1 kwietnia 2015

Casper tym razem naprawdę straszy

Choć Casper to postać znana z bajki, tym razem nie jest dobrym duszkiem. Autorzy zagrożeń Bunny i Babar, których nazwy nawiązują do postaci z kreskówek, a ich celem jest podsłuchiwanie użytkowników, uderzają ponownie. Cyberszpiedzy atakują teraz za pośrednictwem nowego zagrożenia, którego nazwa również nawiązuje do bohatera kreskówki – ducha Casper.

Po raz pierwszy zagrożenie Casper wykryto w połowie kwietnia 2014 roku, kiedy zainfekowało kilka komputerów w Syrii. Cyberprzestępcy zarazili komputery wykorzystując do tego lukę CVE-2014-0515 w aplikacji Adobe Flash. Zagrożenie niezauważenie dla swoich ofiar wydobyło i dostarczyło cyberprzestepcom szczegółowe raporty nt. zainfekowanych maszyn.

Co ciekawe, exploity były hostowane na stronie internetowej należącej do Ministerstwa Sprawiedliwości w Syrii www.jpic.gov.sy i za pomocą tego samego serwera cyberprzestępcy zarządzali tym zagrożeniem. Strona ta została stworzona przez rząd syryjski, aby umożliwić obywatelom wysyłanie próśb o zadośćuczynienie za wyrządzone szkody podczas wojny. Strona nadal działa, ale usunięto z niej zagrożenie. Kto stał za tym atakiem? Nie wiadomo, choć można przypuszczać, że ta aktywność powiązana jest z obecną sytuacją polityczną w Syrii.

Eksperci ESET, opierając się na obserwacji i analizie złośliwego oprogramowania Casper mogą potwierdzić, że kod zagrożenia jest taki sam jak w przypadku Babar i Bunny - wcześniejszych zagrożeń stworzonych przez tych samych cyberprzestępców. Tym razem poszli oni o krok dalej, uzależniając strategię działania zagrożenia Casper w zależności od programu antywirusowego zainstalowanego na komputerze docelowym. Dlatego w momencie rozpoczęcia ataku żaden program zabezpieczający nie był w stanie wykryć złośliwego programu, za wyjątkiem rozwiązań ESET. Identyfikacja zagrożenia możliwa była dzięki ESET LiveGrid, technologii chmurowej, która dzięki informacjom dostarczanym przez użytkowników produktów ESET pozwala błyskawicznie oceniać bezpieczeństwo plików.

Marcin Mazur

Marcin Mazur
senior PR officer

Masz pytania?
Skontaktuj się ze mną:
mazur.m@dagma.pl
32 793 12 48

Podobne wpisy:

Polecane wydarzenia: