tisdag 25 april 2017

"Pump & Dump" bakom massiv spamvåg

Under måndagen noterades världen över en topp i mängden spam, så mer än 100 gånger mer spammeddelanden än normalt skickades ut under några timmar. Spammeddelandena tipsade om en Amerikansk aktie som förutspåddes öka i värde de närmsta dagarna.

WeCloud övervakar kontinuerligt spamflödet för tusentals verksamheter och utvecklar löpande nya teknik för att filtrera bort den oönskade e-posten. Den extrema spamvågen noterades av många spamfilter i hela världen och under en kort tid skickades mer än 100 gånger fler spammeddelanden än vid normalt spamflöde. Under topparna utgjorde dessa spam mer än 80% av världens totala spam.


Under måndagen skickades enorma mängder spam ut

Spammedelandena tipsar mottagaren om en förestående aktieaffär, där Pfizer påstås ha lagt ett bud på det börsnoterade företaget Quest Management Inc (QSMG) och att aktiekursen därför kommer stiga med dramatiska 5000% de närmsta dagarna. QSMG är ett Amerikanskt företag som omsätter några tusen dollar i kvartalet.


Trots att spammeddelandet var lögn ökade aktiens kurs kraftigt

Löftet om det förestående uppköpet och dramatiska ökningen av aktiens värde är en lögn, men genom den massiva spam-kampangen har aktien ökat i värde med cirka 40%. Kort innan den massiva spamvågen startade noterades ett köp av 26.000 aktier, troligtvis av den/de som ligger bakom utskicket. Metoden kallas "Pump & Dump" och har använts länge för att manipulera olika aktiekurser.

Klicka på bilden för att läsa den falska aktienyheten

WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.

Läs också:


info@wecloud.se
www.wecloud.se

måndag 24 april 2017

Massiv spamvåg drabbar hela världen

Under måndagen noterade WeClouds tekniker en massiv spamvåg, cirka 100 gånger större volym än normala spamflödet. Skräpposten skickas till största del från botnets och försöker få mottagaren att investera i en aktie som sägs stiga kraftig de närmsta dagarna.



WeClouds tekniker uppmärksammade en massiv spamvåg under måndagen

De ovanligt stora volymerna spam noterades först runt klockan 9 på måndag morgon, för att nå sin topp cirka klockan 10, därefter har volymen minskat något. WeCloud övervakar kontinuerligt spamflödet för tusentals verksamheter och utvecklar löpande nya teknik för att filtrera bort den oönskade e-posten.

Spamvågen innehåller till största del så kallad "aktie-spam"; e-post meddelanden som syftar till att höja eller sänka kursen på en viss aktie. Meddelandet försöker få användaren att tro att denne fått ta del av "insiderinformation" och därmed väljer att investera i aktien som utlovas stiga 30 gånger mot nuvarande pris inom 2-3 dagar. 


"Aktiespam" vill få mottagaren att investera

Den massiva spamvågen skickas från tusentals olika IP-adresser och tros vara en koodrinerat utskick från ett eller flera botnets. Ett botnet är ett nätverk av kapade datorer som infekterats av med skadlig kod. Dessa datorer ansluter till en central nod där de tilldelas uppgifter att utföra, till exempel att skicka ut spam eller utföra DDoS-attacker.


SpamCop visar en dramatisk ökning av spam

Dagens spamvåg är världsomfattande och har uppmärksammats av bl.a. SpamCop som är en av de mest använda svartlistorna som används av många spamfilter för att blockera IP-nummer som gjort sig kända för att skicka ut skräppost.

WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.


Läs också:





info@wecloud.se
www.wecloud.se

tisdag 18 april 2017

Whitepaper: Så läser du och förstår email headers

I ett nytt whitepaper beskriver och förklarar WeCloud e-postheaders. Dokumentet är framtaget för att öka förståelsen runt e-post och vilken roll headers spelar i e-postkommunikationen.




WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.

onsdag 12 april 2017

Falska Dropbox-meddelanden sprider skadlig kod

Efter den senaste tidens attacker som byggde på länkar till den legitima molntjänsten Dropbox dit skadlig kod laddats upp tar nu bedragarna nya tag. I de senaste dagarnas e-postflöde har WeCloud noterat en betydande ökning av falska Dropbox-meddelanden som försöker infektera användaren med ny skadlig kod.

Under mars månad noterade WeCloud flera e-postattacker som innehöll länkar till den legitima molntjänsten Dropbox. Klickade mottagarna på länken hämtades en skriptfil som i sin tur laddade ner olika varianter av Cryptolocker.

Under den senaste veckan har bedragarna bytt strategi. Med falska e-postmeddelanden, som utger sig komma från Dropbox, får mottagaren en notifikation om att någon skickat ett dokument via Dropbox samt en länk för att hämta dokumentet.



I de senaste attackerna leder länken till hackade hemsidor i Tjeckien där ett PHP-skript väntar för att försöka infektera användaren med skadlig kod. De flesta varianter av de förfalskade meddelandena stoppas i nuläget av WeCloud Email Security, och om den skadliga koden laddas hem stoppas den av WeClouds Cloud Antivirus - Webroot Endpoint Protection. 

Destinationerna för länken där den skaldiga filen lagras förändras dock snabbt och nya varianter dyker ständigt upp. Vill du försäkra dig om att skadlig kod inte kan laddas hem rekommenderar WeCloud att att man, utöver e-postfiltrering, även använder en lösning för att skanna innehållet i http och https-trafik.

WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system, oavsett var de kopplat upp sig, genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.

Läs också:

www.wecloud.se
info@wecloud.se

Glöm inte dina oanvända domäner

Under det senaste året har många skandinaviska verksamheter utsatts för anpassade och riktade bedrägeriförsök via e-post. Epost-bedrägerierna utvecklas löpande och som avsändare används ofta domännamn som inte aktivt används av rättmätig ägare.

WeCloud har i flera artiklar förespråkat införandet av SPF-records, en kostnadsfri teknik, som låter omvärlden bekräfta att e-post från en viss domän är skickad från servrar som har rätta att använda domännamnet som avsändare.


Många verksamheter har flera domännamn registrerade, vissa av dem används t.ex. endast för en specifik webbsida, medans andra endast är en kvarleva från ett tidigare företagsnamn. Ofta används endast ett fåtal av de registrerade domännamnen för e-post.

Under de senaste månaderna har WeClouds tekniker noterat en ökning av "förfalskad" e-post som anger oanvända domännamn som avsändare, troligtvis för att de ofta saknar SPF-record.

Om din verksamhet har registrerat domännamn som inte aktivt används för e-post bör du ändå komma ihåg att upprätta SPF-records för dessa domäner. Ett sådant SPF-record kan ange att inga servrar eller IP-nummer ska ha rätt att använda domännamnet som avsändare i e-post och därmed försvåra för bedragarna att utnyttja domännamnet.


Ett SPF-record som talar om för omvärlden att ingen e-post bör accepteras från valt domännamn är mycket enkel att tillföra i DNS, den ser likadan ut oavsett domännamnet.

WeCloud Email Security är en komplett lösning för antispam, säkerhet, validering och hantering av e-post som fungerar på alla plattformar. Modern och innovativ teknik i svenska datacenter säkerställer att lösningen fungerar optimalt för alla typer av verksamheter utan krångliga anpassningar.

Läs också: 

www.wecloud.se
info@wecloud.se

Zscaler skyddar 16 säkerhetshål i Microsofts mjukvaror

Zscaler skyddar 16 nya sårbarheter i Microsoft Outlook, Windows Graphics och Graphics Component, .NET Framework , Windows, Windows Kernel, Microsoft Office, Microsoft Office Services och Web Apps, Microsoft Edge och Internet Explorer.

Som medlem i Microsoft MAPP får Zscaler information om säkerhetsproblem från Microsoft innan de offentliggörs via de månatliga säkerhetsuppdateringarna. Det avancerade skyddslagret i Zscaler används för att blockera zero-day-hot som utnyttjar nyupptäckta sårbarheter.

Zscaler samarbetar med Microsoft via MAPP-programmet och har proaktivt implementerat skydd mot en nyupptäckt sårbarhet som inkluderas i Microsoft security bulletins april 2017. 

CVE-2017-0106 – Microsoft Outlook Remote Code Execution Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 10
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2016
A remote code execution vulnerability exists in the way that Microsoft Outlook parses specially crafted email messages. An attacker who successfully exploited this vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Exploitation of this vulnerability requires that a user open or preview a specially crafted email message with an affected version of Microsoft Outlook. In an email attack scenario, an attacker could exploit the vulnerability by sending a specially crafted email message to the user and then convincing the user to preview or open the email. The update addresses the vulnerability by correcting the way that Microsoft Outlook parses specially crafted email messages.

CVE-2017-0155 – Windows Graphics Elevation of Privilege Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 7
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 Service Pack 2
  • Windows Vista Service Pack 2
An elevation of privilege vulnerability exists in Windows when the Microsoft Graphics Component fails to properly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take control of an affected system. The update addresses this vulnerability by correcting how the Microsoft Graphics Component handles objects in memory.

CVE-2017-0156 – Windows Graphics Component Elevation of Privilege Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 7
  • Windows Server 2008 R2 Systems Service Pack 1
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
An elevation of privilege vulnerability exists in Windows when the Microsoft Graphics Component fails to properly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take control of an affected system. The update addresses this vulnerability by correcting how the Microsoft Graphics Component handles objects in memory.

CVE-2017-0160 – .NET Remote Code Execution Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Microsoft .NET Framework 4.5.2
  • Microsoft .NET Framework 4.6
  • Microsoft .NET Framework 4.6.1
  • Microsoft .NET Framework 4.6.2
  • Microsoft .NET Framework 4.7
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 3.5.1
A remote code execution vulnerability exists when Microsoft .NET Framework fails to properly validate input before loading libraries. An attacker who successfully exploited this vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights. To exploit the vulnerability, an attacker would first need to access the local system with the ability to execute a malicious application. The security update addresses the vulnerability by correcting how .NET validates input on library load.

CVE-2017-0165 – Windows Elevation of Privilege Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
An elevation of privilege vulnerability exists when Microsoft Windows fails to properly sanitize handles in memory. An attacker who successfully exploited the vulnerability could run arbitrary code as System. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit the vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application designed to elevate privileges. The update addresses the vulnerability by correcting how Windows sanitizes handles in memory.

CVE-2017-0167 – Windows Kernel Information Disclosure Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
An information disclosure vulnerability exists when the Windows kernel improperly handles objects in memory. An attacker who successfully exploited this vulnerability could obtain information to further compromise the user’s system. An authenticated attacker could exploit this vulnerability by running a specially crafted application. The update addresses the vulnerability by correcting how the Windows kernel handles objects in memory.

CVE-2017-0188 – Win32k Information Disclosure Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows Server 2012
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
A Win32k information disclosure vulnerability exists when the win32k component improperly provides kernel information. An attacker who successfully exploited the vulnerability could obtain information to further compromise the user’s system. To exploit this vulnerability, an attacker would have to log on to an affected system and run a specially crafted application. The security update addresses the vulnerability by correcting how win32k handles objects in memory.

CVE-2017-0189 – Win32k Elevation of Privilege Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 10
An elevation of privilege vulnerability exists in Windows when the Windows kernel-mode driver fails to properly handle objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take control of an affected system. The update addresses this vulnerability by correcting how the Windows kernel-mode driver handles objects in memory.

CVE-2017-0192 – ATMFD.dll Information Disclosure Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 7 Service Pack 1
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows 2012 R2
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
  • Windows Vista Service Pack 2
  • Windows Server 2008
An information disclosure vulnerability exists in Adobe Type Manager Font Driver (ATMFD.dll) when it fails to properly handle objects in memory. An attacker who successfully exploited the vulnerability could obtain information to further compromise the user’s system. There are multiple ways an attacker could exploit the vulnerability, such as by convincing a user to open a specially crafted document, or by convincing a user to visit an untrusted webpage. The update addresses the vulnerability by correcting how ATMFD.dll handles objects in memory.

CVE-2017-0194 – Microsoft Office Memory Corruption Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Microsoft Outlook 2007 Service Pack 3
  • Microsoft Excel 2010 Service Pack 2
  • Microsoft Office Compatibility Pack Service Pack 2
An information disclosure vulnerability exists when Microsoft Office improperly discloses the contents of its memory. An attacker who exploited the vulnerability could use the information to compromise the user’s computer or data. To exploit the vulnerability, an attacker could craft a special document file and then convince the user to open it. An attacker must know the memory address location where the object was created. The update addresses the vulnerability by changing the way certain functions handle objects in memory.

CVE-2017-0199 – Microsoft Outlook Remote Code Execution Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Windows 7 Service Pack 1
  • Windows Server 2008 R2 Service Pack 1 (Server Core Installation)
  • Windows Server 2008 Service Pack 2 (Server Core installation)
  • Microsoft Office 2007 Service Pack 3
  • Windows Server 2012
  • Microsoft Office 2010 Service Pack 2
  • Microsoft Office 2013 Service Pack 1
  • Microsoft Office 2016
  • Windows Vista Service Pack 2
A remote code execution vulnerability exists in the way that Microsoft Office and WordPad parse specially crafted files. An attacker who successfully exploited this vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Exploitation of this vulnerability requires that a user open or preview a specially crafted file with an affected version of Microsoft Office. In an email attack scenario, an attacker could exploit the vulnerability by sending a specially crafted file to the user and then convincing the user to open the file. The update addresses the vulnerability by correcting the way that Microsoft Office parses specially crafted files, and by enabling API functionality in Windows that Microsoft Office and WordPad will leverage to resolve the identified issue.

CVE-2017-0200 – Microsoft Edge Memory Corruption Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Microsoft Edge on Windows 10 Version 1607
A remote code execution vulnerability exists when Microsoft Edge improperly accesses objects in memory. The vulnerability could corrupt memory in such a way that enables an attacker to execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. An attacker could host a specially crafted website that is designed to exploit the vulnerability through Microsoft Edge, and then convince a user to view the website. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements by adding specially crafted content that could exploit the vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by way of enticement in an email or Instant Messenger message, or by getting them to open an attachment sent through email. The security update addresses the vulnerability by modifying how Microsoft Edge handles objects in memory.

CVE-2017-0201 – Scripting Engine Memory Corruption Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Internet Explorer 9 on Windows Vista Service Pack 2
  • Internet Explorer 9 on Windows Server 2008 for 32-bit Systems Service Pack 2
  • Internet Explorer 9 on Windows Vista x64 Edition Service Pack 2
  • Internet Explorer 9 on Windows Server 2008 for x64-based Systems Service Pack 2
  • Internet Explorer 10 on Windows Server 2012
A remote code execution vulnerability exists in the way that the JScript and VBScript engines render when handling objects in memory in Internet Explorer. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit the vulnerability through Internet Explorer and then convince a user to view the website. An attacker could also embed an ActiveX control marked "safe for initialization" in an application or Microsoft Office document that hosts the IE rendering engine. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements. These websites could contain specially crafted content that could exploit the vulnerability. The update addresses the vulnerability by modifying how the JScript and VBScript scripting engines handle objects in memory.

CVE-2017-0202 – Internet Explorer Memory Corruption Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Internet Explorer 11
A remote code execution vulnerability exists when Internet Explorer improperly accesses objects in memory. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, the attacker could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. An attacker could host a specially crafted website designed to exploit the vulnerability through Internet Explorer and then convince a user to view the website. The attacker could also take advantage of compromised websites, or websites that accept or host user-provided content or advertisements, by adding specially crafted content that could exploit the vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by an enticement in an email or instant message, or by getting them to open an attachment sent through email. The update addresses the vulnerability by modifying how Internet Explorer handles objects in memory.

CVE-2017-0205 – Microsoft Edge Memory Corruption Vulnerability
Severity: Critical
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Microsoft Edge on Windows 10
A remote code execution vulnerability exists when Microsoft Edge improperly accesses objects in memory. The vulnerability could corrupt memory in such a way that enables an attacker to execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. An attacker could host a specially crafted website that is designed to exploit the vulnerability through Microsoft Edge, and then convince a user to view the website. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements by adding specially crafted content that could exploit the vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by way of enticement in an email or Instant Messenger message, or by getting them to open an attachment sent through email. The security update addresses the vulnerability by modifying how Microsoft Edge handles objects in memory.

CVE-2017-0210 – Internet Explorer Elevation of Privilege Vulnerability
Severity: Important
Subscriptions Required
  • Advanced Internet Security
Affected Software
  • Internet Explorer 11
  • Internet Explorer 10 on Windows Server 2012
An elevation of privilege vulnerability exists when Internet Explorer does not properly enforce cross-domain policies, which could allow an attacker to access information from one domain and inject it into another domain. The update addresses the vulnerability by helping to ensure that cross-domain policies are properly enforced in Internet Explorer. In a web-based attack scenario, an attacker could host a website that is used to attempt to exploit the vulnerability. In addition, compromised websites and websites that accept or host user-provided content could contain specially crafted content that could exploit the vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action. For example, an attacker could trick users into clicking a link that takes them to the attacker's site. An attacker who successfully exploited this vulnerability could elevate privileges in affected versions of Internet Explorer. The vulnerability by itself does not allow arbitrary code to be run. However, the vulnerability could be used in conjunction with another vulnerability (for example, a remote code execution vulnerability) that could take advantage of the elevated privileges when running arbitrary code. For example, an attacker could exploit another vulnerability to run arbitrary code through Internet Explorer, but due to the context in which processes are launched by Internet Explorer, the code might be restricted to run at a low integrity level (very limited permissions). However, an attacker could, in turn, exploit this vulnerability to cause the arbitrary code to run at a medium integrity level (permissions of the current user).

WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system, oavsett var de kopplat upp sig, genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.

www.wecloud.se
info@wecloud.se

tisdag 11 april 2017

Ny ransomware för Android kringgår alla antivirusprogram

Zscaler ThreatLabZ har hittat en ny variant av Android Ransomware. Det som gör denna variant speciellt skrämmande är att den varit oupptäckt av alla antivirusprogram som testats mot den. Zscalers undersökning avslöjar flera intressanta resultat.

En av de utsatta apparna kallas 'OK', och det är en av de mest populära ryska sociala nätverksapparna. Den utsatta legitima appen finns tillgänglig på Google Play Store och har installerats mellan 50 miljoner - 100 miljoner gånger. Det är viktigt att notera att OK-appen som finns tillgänglig på Google Play Store är inte skadligt. Lyckligtvis har Zscaler ännu inte sett den nya Ransomwarekoden på Google Play Store, men denna artikel beskriver de tekniker som förbättrar chanserna för payloaden att ta sig in på Google Play Store.

Den nya ransomwarekoden för Android ligger lågt under de första fyra timmarna efter att den infekterat en enhet. På så vis luras användaren att tro att den nyinstallerade appen gör precis det den ska, samtidigt kringgås antivirussystem vid exekveringen av appen.



Efter fyra timmar visas en dialogruta som ber användaren att tillföra en "device administrator". Om användaren väljer "Cancel" visas dialogrutan direkt igen och förhindrar användaren att avinstallera appen. 


Så snart användaren trycker på "Activate-knappen" dyker en låst helskärm upp med uppmaning om att betala en lösensumma. Zscaler har analyserat den skadliga koden för att se om den stjäl data från användaren, men fann inga tecken på att information läckte.

Zscalers analytiker kan också bekräfta att den skadliga koden inte innehåller någon funktion för att återställa den infekterade enheten. Koden innehåller funktioner som meddelar en "Command & Control-server" att enheten är infekterad, men inga funktioner för att bekräfta till angriparen att användaren har betalat lösensumman.


Zscaler beskriver på sin blogg hur infketion av legitima appar automatiserats så att den kan infketera flera legitima appar utan manuell handpåläggning:
Steg 1: "Disassemble" den legitima appen
Steg 2: Lägger till nödvändiga rättigheter; Activity/BroadcastReceiver- poster som krävs för den skadliga koden i filen AndroidManifest.xml
Steg 3: Kopierar nödvändiga bilder och layout-filer till "res directory"
Steg 4: Tillför strängar som används för meddelandet om lösensumman i res\values\strings.xml file
Steg 5: Kopierar skadliga .smali-filer till "smali directory"
Steg 6: "Assemblar" apk, åter-signerar det nu installationsklara paketet.
Genom välkammouflerad kod döljer malware-skaparen syftet med sin kod för att kunna få koden godkänd i Google Play Store:
                                  
Om du drabbats kan du re-boota din enhet i "Safe Mode" vilket inaktiverar alla tredjeparts-applikationer (här beskrivs hur). Ta bort administratörsrättigheterna för den infekterade ransomware-appen och avinstallera därefter appen. Avsluta med en re-boot av din enhet.
Zscaler ThreatLabZ undersöker och analyzerar malware för att öka medvetandet om nya attack-verktorer, metoder och ursprung, och för att ständigt förstärka skyddet för Zscaler-kunder.
Analysen är genomförd av Gaurav Shinde och Viral Gandhi på Zscaler.
WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system, oavsett var de kopplat upp sig eller med vilken typ av enhet, genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.

www.wecloud.se
info@wecloud.se

onsdag 5 april 2017

"Cloud Hopper" attackerar svenska IT-företag

Myndigheten för samhällsskydd och beredskap (MSB) rapporterar om ett omfattande IT-angrepp mot flera företag, bland annat i Sverige. Angreppet har främst riktats mot IT-företag och konsultbolag som hanterar andra företags IT-tjänster.




Ett omfattande cyberangrepp har avslöjats och har fått beteckningen ”Cloud Hopper”. De som ligger bakom angreppet kallas ”APT10”. Enligt MSB:s bedömning kan det avslöjade angreppet utgöra en betydande risk för en bred krets av svenska organisationer. Organisationer som har verksamhet inom områden som är drabbade kan eventuellt få räkna med att det kan komma att krävas relativt omfattande resurser för att identifiera och hantera eventuella intrång.

APT10 har lyckats infektera system genom att lura användare. De har lagt stora resurser på att kartlägga sina mål, organisationer och deras anställda, för att kunna skicka riktade e-postmeddelanden med bifogade anpassade dokument. Syftet är att initialt att få mottagaren att öppna dokument och därmed omedvetet starta skadlig programkod.


Hur många svenska myndigheter och organisationer som varit utsatta är inte känt, inte heller eller i vilken omfattning de drabbats. Men det är känt att Svenska ip-adresser har använts för att koordinera intrången samt hämta hem stulna data.

Läs också:




www.wecloud.se
info@wecloud.se


Webroot Threat Report 2017

Webroot Threat Report 2017 ger en unik insikt i de upptäckter som gjorts av Webroot® Threat Intelligence Platform ur ett globalt perspektiv. Rapporten lyfter fram viktiga trender och risker som kan noterats av Webroot under det senaste året.


Webroot använder avancerad machine learning för att anlysera miljarder internetobjekt och dagliga händelser för att förutsäga var hot kommer visa sig. Med hjälp av enorma mängder data kan Webroot presentera sin nya rapport som bland annat tar upp senaste tidens problem med ransomware och den ständigt ökande mängden skadliga IP-adresser.


Hämta och läs hela rapporten här!

Läs också: