skadlig kod väntar på att hämtas ned till mottagarens dator.


Den nya vågen av Postnord-spam anger "Paketet inte har levererats" i ämnesraden.

En stor del av Postnord-bluffen skickas ut från IP-adresser som tillhör legitima stora Internetleverantörer och därav har väldigt få avsändare hamnat på de publika svartlistor som används av många spamfilter. 

Texten i den förfalskade e-posten ligger mycket nära affärssvenska och blir därav svår att klassificera som spam. WeClouds tekniker har bl.a. special-designat nya spam-signaturer baserat på de röda trådar man kunnat identifiera genom att granska ett stort antal exempel från den pågående attacken. 



Den danska versionen anger "PostNord - Forsendelse Meddelelse" i ämnesraden

WeCloud's tekniker vill inte i detalj avslöja de nya parametrarna som nu används för att blockera Postnord-attacken eftersom angriparna hela tiden hittar nya metoder för att kringgå filtren. WeCloud delar dock med sig av sina nya spamsignaturer till den globala antispam-databasen Cloudmark som används av många andra spamfilter. 

Vanligtvis brukar ett begränsat antal länkar användas i ett spamutskick, men i fallet med Postnord-bluffen har det varit svårt att använda länkarna som ett signalement eftersom de varierat kraftigt. "Det handlar om en ovanligt stor mängd hackade webbservrar, varje nytt utskick länkar till nya hackade sidor", säger Jon Lahtinen, CTO på WeCloud AB. 

Har du mottagit Postnord-förfalskningar efter klockan 14:00 idag?
Om du använder WeCloud EmailSecurity men ändå har mottagit Postnord-förfalskningar efter klockan 14:00 idag är WeCloud intresserade av att få exempel på dessa mail. Även du som inte använder WeCloud EmailSecurity kan bidra tilla tt stoppa de nya Postnordspammen. Skicka gärna exempel på dessa mail som en bifogad fil i .eml-format till postnordbluff@wecloud.se och ange "postnordbluff" i ämnesraden.

Läs gärna mer om tidigare Postnord-attacker här:


måndag 25 januari 2016

Webroot utökar stödet för Mac

I den nya uppdateringen av SecureAnywhere från Webroot ingår flera funktioner för att förbättra administrationen och upplevelsen för kunder och partners som administrerar Mac OS-enheter.




Antalet Mac-datorer ökar i företagsmiljöer och enligt en rapport från Statcounter (november 2015) uppges att 9,4% av alla webbläsare idag körs på en Mac OS-enhet. Den senaste uppdateringen av SecureAnywhere ger administratören insyn i alla enheter som kör Mac OS, eftersom den nya versionen är utvecklad för att leverera uppgifter om Mac-datorer i alla vyer, rapporter och manageringsfönster i Webroot SecureAnywhere administrationskonsol.

De nya Mac-funktionerna finns i både slutkundportalen och Global Site Manager (GSM) som används av WeClouds återförsäljare. Bland de nya funktionerna märks bl.a:

  • Rapportering av infekterade Mac-datorer i konsolen
  • Full insyn i alla enheter, oavsett vilket operativsystem eller version av operativsystemet som används.
  • Mac-datorer ingår i alla vyer, rapporter och manageringsfönster.
Läs mer om de nya funktionerna och hur du hittar dem här, eller kontakta WeCloud för en demonstration.


torsdag 21 januari 2016

Poweliks - malware som bor i ditt systemregistrer

Många av den senaste tidens attacker kringgår lokala antivirusprogram och är i princip omöjliga att hitta med traditionella verktyg. Tekniken som används för att gömma den skadliga koden kallas för "poweliks" och innebär att inga filer skrivs till hårddisken, istället lagras koderna permanent i systemregistret.

Traditionella endpointskydd är till stor del beroende av att kunna identifiera malware-filer på datorns lagringsenhet. För att undgå att detekteras används nu s.k. poweliks som aldrig skriver någon fil till disken. Istället skapas en registernyckel, många gånger är namnet på registernyckeln ett nollvärde som innebär att den inte kan hanteras av Windows och inte heller går att ta bort manuellt.



I poweliks-registernyckeln finns en lång datasträng innehållande programkod, som om den hade sparats till en fil skulle klassas som en DLL-fil. Den skadliga koden laddas in i minnet vid varje start och dess huvudsakliga uppgift är att hämta hem (o)lämplig exekverbar kod som är anpassad för det infekterade systemet.

De nya hämtningar som initieras av koden i registret skrivs till disk och kan i bästa fall detekteras med traditionella metoder, men källan till infektionen fortsätter att existera och laddar hem nya varianter av skadlig kod. Förr eller senare laddas en så pass ny malware ned att det traditionella skyddet inte detekterar den. Poweliks har bl.a. använts i många av den senaste tidens Crypto Ransome-attacker.

WeCloud's molnbaserade antivirus monitorerar alla processer och events i ett system. Resultaten analyserar direkt i molnet och jämförs  Läs mer om SecureAnywhere och hur molnbaserad antivirus kan hjälpa dig att minimera riskerna.

www.wecloud.se
info@wecloud.se

tisdag 19 januari 2016

Många nyheter i Zscalers nya release

WeClouds webbsäkerhetslösning från Zscaler, ledare i Gartner Magic Quadrant, analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika analyser, jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system oavsett var de kopplat upp sig. I nya "Winter release" presenteras en rad nya funktioner. 

Zscalers uppgradering av Zscaler Internet Security Platform innefattar ny design på det adminportalen, förbättringar av Zscaler Web Security, Next Generation Firewall, och utökad kapacitet för Behavioral Analysis samt förbättringar av Zscaler App mobilklient.

Ny Design
Den nya adminportalen har en innehållsfokuserad design, med ett modernt gränssnitt samt mer intuitiv och konsekvent navigering. Med bl.a. förhandsgranskning och förbättrad läsbarhet ges nu en bra användarupplevelse, oavsett om du använder dator, surfplatta eller telefon.

Identifiera molnapplikationer
En ny widget, Cloud Applications Trend, visar alla molnapplikationer som används av din verksamhet. Zscaler samarbetar med Skyhigh för att ge en riskprofil för varje applikation. Du kan peka på en molnapplikation i widgeten och visa riskpoäng från Skyhigh




Förbättrade rapporter
En efterlängtad funktion är att utesluta specifika platser från statistik-rapporter. I den nya releasen kan du t.ex. visa verksamhetens totala YouTube-trafik, men exkludera trafiken från datorer som ansluter från hemmanätverk eller hotspots.


Office365 One-Click Configuration
Office-365 har inneburit flera olika utmaningar som krävt extra konfiguration och undantag från SSL-skanning. I den nya versionen har Zscaler förenklat konfigurationen avsevärt. Du skickar helt enkelt all Office365-trafik till Zscaler och slår på "Activate Office 365 One-Click Configuration". Tjänsten utför automatiskt all nödvändig konfigurationerna så att användarna smidigt kan använda alla Office365-applikationer Dessutom identifierar Zscaler mer än 300 applikationer, inklusive Office365-program, så att du inte behöver bry dig om eventuella ändringar av webbadresser i Office365.

Nyheter i NextGen-Firewall
NextGen Firewall NAT-policy har förbättrats med tillägg av domänbaserade destinationsadresser. För att stödja domäner med flera IP-adresser eller med IP-adresser som kan förändras, kan du nu ange FQDN samt IP-adresser i destinationsfätet i dina NAT-regler.

När är det dags?
Uppdateringen är planerad till den 22:e januari, 2016 (6:00 PM PST) och förväntas ha minimal påverkan för slutanvändare. Administrationsgränssnittet kommer sättas i "maintenance mode" under uppgraderingen vilket innebär att förändringar av regler och inställningar inte är möjligt.

Mera information om dessa och många andra nya funktioner finns här.

www.wecloud.se
info@wecloud.se

måndag 18 januari 2016

Makro-infektionerna lurar fortfarande användarna

Under mer än 20 år har vi sett hur små inbyggda skript i Office-dokument infekterat system och spridit skadlig kod. Microsoft deaktiverade automatisk körning av makron redan i Office 2003, men fortfarande luras användare att tillåta makron att köra i dokument från okända avsändare.

Makron är små skript med en rad kommandon och förekommer ibland i Office-dokument för att automatisera annars tidskrävande uppgifter. I mer än 20 år har makro-funktionen utnyttjats för att infektera datorer med skadlig kod och ofta har de lyckats kringgå många antivirusfilter eftersom filerna i sig själva inte är körbara.

Redan i Office 2003 beslutade sig Microsoft för att som standard inte köra Makron per automatik. Istället får användaren en fråga om Makrot ska tillåtas köra eller ej. Trots detta infekteras tusentals datorer genom Makro-virus.

Microsoft varnar sedan Office 2003 innan ett makro körs.

Många av den senaste tidens makrovirus sprids via förfalskad e-post som lurar användaren att dokument rör en leverans, en faktura, eller bekräftelse på ett köp. 

Den senaste varianten ava spam som sprider makrovirus påstår sig komma från en lokal nätverksskanner.

I de moderna makrovirus som WeCloud analyserat är makrot och Office-dokumentet i sig sällan skadliga. Istället återfinns kommandon som hämtar hem den verkligt skadliga koden från Internet och exekverar den. För att få användaren att tillåta aktivering av makrot utformas dokumenten med oläsbar information med undantag för en uppmaning att tillåta makrot att köra för att göra informationen läsbar.

Texten i dokumentet uppmanar användaren att aktivera makrot

Om makrot aktiveras laddas en exekverbar fil hem från Internet. Filen som hämtas från Internet byts ut med högt intervall för att öka risken att användaren saknar ett antivirusprogram som kan detektera och blockera filen. 

Med WeClouds molnbaserade klientskydd, SecureAnywhere, kontrolleras alla processer på datorn för att detektera mystiskt beteende eller nedladdningar från webbservrar som är kända för att hosta skadlig kod. Om den skadliga koden laddas ned kommer SecureAnywhere analysera

Ett annat effektivt skydd för att stoppa ny skadlig kod från att hämtas hem från Internet är att skapa ett regelverk i WeCloud's molnbaserade webbproxy som bestämmer vilka användare som får lov att ladda hem exekverbara filer från Internet, och varifrån dessa filer i så fall får hämtas.

Det är relativt ovanligt att legetima dokument innehållande makron skickas utanför den egna verksamheten, så se upp med bifogade word-filer från okända avsändare. Om du får frågan om ett makro ska aktiveras bör du ovillkorligen svara nej och ta bort dokumentet.








torsdag 14 januari 2016

Falska skannade dokument laddar ner virus

Under torsdagen noterade IT-säkerhetsföretaget WeCloud stora mängder tomma e-postmeddelanden innehållande en Microsoft Word-fil. Wordfilen innehåller ett macro som automatiskt försöker ladda ner en och exekvera skadlig kod som stjäl information från webbläsaren i det infekterade systemet. Öppna inte den bifogade filen om du mottagit liknande meddelanden från "local network scanner".



WeCloud's system skyddar dig från de nu kända varianterna av den skadliga koden och de flesta varianter av det förfalskade meddelandet blockeras även i WeCloud Email Security. I SecureAnywhere Endpoint Protection kallas den skadliga koden "Infostealer.Dridex.Gen" och har en global klassificering som "bad" sedan den 14:e Januari, 14:43.

WeCloud har analyserat flera exemplar från den pågående attacken som ser ut att drabba svenska e-postmottagare hårt. I flera fall är avsändaren en välkänd adress som förfalskats. E-postmeddelandet skickas från flera olika servrar, bl.a. placerade i Indonesien och ämnesraden är "Message from local network scanner". Läs gärna mer om hur du förhindrar att din egen domän används som förfalskad avsändare här!

Genom att ange "Message from local network scanner" som ämnesrad försöker angriparen att lura mottagaren att meddelandet innehåller ett skannat dokument från en lokal skanner. 

Meddelandet är tomt förutom en bifogad Word-fil med varierande namn, t.ex. "Scann16011310150.doc". Öppna inte den bifogade filen! Den bifogade Word-filen kör per automatik ett skript som i sin tur försöker ladda hem en exekverbar fil från servrar bl.a. i Oklahoma, USA. Flera av de servrar som WeCloud granskat har redan rensat bort den exekverbara filen och därav minskat konsekvenserna av den pågående attacken.



I skrivandets stund är det endast 5 av de traditionella antivirusmotorerna på VirusTotal som klassar filen som skadlig. Den skadliga koden försöker komma över information från webbläsare, t.ex. lösenord och annan personlig information.

Om du använder WeCloud's molnbaserade webbfilter kan det vara idé att försäkra dig om att det finns en policy som beskriver vilka användare som har möjlighet att ladda ner exekverbara filer från okända webbsidor.

Läs mer om hur Makro-virus fortsätter lura användarna här.

www.wecloud.se
info@wecloud.se



onsdag 13 januari 2016

Så säkrar du upp din Apple-enhet

Apple-enheterna blir bara fler och fler. Paddor, smartphones och snygga laptops finns numera överallt runt om oss. Många tror fortfarande att Apple-enheterna är säkra och skyddade från den hotbild som är råder för Windows och Android-användarna. Tyvärr har det på senaste tiden blivit allt vanligare med hot riktade mot Apple-användare och därför har vår kollega på Webroot Security Research, Devin Byrd, tagit fram en rad goda råd för att säkra upp dina Apple-enheter.




Säkra din iOS-enhet

Aktivera lösenordsskydd
En grundläggande men viktig funktion. Aktivera lösenordsskydd och använd gärna ett starkt lösenord. Apple tillåter även fingeravtrycks-lösenord.

Radera data
Radera alltid din data innan du skickar din telefon på reparation eller säljer en gammal enhet till någon. Använd funktionen för fabriksåterställning för att radera all personlig data.

Uppdatera
Genom att löpande uppdatera appar och operativsystem förstärks den inbyggda säkerheten.

Jailbreaka inte
Jo, man kan göra många fräcka grejer med en jailbrekad iOS men är det verkligen värt att ge upp säkerheten?

Aktivera säkerhetsfunktionerna i Safari
Safaris säkerhetsfunktioner inkluderar blockering av popup-fönster, varningar för bedrägliga webbplatser och möjligheten att rensa cookies och historik.

Inaktivera Bluetooth och Wifi
Det finns en rad kostnadsfria sniffing-mjukvaror som samlar data om enheter genom att lyssna av Bluetooth och Wifi-signaler. Undvik också publika WiFi-nätverk i största möjliga mån.

Find My iPhone
En självklar funktion som hjälper dig hitta din enhet och gör det svårare för tjuven att "tvätta" telefonen.

Inaktivera Siri på låsskärmen
Genom Siri-funktionen kan bl.a. dina kontakter ringas från en låst telefon. Inaktivera Siri på låsskärmen för att förhindra detta.

Konfigurera VPN
Om du kopplar upp din enhet på oskyddade trådlösa nätverk kan du använda en VPN-tjänst för att kryptera din trafik och göra den oläsbar för eventuella sniffers.

Aktivera 2-stegs-autentisering för Apple ID och iCloud
Säkra att endast användare som kan både lösenordet och den fyrsiffriga verifikationskoden får access.





Säkra din OS X-enhet

Skapa ett standardkonto för vardagsanvändning
Använd ett standardkonto (icke-admin) för vardagligt arbete. Om applikationer behöver administratörsaccess får du ange ett separat lösenord och blir på så vis notifierad om vad och när ett program kräver utökad access.

Ställ in Gatekeeper att tillåta Mac App Store and identified developers
Gatekeeper hittar du under Preferences > Security & Privacy och låter användaren bestämma vilka appar som kan köras utan notifikationer och användargodkännande. Om du laddar ned ett program som inte möter kraven kommer det inte tillåtas att starta.

Håll dig uppdaterad
Mac OS X har ett inbyggt uppdateringsverktyg “Software Update”. Kör "Software Update" med jämna mellanrum och installera nya uppdateringar när de finns tillgängliga.

Inaktivera Automatisk inloggning
Automatisk inloggning låter vem som helst starta din dator och komma åt dina filer.

Använd den inbyggda brandväggen
Den inbyggda brandväggen kan anpassas efter dina behov på kontoret, hemma eller på resa.

Använd en Password Manager för att spara dina lösenord
Använd långa och komplicerade lösenord för bästa säkerhet. Spara dem i en password manager så kommer att du inte glömmer bort dem.

Använd Mac FileVault för full-diskkryptering
FileVault krypterar hela din hårddisk med en stark krypteringsalgoritm (XTS-AES 128). Om kryptering inte används kan någon som stjäl din dator komma åt allt innehåll på din hårddisk.

Använd en AntiVirus-klient
Ja, det är hög tid att installera en antivirus även om du kör Mac. Testa gärna Webroot SecureAnywhere kostnadsfritt. Kontakta WeCloud för mer information.

Aktivera iCloud Mac locator & remote wipe
Om din dator blir stulen kan du logga in på iCloud.com eller Find My iPhone på en iOS-enhet för att lokalisera din dator och/eller skicka kommandon för att låsa enheten, spela ett ljud på enheten eller radera allt innehåll på disken.

Använd “Secure Empty Trash” för att radera data
Som default markeras filer bara för radering när du raderar dem. Egentligen finns filerna kvar på disken och kan enkelt återskapas. Genom att använda "Secure Empty Trash" blir det svårare att återställa raderade filer.



www.wecloud.se
info@wecloud.se



Nya sårbarheter i Microsofts mjukvaror

Nya sårbarheter har upptäckts i Microsoft Explorer, Microsoft Edge, Windows Kernel och Microsoft Office. Zscaler har proaktivt utvecklat skydd för attacker mot de nya sårbarheterna i Microsofts programvaror. Det avancerade skyddslagret används för att blockera zero-day-hot som utnyttjar nyupptäckta sårbarheter och inkluderas i Zscaler Advanced Behavioral Analysis.


WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika analyser, jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system oavsett var de kopplat upp sig genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.


MS16-001 –  Cumulative Security Update for Internet Explorer
Severity: Critical

Affected Software
  • Internet Explorer 7-11
CVE-2016-0002 – Scripting Engine Memory Corruption Vulnerability
Security Subscription Required: Advanced Internet Security                   

Description: This security update resolves vulnerabilities in Internet Explorer. The most severe of the vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Internet Explorer. An attacker who successfully exploited these vulnerabilities could gain the same user rights as the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.

MS16-002 – Cumulative Security Update for Microsoft Edge
Severity: Critical

Affected Software
  • Microsoft Edge
CVE-2016-0003 – Microsoft Edge Memory Corruption Vulnerability
Security Subscription Required: Advanced Internet Security 
CVE-2016-0024 – Scripting Engine Memory Corruption Vulnerability
Security Subscription Required: Advanced Internet Security

Description: This security update resolves vulnerabilities in Microsoft Edge. The most severe of the vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Microsoft Edge. An attacker who successfully exploited these vulnerabilities could gain the same user rights as the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.

MS16-004– Security Update for Microsoft Office to Address Remote Code Execution
Severity: Critical

Affected Software
  • Microsoft Office 2007
  • Microsoft Office 2010
  • Microsoft Office 2013
  • Microsoft Office 2013 RT
  • Microsoft Office for Mac 2011
  • Microsoft Office for Mac 2016
CVE-2016-0012 – ASLR bypass vulnerability
Security Subscription Required: Advanced Behavioral Analysis

Description: This security update resolves vulnerabilities in Microsoft Office. The most severe of the vulnerabilities could allow remote code execution if a user opens a specially crafted Microsoft Office file. An attacker who successfully exploited the vulnerabilities could run arbitrary code in the context of the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.

MS16-005 – Security Update for Windows Kernel-Mode Drivers to Address Remote Code Execution
Severity: Critical

Affected Software
  • Windows RT 8.1
  • Windows Server 2012 R2
  • Windows 8 and Windows 8.1
  • Windows Server 2008 R2
  • Windows 7
  • Windows Server 2008
  • Windows Vista
  • Windows 10
CVE-2016-0008 – Windows GDI32.dll ASLR Bypass Vulnerability
Security Subscription Required: Advanced Behavioral Analysis

Description: This security update resolves vulnerabilities in Microsoft Windows. The more severe of the vulnerabilities could allow remote code execution if an attacker convinces a user to visit a malicious website.

MS16-007 – Security Update for Microsoft Windows to Address Remote Code Execution
Severity: Important

Affected Software
  • Windows RT and Windows RT 8.1
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows 8 and Windows 8.1
  • Windows Server 2008 R2
  • Windows 7
  • Windows Server 2008
  • Windows Vista
  • Windows 10
CVE-2016-0014 – DLL Loading Elevation of Privilege Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0015 – DirectShow Heap Corruption Remote Code Execution Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0016 – DLL Loading Remote Code Execution Vulnerability
Security Subscription Required: Advanced Behavioral Analysis
CVE-2016-0018 – DLL Loading Remote Code Execution Vulnerability
Security Subscription Required: Advanced Behavioral Analysis

Description: This security update resolves vulnerabilities in Microsoft Windows. The most severe of the vulnerabilities could allow remote code execution if an attacker is able to log on to a target system and run a specially crafted application.


www.wecloud.se
info@wecloud.se

måndag 11 januari 2016

Webinarie: Stoppa hoten innan de når ditt nätverk

Hur webbfilter i molnet minimerar riskerna för Cryptolocker och annan ny malware



UPDATE: På grund av stort intresse är webinariet den 2:e februari fullbokat. Vi har satt in ett extra webinarie den 3:e februari. Anmäl dig nedan.

När: Onsdagen den 3:e februari, klockan 14:30
Var: Online

Onsdagen den 3:e februari håller WeCloud ett kostnadsfritt webinarie om hur Webbfilter i molnet minimerar riskerna för Cryptolocker och annan skadlig kod. Under Webinariet får du reda på:
  • Hur webbfilter i molnet fungerar
  • Hur du sätter igång lösningen på 10 minuter
  • Hur du konfigurerar policys för att minimera säkerhetsrisker
  • Hur du enkelt kan analysera verksamhetens surftrafik
  • Affärsmodell, implementation och support
www.wecloud.se
info@wecloud.se