Przez ostatnich kilka miesięcy nowa generacja fałszywego oprogramowania zabezpieczającego (rogue security) trafia na nagłówki artykułów dotyczących zabezpieczeń.
Zagrożenia w takiej postaci zwykle posługują się taktyką, której celem jest wzbudzenie strachu, i która skłania nieświadomych użytkowników do kliknięcia na adres URL prowadzący do szkodliwej witryny lub powodujący pobranie szkodliwego oprogramowania. Może też zachęcić do zakupu oprogramowania, które wydaje się pożyteczne i potrzebne, a w istocie jest szkodliwe.
Kupujemy ze strachu, niepotrzebnie
Tego typu zagrożenia powodują, że użytkownicy kupują niepotrzebne oprogramowanie w celu uniknięcia infekcji. Jak na ironię, tak zwane oprogramowanie zabezpieczające, które użytkownik pobiera, jest w rzeczywistości szkodliwe. Nie zawiera ono prawidłowego kodu programu antywirusowego lub zabezpieczającego przed programami szpiegującymi.
Powrót Nuwara
Część fałszywego oprogramowania zabezpieczającego była aktywna w pierwszej połowie 2008 roku, jednak na większą skalę cyberprzestępcy powrócili do tego rodzaju działalności w lipcu 2008 r. Za jednym z ataków krył się przodek wszystkich botnetów — Storm Worm NUWAR. NUWAR to największy botnet — sieć komputerów (działająca w większości przypadków poza wiedzą ich właścicieli), w której każda maszyna jest kontrolowana przez osobę zarządzającą botnetem z użyciem kodu pobieranego na dane urządzenie. Jednym z głównych zastosowań sieci botnet jest wysyłanie spamu oraz innych zagrożeń za pomocą wiadomości e-mail (firma Trend Micro szacuje, że botnety są obecnie odpowiedzialne za około 90% wysyłanego spamu).
Strach dobrym narzędziem cyberprzestępców
Przestępcy internetowi wykorzystują strach przed infekcją wirusami i oprogramowaniem szpiegującym, wmawiając użytkownikom (niezgodnie z prawdą), że ich komputery zostały zainfekowane, i oferując oprogramowanie zabezpieczające, które umożliwia rozwiązanie tego problemu. Jednakże takie oprogramowanie jest w rzeczywistości szkodliwe! W lipcu w spamie rozsyłanym przez NUWAR znalazło się łącze do darmowego filmu, w którym główną rolę grała Liv Tyler. Po kliknięciu tego łącza było wyświetlane okno informujące użytkownika o wystąpieniu „błędów w zabezpieczeniach” i sugerujące, że komputer został zainfekowany oprogramowaniem szpiegującym.
Znajdowała się tam także informacja o możliwości pobrania pliku o niewinnej nazwie (INSTALL_EN.EXE), który w rzeczywistości był wariantem robaka NUWAR. Pobranie tego pliku powodowało instalację kolejnych rodzajów NUWAR. Pod koniec lipca zanotowano podobne działania, zachęcające do pobrania fałszywego programu antywirusowego (np. kuszące użytkowników filmem z udziałem Angeliny Jolie).
Email, komunikatory, banery i …serwisy społecznościowe
W sierpniu, krótko po opublikowaniu poprawki przez firmę Microsoft, pojawił się spam pochodzący rzekomo od tej firmy, w którym zalecano użytkownikom instalację kolejnej, bardzo ważnej aktualizacji. Jednakże „poprawka” zawierała szkodliwe oprogramowanie — EXPL_ANICMOO.GEN. Był to exploit obecny w sieci już wcześniej.
Nowy rodzaj fałszywego oprogramowania zabezpieczającego rozprzestrzenia się nie tylko poprzez pocztę elektroniczną. W połowie sierpnia firma Trend Micro wykryła łącza do takich programów w aplikacjach komunikatorów oraz w prywatnych wiadomościach w serwisach społecznościowych.
Jak wygląda fałszywka
Jeden z alertów zawierał wyglądający na oficjalny komunikat, który ostrzegał użytkowników, że „w komputerze wykryto wirusy” i informował o dostępności nowej aktualizacji bazy wirusów. Użytkownicy mieli do wyboru opcję „Aktualizuj teraz” lub „Przypomnij później”. Program „Antivirus 2008” wyświetlał przekonującą listę wirusów wykrytych po „przeskanowaniu systemu” użytkownika i zawierał ostrzeżenie „UWAGA! Liczba zainfekowanych plików: 34!!! (WARNING! 34 infections found!!!)”.
Jak działa fałszywka
Program stawiał użytkowników przed trudnym wyborem: „Wyeliminuj teraz wszystkie zagrożenia” czy „Kontynuuj pracę bez ochrony”. Następnie oprogramowanie doradzało wybór „wersji próbnej” jako wystarczającej do usunięcia zagrożeń oraz informowało o konieczności dokonania rejestracji w celu uzyskania pełnej wersji. W rzeczywistości oprogramowanie zawierało różne rodzaje koni trojańskich, z których jeden był wyposażony w zaawansowane funkcje graficzne umożliwiające wprowadzanie kolejnych alarmujących symptomów (np. modyfikację tapety tak, aby wyświetlany był obraz „Niebieskiego ekranu śmierci”).
Więcej o bezpieczeństwie w firmie
