DAGMA, dystrybutor rozwiązań bezpieczeństwa w Internecie, zaleca ostrożność podczas korzystania z komunikatorów internetowych. Pracownicy DAGMY ujawnili atak spyware dokonany w sieci najpopularniejszego polskiego komunikatora Gadu Gadu. Kliknięcie w link przesłany w komunikatorze powodowało instalowanie się w komputerze szeregu aplikacji spyware i adware.
W ostatnim czasie pracownicy DAGMY podczas korzystania z Internetu sami kilkukrotnie napotkali na przypadki ataków programów spyware z użyciem polskich komunikatorów. Ostatni z przypadków został udokumentowany, by ostrzec użytkowników komunikatorów. Atak miał miejsce we wtorek wieczorem (18 lipca) – z numeru GaduGadu 2516195.
Nieznajoma osoba (prawdopodobnie automat) po krótkim przedstawieniu się przesyłała link z komentarzem „Moje fotki są tutaj.” Mało doświadczony użytkownik decydujący się kliknąć w link powodował załadowanie strony WWW instalującej wrogie oprogramowanie. Strona znajdowała się na serwerze zagranicznym, jednak użytkownik kierowany był na nią za pomocą polskiego aliasu.
Atak rozpoczynał się z wykorzystaniem luki w Internet Explorerze, umożliwiająca pobranie i uruchomienie konia trojańskiego z pominięciem zabezpieczeń. Uruchomiony koń trojański pobierał następnie programy spyware i adware wyłączające standardowy firewall Windows i zmieniające tapetę pulpitu. Następnie uruchamiał się fałszywy program antyspyware. Podczas, gdy niedoświadczony użytkownik zajęty był obserwacją fałszywego programu zabezpieczającego, w tle pobierane były aplikacje adware, mające za zadanie wyświetlanie reklam na komputerze użytkownika.
DAGMA, natychmiast po wykryciu ataku, powiadomiła o tym fakcie wsparcie techniczne Gadu Gadu – firma zareagowało dość szybko blokując możliwość przesyłania niebezpiecznego adresu i podejrzane konto. Ataki najprawdopodobniej wykonywał automat i nie znamy ich ilości.
Korzystanie z polskich komunikatorów jako narzędzi rozpowszechniania spyware pokazuje, iż ataki spyware nie są problemem tylko amerykańskim. Najprawdopodobniej polscy przestępcy coraz częściej stają się zleceniobiorcami zagranicznych hackerów tworzących sieci komputerów rozprzestrzeniających spyware i adware. Użytkownikowi zakażonego komputera wyświetlane są reklamy - właśnie za zdobywanie kolejnych osób, którym można wyświetlać reklamy opłacani są przestępcy rozprzestrzeniający programy spyware i adware.
Najczęściej ataki prowadzone w Polsce prowadzą użytkownika na zagraniczne serwery za pośrednictwem polskich aliasów. W takim przypadku blokowanie przez Gadu Gadu przesyłanego w trakcie ataku adresu strony internetowej jest mało skuteczne – przestępcy zmieniają jedynie alias i kontynuują ataki z nowych numerów.
Udokumentowany przez DAGMĘ atak spyware jest wykrywany przez program NOD32 pod nazwą TrojanDownloader.Agent.AQ. Atak udaremnia również program antyspyware Webroot Spy Sweeper.
- Nigdy nie klikajmy w przesyłane linki, jeśli rozpoczynamy rozmowę z osobą zupełnie nam nieznaną – nawet jeśli wyglądają one bardzo atrakcyjnie – radzi Anna Piechocka, Dyrektor Działu Oprogramowania Dagmy. - Pamiętajmy, iż do zakażenia przez programy spyware wystarczy samo załadowanie niebezpiecznej strony. Wielu użytkowników sądzi, iż dopóki świadomie nie zezwoli na instalowanie programów z nieznanej strony, są bezpieczni – jest to przekonanie błędne. Pamiętajmy, iż nasz komputer może zostać zaatakowany poprzez wykorzystanie luk w zabezpieczeniach przeglądarki mimo, iż nie klikniemy w żaden link na podejrzanej stronie – dodaje Anna Piechocka.
W kilka godzin po wykryciu ataku, kiedy niebezpieczny alias wciąż pozostawał aktywny, pracownicy Dagmy dokładnie udokumentowali przebieg wydarzeń następujący po kliknięciu w link (obecnie link już nie działa).
Film pokazujący co dzieje się w niechronionym komputerze po rozpoczęciu ataku i opatrzony komentarzami DAGMY można obejrzeć na rozwijanym przez firmę wortalu edukacyjnym – Polskim Centrum Antyspyware www.antyspyware.pl
Autor/Źródło: Paweł Jurek
Link: http://www.dagma.pl
|
