PACCA - nowe złośliwe oprogramowanie

Uważaj na nowy rodzaj złośliwego oprogramowania! Atak ukierunkowany jest między innymi na platformy bankowości elektronicznej w Polsce.

PACCA - nowe złośliwe oprogramowanie

Uważaj na nowy rodzaj złośliwego oprogramowania! Podczas codziennego monitoringu zagrożeń wykryliśmy szkodliwe oprogramowanie, które wprowadza zmiany w ustawieniach globalnych serwera proxy. W ataku wykorzystywane jest złośliwe ustawienie Proxy AutoConfig oraz niepożądany urząd certyfikacji. Zachowaj szczególną ostrożność, ponieważ atak ukierunkowany jest między innymi na platformy bankowości elektronicznej w Polsce.

Analiza zawartości pliku PAC ujawniła, iż znajduje się w nim definicja przekierowania do serwera proxy podczas próby połączenia się z adresem strony internetowej, która spełnia warunek ataku. W przypadku próby otwarcia strony internetowej, która nie jest objęta definicjami ataku, w pliku PAC następuje bezpośrednie połączenie do żądanego serwera (bez udziału w komunikacji proxy przestępców).

Zmiany ustawień automatycznej konfiguracji serwera proxy
LAN

Przestępcy, gdy już przekierują oryginalną stronę do własnego serwera, muszą zagwarantować autentyczność certyfikatu SSL, po to, aby uniknąć wykrycia podczas ataku. Malware dodaje złośliwy certyfikat do zaufanych urzędów certyfikacji. W ten właśnie sposób przestępcy mogą wystawiać własne certyfikaty do wybranych przez siebie domen internetowych.

certyfikat

Złośliwy certyfikat urzędu certyfikacji podszywa się pod inny urząd o nazwie GeoTrust Inc CA. Podczas dodawania go do zaufanych urzędów certyfikacji, system wyświetla użytkownikowi ostrzeżenie. Jednak malware błyskawicznie odnajduje wyświetlone okno z komunikatem i automatycznie „klika” przycisk TAK.

Urz-d

Przygotowując atak, przestępcy tworzą kopię oryginalnej strony, a następnie specjalnie ją przystosowują. Technika ataku z przekierowaniem proxy oraz instalacją własnego urzędu certyfikacji jest bardzo zbliżona do ataku webfake.

Symptomy zainstalowanego złośliwego urzędu certyfikacji
Podczas korzystania ze stron internetowych zabezpieczonych certyfikatem SSL (wyświetla się wówczas ikona kłódki), należy zwracać szczególną uwagę na certyfikat SSL, którym przedstawia się dana strona internetowa. Poniżej znajdują się przykłady, które uwidaczniają znaczne różnice pomiędzy zaufanym certyfikatem, a certyfikatem jaki wystawiają cyberprzestępcy.

certyfikat_falszywy_vs_prawidlowy

Jak możemy zauważyć na przykładach powyżej, najważniejszą różnicą jest brak identyfikacji właściciela strony. Przeglądarki informują o właścicielu poprzez wyświetlenie jego nazwy w dodatkowym polu przy adresie strony, np. na zielonym pasku. Certyfikat wystawiony przez przestępców nie informuje o nazwie organizacji (podmiotu), dla którego został wystawiony.

Instrukcja wyłączenia złośliwych ustawień proxy
W celu usunięcia złośliwego przekierowania proxy należy wykonać następujące czynności.

instrukcja

Krok 1
Uruchom przeglądarkę internetową Internet Explorer.

Krok 2
Kliknij przycisk Narzędzia, a następnie wybierz pozycję Opcje internetowe.

Krok 3
W nowo wyświetlonym oknie wybierz zakładkę Połączenia, a następnie kliknij przycisk Ustawienia sieci LAN.

Krok 4
Jeśli zaznaczona jest opcja Użyj skryptu automatycznej konfiguracji oraz w polu Adres widnieje adres "hxxp://piterame.com/..." (lub podobny) należy przystąpić do kolejnego kroku. W innym przypadku przejdź do kroku 7.

Krok 5
Wyczyść pole Adres, a następnie wyłącz opcję Użyj skryptu automatycznej konfiguracji.

Krok 6
Wykonane zmiany zatwierdź przyciskiem OK.

Krok 7
Zamknij otwarte wcześniej okna.

Instrukcja weryfikacji oraz usuwania niezaufanego certyfikatu
W celu usunięcia niezaufanego certyfikatu należy wykonać czynności, które zostały opisane
w 15 krokach.

UWAGA! Podczas wykonywania wymienionych poniżej kroków należy zachować szczególną ostrożność, aby nie usunąć poprawnego certyfikatu.

instrukcja_weryfikacji

Krok 1
Uruchom przeglądarkę internetową Internet Explorer.

Krok 2
Kliknij przycisk Narzędzia, a następnie wybierz pozycję Opcje internetowe.

Krok 3
W nowo wyświetlonym oknie wybierz zakładkę Zawartość, a następnie kliknij w przycisk Certyfikaty.

Krok 5
Następnie należy wybrać zakładkę Zaufane główne urzędy certyfikacji.

Krok 6
Na wyświetlonej poniżej liście sprawdź czy znajduje się na niej pozycja, która w drugiej kolumnie jest opisana jako "GeoTrust Inc CA", a data wygaśnięcia (3 kolumna) to 2019-01-03.
Jeżeli stwierdzisz, że masz zainstalowany taki urząd certyfikacji należy skontaktować się z bankiem.

UWAGA! Dalsze kroki mogą być wyłącznie wykonywane przez osobę posiadającą odpowiednie kwalifikacje.

Krok 7
W oknie Certyfikaty wybierz odnaleziony certyfikat opisany jako "GeoTrust Inc CA", a następnie kliknij przycisk Wyświetl.

Krok 8
W nowo otwartym oknie wybierz zakładkę Szczegóły.

Krok 9
Na wyświetlonej liście wybierz lewym przyciskiem myszy pole Odcisk palca.

Krok 10
Poniżej wyświetlona została wartość. Jeśli jest ona następująca: "a9 75 3d c5 15 d3 0d 1d 04 8f 33 76 5b 95 c1 05 eb 58 a4 03" przystępujemy do następnego kroku. W przeciwnym wypadku odstępujemy od dalszych czynności i zamykamy otwarte wcześniej okna.

Krok 11
Zamknij okno o nazwie Certyfikat i upewnij się, że w zakładce Zaufane główne urzędy certyfikacji jest zaznaczony odpowiedni certyfikat.

Krok 12
Kliknij przycisk Usuń, a następnie zatwierdź wybór przyciskiem Tak.

Krok 13
Należy sprawdzić, czy certyfikat wystawiony dla "GeoTrust Inc CA" o podanym wyżej odcisku palca nie znajduje się już na liście.

Krok 14
Zamykamy otwarte wcześniej okna.

Krok 15
Uruchom ponownie przeglądarkę internetową przed ponownym logowaniem do strony internetowej, która miała niepoprawny certyfikat SSL.

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.