torsdag 11 augusti 2016

Så utnyttjas OS i Rio för att sprida ransomware

Under några veckor samlas tusentals idrottsmän och fans från hela världen i Rio de Janeiro för ett av världens mest populära idrottsevenemang; de olympiska spelen. Samtidigt lockar OS också cyberbrottslingar och bedragare som utnyttjar OS-relaterade nyheter, händelser, resultat och online-videosändningar. 

På WeCloud övervakar vi ständigt hur cyberbrottslingar utnyttjar nyhetshändelser och events. Under den senaste tiden har flera otäcka attacker som syftar till att infektera användarens dator och nätverk med ransomware och fjärrstyrningsprogram.


Nyligen upptäcktes en OS-relaterad webbsida där det populära JavaScript-biblioteket jquery.js infekterats med en kod som styrde användaren vidare till en host med en infekterad SWF-fil. När filen körs på offrets system hämtas den skadliga koden, krypterad med ett enkelt XOR chiffer. Den skadliga koden bestod i detta fall av den ökända masken Quakbot som, förutom att sprida sig till tillgängliga nätverksenheter, öppnar upp systemet för fjärråtkomst och stjäl information från offrets dator. 



Den skadliga koden installerar sig som en service med namnet "Remote Procedure Call (RPC) Service" för att gömma sig och undgå att upptäckas.

I en annan attack utnyttjades det Sydafrikanska Gymnasticförbundets webbsida för att genom en redirector i ett flashobjekt sprida ransomware-varianten CryptoXXX. Innan offrets filer krypteras försöker CryptoXXX ta bort eventuella shadowcopies som skulle kunna användas för att återskapa förlorade filer.




I bästa fall frågar Windows om användarens tillåtelse innan ett kommandot som raderar Shadowcopes exekveras. Detta är en tydlig varningssignal om att systemet är infekterat med ransomware.

WeCloud utvecklar och distribuerar lösningar för webbsäkerhet, mobil säkerhet, antispam, antivirus och övervakning i molnet. Med WeClouds globala säkerhetsplattform utökas kundens säkerhet utan investeringar i hård- eller mjukvara.

www.wecloud.se

info@wecloud.se