Uwaga na komunikatory internetowe

Pracownicy Dagmy ujawnili atak niebezpiecznych programów dokonany w sieci najpopularniejszego polskiego komunikatora Gadu Gadu. Samo kliknięcie w link przesłany w komunikatorze spowodowało zainstalowanie się w komputerze szeregu wrogich aplikacji typu spyware.

W ostatnim czasie pracownicy DAGMY podczas korzystania z Internetu sami kilkukrotnie napotkali na przypadki ataków programów spyware z użyciem polskich komunikatorów. Ostatni ze znanych Dagmie przypadków został udokumentowany, by nagłośnić problem i ostrzec użytkowników komunikatorów. Atak miał miejsce we wtorek wieczorem (18 lipca) – z numeru Gadu Gadu 2516195. Nieznajoma osoba po krótkim przedstawieniu się przesyłała użytkownikom komunikatora link z komentarzem „moje fotki są tutaj”. Kliknięcie przez użytkownika na link powodowało załadowanie strony internetowej instalującej oprogramowanie spyware bez wiedzy i zgody użytkownika. Wykorzystana została luka w Internet Explorerze, umożliwiająca uruchomienie programu z Internetu z pominięciem zabezpieczeń. Uruchomiony koń trojański pobierał następnie kolejne niebezpieczne programy, które wyłączyły standardowe zabezpieczenia systemu Windows (firewall)
, zmieniły tapetę na pulpicie. Następnie uruchamiał się fałszywy program, udający ochronną aplikację antyspyware,
która miała wybawić użytkownika z opresji. Podczas, gdy użytkownik zajęty był obserwacją fałszywego programu zabezpieczającego, w tle pobierane były inne aplikacje, mające za zadanie wyświetlanie reklam na komputerze użytkownika.

Pracownik DAGMY, natychmiast po wykryciu ataku, powiadomił o tym fakcie wsparcie techniczne Gadu Gadu – firma zareagowało dość szybko blokując możliwość przesyłania niebezpiecznego adresu i podejrzane konto. Ataki najprawdopodobniej wykonywał automat i nie znamy ich ilości.

Coraz częstsze korzystanie z polskich komunikatorów jako narzędzi rozpowszechniania spyware pokazuje, iż ataki spyware nie są problemem tylko amerykańskim. Najprawdopodobniej polscy przestępcy coraz częściej stają się zleceniobiorcami zagranicznych hackerów tworzących sieci komputerów rozprzestrzeniających spyware i adware. Użytkownikowi zakażonego komputera wyświetlane są reklamy - właśnie za zdobywanie kolejnych osób, którym można wyświetlać reklamy opłacani są przestępcy rozprzestrzeniający programy spyware i adware. Najczęściej ataki prowadzone w Polsce prowadzą użytkownika na zagraniczne serwery za pośrednictwem polskich stron-pośredników (aliasów). W takim przypadku blokowanie przez Gadu Gadu przesyłanego w trakcie ataku adresu strony internetowej jest mało skuteczne – przestępcy zmieniają jedynie alias i kontynuują ataki z nowych numerów.

Udokumentowany przez DAGMĘ atak spyware jest wykrywany przez program NOD32 pod nazwą TrojanDownloader.Agent.AQ. Atak udaremnia również program antyspyware Webroot Spy Sweeper.

Jak ustrzec się od ataku? - Nigdy nie klikajmy w przesyłane linki, jeśli rozmawiamy z osobą zupełnie nam nieznaną – nawet jeśli wyglądają one bardzo atrakcyjnie – radzi Anna Piechocka, Dyrektor Działu Oprogramowania Dagmy. ­– Pamiętajmy, iż do zakażenia przez programy spyware wystarczy samo załadowanie niebezpiecznej strony. Wielu użytkowników sądzi, iż dopóki świadomie nie zezwoli na instalowanie programów z nieznanej strony, są bezpieczni – jest to przekonanie błędne. Pamiętajmy, iż nasz komputer może zostać zaatakowany poprzez wykorzystanie luk w zabezpieczeniach przeglądarki mimo, iż nie klikniemy w żaden link na podejrzanej stronie – dodaje Anna Piechocka.

W kilka godzin po wykryciu ataku, pracownicy Dagmy dokładnie udokumentowali przebieg wydarzeń następujący po kliknięciu w link (obecnie link już nie działa). Film pokazujący co dzieje się w komputerze po kliknięciu na link i opatrzony komentarzami DAGMY można obejrzeć na stronach rozwijanego przez firmę Polskiego Centrum Antyspyware (www.antyspyware.pl) pod dokładnym adresem: http://www.antyspyware.pl/atak-drive-by-download.php