Rosyjscy cyberprzestępcy atakują

Zorganizowana grupa cybeprzestępców rozpowszechnia nowy szkodliwy kod, który korzysta z rootkitów oraz atakuje użytkowników odwiedzających witryny WWW.

Firma iDefense informuje, że niebezpieczny kod to odmiana konia trojańskiego Small Downloader. Za zarażonym komputerze instaluje on dwa pliki chronione rootkitami, zbiera adresy e-mail i przesyła je do zdalnego serwera oraz zaraża formularze odwiedzanych przez użytkownika witryn tak, by zdobyć informacje, które ten do formularzy wprowadza.

„Ataki typu man-in-the-middle są coraz bardziej popularne i coraz bardziej zaawansowane technicznie. Szkodliwy kod zainstalowany na komputerze tak manipuluje oprogramowaniem, by osiągnąć z tego jak największe korzyści” – mówi Ken Dunham z Rapid Response Team for iDefense.

Specjaliści radzą, by zaatakowany komputer przeskanować oprogramowaniem do usuwania rootkitów, zmienić wszystkie przechowywane na nim hasła i nazwy użytkownika oraz skasować konto o nazwie „admineistrator”, które jest tworzone przez szkodliwy kod.

Dunham informuje, że szkodliwy kod łączy się z serwerem w Rosji o adresie IP 81.95.147.107. Należy on do Russian Business Network. Organizacja ta po raz kolejny jest odpowiedzialna za przeprowadzanie ataków. Do ostatniego doszło w styczniu, gdy jej serwery rozsyłały robaka Corpse Spyware Nuclear Grabber/Haxdoor.

Man in the middle to atak polegający na czytaniu i modyfikowaniu komunikacji między dwoma stronami bez ich wiedzy.

Zabezpieczenie przed atakiem:

Komunikacja jest odporna na atak man in the middle, jeśli jedna strona zna klucz publiczny drugiej, lub potrafi go zweryfikować – np. jest on podpisany przez organizację certyfikującą (certification authority).

Można też użyć bardziej egzotycznych zabezpieczeń – takich jak nadanie klucza publicznego na większej ilości kanałów niż atakujący jest w stanie przechwycić.

Źródło: ArcaBit