Dodatkowo zespół FortiGuard Labs ujawnił, że pomimo wprowadzania poprawek, atakujący nadal wykorzystują luki w zabezpieczeniach programów Ruby on Rails, Java, Acrobat i Apache.
W ciągu ostatnich siedmiu miesięcy laboratorium odnotowało 30-procentowy wzrost liczby złośliwych programów atakujących urządzenia mobilne. Zespół monitoruje ponad 1 300 nowych próbek dziennie, śledząc ponad 300 unikatowych rodzin złośliwych programów i ponad 250 000 unikatowych złośliwych próbek atakujących system Android.
Bring Your Own Trouble czyli kłopoty na własne życzenie
Trend Bring Your Own Device (BYOD), czyli możliwość korzystania z prywatnych urządzeń do celów zawodowych, przynosi wiele korzyści, m.in. wzrost wydajności pracowników i produktywności całej firmy. Liberalna polityka BYOD wiąże się jednak z zagrożeniami ze strony złośliwego oprogramowania, które w pierwszej kolejności atakuje urządzenie użytkownika, a następnie sieć firmową.
Wszystko zaczęło się od Symbiana
W 2009 r., kiedy systemy iOS i Android były jeszcze nowością, większość złośliwych programów atakowała system operacyjny Symbian. Kodowaniem wielu złośliwych programów zajmowali się programiści z Europy Wschodniej i Chin, czyli z miejsc, w których system Symbian był bardzo popularny.
Rok 2013 zmienił krajobraz zagrożeń mobilnych
Rok 2013 był rokiem gwałtownych zmian w krajobrazie zagrożeń mobilnych. Producenci zaczęli powszechnie korzystać z systemu operacyjnego Android, a na rynku zaroiło się od smartfonów. Urządzenia z systemem Android stały się powszechnie dostępne w niemal każdym przedziale cenowym, od niewiarygodnie tanich, prostych urządzeń po wielofunkcyjne, najnowocześniejsze cuda techniki. Lawinowo rosła też liczba aplikacji rozszerzających funkcjonalność urządzeń mobilnych, a cyberprzestępcy i inni oszuści dostrzegli w tym nową szansę na zyski.Laboratorium FortiGuard alarmuje, że atakujący nadal korzystają z luk w zabezpieczeniach, które miały być naprawione przez najnowsze poprawki wprowadzane w programach Ruby on Rails, Java, Adobe Acrobat i Apache.
Ruby on Rails
W styczniu informowano o przypadkach zdalnego wykonywania kodu na serwerze WWW z wykorzystaniem krytycznej luki w zabezpieczeniach frameworka Ruby on Rails. Ruby on Rails (RoR) to framework do tworzenia aplikacji webowych w języku programowania Ruby. Umożliwia szybkie, proste i przejrzyste wdrażanie witryn internetowych Web 2.0. Framework RoR cieszy się dużą popularnością i wykorzystywany jest do tworzenia setek tysięcy witryn internetowych Problem dodatkowo pogłębia moduł Metasploit, który w zamyśle miał służyć do eksplorowania podatności, lecz może być też wykorzystywany do wyszukiwania serwerów WWW podatnych na atak.
Zdalne wykonywanie kodu Java
W styczniu odkryto atak typu zero-day, omijający środowisko sandbox Java, aby samowolnie wykonać kod Java. Technologia Java jest wszechobecna – różne formy technologii Java instaluje się i uruchamia na większości komputerów. Luka umożliwiała uruchamianie programu Java przez złośliwy aplet z pominięciem środowiska Java sandbox i uzyskanie pełnego dostępu do zaatakowanego komputera.
Ataki wykryto w fazie rozprzestrzeniania i szybko zintegrowano z wieloma popularnymi zestawami do ataków oprogramowania crimeware, takich jak BlackHole, Redkit i Nuclear Pack, a ich nabywcy mogli wykorzystywać eksploita do instalowania złośliwego oprogramowania na komputerach. Powstał też moduł Metasploit, służący do prostego wyszukiwania ofiar na zasadzie „wskaż i kliknij”.
Atak typu zero-day na oprogramowanie Acrobat/Acrobat Reader
W lutym wykryto eksploit dla plików PDF, podszywający się pod formularz tureckiej wizy turystycznej, który wykorzystywał uprzednio niewidoczną lukę w oprogramowaniu Adobe Reader. Eksploit działał we wszystkich najnowszych wersjach Adobe Reader (9.5.X, 10.1.X i 11.0.X) oraz w większości wersji Microsoft Windows, m.in. 64-bitowej Windows 7 i prawie wszystkich systemach Mac OS X. Za pośrednictwem eksploita dla plików PDF cyberprzestępcy instalowali złośliwe oprogramowanie na docelowych komputerach.
Poprawkę Adobe Reader opublikowano 20 lutego, jednak cyberprzestępcy nadal korzystają z przepakowanych wersji eksploita do ataków typu „spear-phishing”. Luki w oprogramowaniu Adobe Reader służą im też jako sposób rozpowszechniania złośliwego oprogramowania wśród użytkowników, którzy nie instalują regularnie wszystkich nowych poprawek.
autor: Jan Petersen/Fortinet
