Kyberturvallisuuskeskus on saanut useita ilmoituksia Microsoftin nimissä tehdyistä puhelinhuijauksista. Soittaja väittää olevansa Microsoftin teknisestä tuesta ja kertoo havainneensa haittaohjelmia uhrin koneelta.

Kyberturvallisuuskeskuksen saamien tietojen perusteella Suomessa on havaittu huijauspuheluita suomalaisista liittymistä, joissa soittaja esiintyy Microsoftin teknisen tuen nimissä. Soittaja on kertonut uhrin tietokoneen levittävän viruksia ja on tarjoutunut auttamaan. Havaintojen perusteella soittaja on puhunut englantia. Soittaja on mm. pyytänyt käyttäjää avaamaan verkkosivun www.logmein123.com Windowsin Suorita -toiminnon avulla.

Soittaja pyytää vastaajaa lataamaan etähallintasovelluksen www.logmein123.com -sivuston kautta, jonka jälkeen huijari esittää puhdistavansa olemattomat haittaohjelmat koneelta. Tavoitteena tällaisissa huijauksissa on tyypillisesti myydä jokin sovellus tai palvelu.

Logmein on etähallintatyökaluja tuottava yritys. Verkkosivu logmein123.com, johon huijari pyytää uhria kirjautumaan ei itsessään ole haitallinen. Sivun kautta ladataan uhrin koneelle työkalu, jota huijari käyttää uhrin koneen hallintaan.

Vastaavat puhelinhuijaukset ovat maailmalla yleisiä mutta Suomessa havainnot ovat aiemmin olleet tietojemme mukaan lähinnä yksittäistapauksia.

https://blog.malwarebytes.org/fraud-scam/2013/04/phone-scammers-call-the-wrong-guy-get-mad-and-trash-pc/

Dridex -pankkitroijalaista on levitetty viime päivien ja viikkojen aikana sähköpostikampanjoiden välityksellä.

Kyberturvallisuuskeskuksen saamien tietojen perusteella Suomessakin on havaittu Dridex tartuntoja viime päivinä. Haittaohjelmaa on levitetty haitallisen liitetiedoston sisältävän sähköpostiviestikampanjan avulla. Yleisesti viime aikoina nähdyissä kampanjoissa aiheena on ollut esimerkiksi tilausvahvistus tai lasku. Viestin liitteenä on Office -tiedosto (Word tai Excel), joka avaamisen jälkeen lataa varsinaisen haittaohjelman koneelle.

Tunnistetietoja:

Suomessa havaituissa tapauksissa sähköpostin otsikkotiedoissa on ollut esimerkiksi:

From: ACUVUE_DEL <ship-confirm@acuvue.com>

ja itse haittaohjelma on ladattu mm. seuraavista domaineista:

goalaskatours[.]com, builders-solutions[.]com ja frontiernet[.]net

Miten toimin?

Suhtaudu varauksella tuntemattomilta lähettäjiltä tuleviin sähköpostiviesteihin. Älä klikkaa viestien epäilyttäviä liitteitä tai linkkejä auki. Kyberturvallisuuskeskuksen teema-artikkelista "Älä panikoi, näin pääset eroon haittaohjelmasta" löytyy lisätietoja mm. haittaohjelmatartunnan jälkeisiin toimiin.

Lisätietoa:

https://www.proofpoint.com/us/threat-insight/post/Not-Yet-Dead

http://sanesecurity.blogspot.co.uk/2015/11/acuvuedel-delivery-confirmation.html

https://isc.sans.edu/diary/Botnets spreading Dridex still active/20295

http://www.secureworks.com/cyber-threat-intelligence/threats/dridex-bugat-v5-botnet-takeover-operation/

http://nationalcrimeagency.gov.uk/news/723-uk-internet-users-potential-victims-of-serious-cyber-attack

Älä panikoi, näin pääset eroon haittaohjelmasta

Useat verkkosivut ovat levittäneet haittaohjelmaa PageFair-analytiikkapalvelun tietomurron seurauksena. Verkkosivujen joukossa on myös suosittuja suomalaisia sivustoja.

Verkkosivustoilla käytettävä PageFair-analytiikkapalvelu joutui tietomurron uhriksi 1.11.2015 kello 01:52 suomen aikaa. Hyökkääjät vaihtoivat palvelun asiakkaiden verkkosivuille tarjoaman Javascript-ohjelmakoodin haittaohjelmaa levittävään koodiin. Haitallinen ohjelmakoodi tarjosi kävijälle Adobe Flash Playerin päivitykseksi väitettyä haittaohjelmaa. Käyttäjän on täytynyt itse avata tarjottu adobe_flashplayer_7.exe -tiedosto. PageFair kertoo, että ongelma korjaantui 03:15 suomen aikaa.

Alma Media julkaisi tiedotteen, jonka mukaan heidän tietyissä verkkopalveluissaan on käytetty PageFair-analytiikkapalvelua.

Haitallisen ohjelmakoodin kautta ladattu haittaohjelma on Kyberturvallisuuskeskuksen tietojen mukaan NanoCore RAT, jonka avulla uhrin tietokone saadaan täysin haltuun ja sieltä voidaan varastaa tietoja, kuten käyttäjätunnuksia ja salasanoja. Haittaohjelman käyttämä komentopalvelin on alotpro2.dynu.com ja sen IP-osoite on 45.35.34.148. Haittaohjelma käyttää kommunikointiin TCP porttia 9994. Useimmat antivirustuotteet tunnistavat tämän haittaohjelman.

Verkkosivut käyttävät usein kolmannen osapuolen tarjoamia palveluita, jotka lisäävät sivuille sisältöä, mukaan lukien Javascript-koodia, joka haetaan kolmansilta osapuolilta. Kun kävijä vierailee tällaisella verkkosivuilla, ladataan sivun sisältö usealta eri palvelimelta ja palveluntarjoajalta. Tällöin verkkosivun tietoturva on riippuvainen myös kolmansien osapuolien tietoturvasta.

•  
• http://blog.pagefair.com/2015/halloween-security-breach/
• https://labsblog.f-secure.com/2015/11/02/halloween-rat-nanocore-served-via-pagefair-service/
• http://avain.etuovi.com/tiedote.html
•