Prim Hírek

Ez a rész egy böngésző alapú zsaroló programot (ransomware-t) és egy kihasználó eszközkészletet tartalmaz. 2014 július 23-a óta a kampány mobil komponensét már leállították: a vezérlő és parancs szerver elkezdett a rosszindulatú alkalmazást törlő „Uninstall” utasítást küldeni a megfertőzött mobil eszközöknek. Ugyanakkor a PC-kre írt többi rosszindulatú komponens – beleértve a kihasználó eszközkészletet – még mindig aktív.

A támadás mögött álló hackerek egy nem szokványos rendszert alkalmaznak az áldozatok gépeinek szkennelésére, és személyre szabott, a tartózkodási helytől, illetve az eszköztípustól – mobil vagy PC – függő zsaroló programot vetnek be. Miután az áldozat meglátogatta a Koler üzemeltetői által használt legalább 48 rosszindulatú pornográf webhely valamelyikét, működésbe lép az átirányító infrastruktúra. Nem véletlen, hogy pornográf hálózatot használnak ennek a zsaroló programnak a terjesztésére: az áldozatok így sokkal inkább éreznek bűntudatot és fizetik meg az állítólagos bírságot a „hatóságoknak”.

Ezek a pornográf webhelyek átirányítják a felhasználókat a Keitaro Traffic Distribution System-et (TDS-t) használó központba, amely ismételten átirányítja őket. Több feltételtől függően ez a második átirányítás három különböző rosszindulatú forgatókönyv megvalósulását eredményezheti:

A Koler mobil zsaroló program telepítése. Mobil eszközzel való látogatás esetén a webhely automatikusan a rosszindulatú alkalmazáshoz irányítja a felhasználót. Azonban a felhasználónak jóvá kell hagynia a valójában a Koler zsaroló programot tartalmazó app letöltését és telepítését. Ezt követően a ransomware blokkolja a megfertőzött eszköz képernyőjét, majd 100 és 300 dollár közé eső összegű váltságdíjat kér a blokkolás feloldásáért. A malware egy, a helyi „rendőrségtől” származó lokalizált üzenetet jelenít meg, hogy a követelést hitelesebbé tegye.

Átirányítás más zsaroló webhelyekre. Egy speciális vezérlő program ellenőrzi, hogy a használt böngészőt az érintett 30 ország valamelyikének nyelvére állították-e be, valamint hogy a felhasználó nem Androidot használ, és azt, hogy a böngésző nem Internet Explorer. Ha mindhárom esetben igen a válasz, a felhasználó egy ugyanolyan blokkoló képernyőt fog látni, mint amit a mobil eszközökön használnak. Azonban ebben esetben nem történik fertőzés, és a felhasználó az Alt-F4 billentyűkombinációval egyszerűen kiléphet a blokkolásból.

Átirányítás egy, az Angler kihasználó eszközkészletet tartalmazó webhelyre. Ha a felhasználó az Internet Explorert futtatja, akkor a kampányban használt átirányítási infrastruktúra a felhasználót az Angler-nek otthont adó webhelyek valamelyikéhez küldi, amely a Silverlight, az Adobe Flash és a Java sérülékenységeit használja ki. A Kaspersky Lab elemzése során a kihasználó kód teljesen működőképes volt, ugyanakkor nem hajtott végre támadásokat, de ez bármikor megváltozhat a közeljövőben.

 

Mobil támadások statisztikája

A mobilokat megfertőző domaineket a kampány kezdete óta meglátogató közel 200 ezer felhasználó túlnyomó többsége (80% – 146 ezer 650) az Egyesült Államokban él. Sok felhasználó érintett még az Egyesült Királyságban (13 ezer 692), Ausztráliában (6223), Kanadában (5573), Szaúd-Arábiában (1975) és Németországban (1278).

A Kaspersky Lab megosztotta kutatási eredményeit mind az Europollal, mind az Interpollal, és jelenleg is együttműködik a rendvédelmi szervekkel az infrastruktúra leállítását eredményező intézkedési lehetőségek kidolgozásában.

Tippek a felhasználóknak – hogyan maradhatnak biztonságban:

Ne felejtsék el, hogy sohasem fognak váltságdíjat követelő hivatalos üzeneteket kapni a rendőrségtől, ezért sose fizessenek;

Ne telepítsenek böngészés közben semmilyen appot;

Ne látogassanak meg olyan webhelyeket, amelyekben nem bíznak;

Használjanak megbízható antivírus megoldást.