תוכנת הסחיטה קולר פוליס עברה גם למחשבים אישים

יום ה', 31 ביולי 2014
קספרסקי: תוכנת הסחיטה קולר 'פוליס' עברה מהאנדרואיד גם למחשבים אישיים
באפריל 2014 חשפה מעבדת קספרסקי חלקים מקמפיין הסחיטה קולר פוליס (Koler ‘police’), שכוון נגד מכשירי אנדרואיד ברחבי העולם. חלקים אלו כוללים כלים לסחיטה וגביית כופר המבוססים על דפדפנים וחבילת כלי ניצול פרצות. מאז ה- 23 ביולי החלו שרתי הפיקוד והשליטה לשלוח פקודות "הסרה" אל הקורבנות הניידים, אשר הביאו להסרת האפליקציה הזדונית. עם זאת, יתר הרכיבים הזדוניים המכוונים למשתמשי PC – כולל חבילת ניצול הפרצות– עדיין פעילים. מעבדת קספרסקי עוקבת מקרוב אחר הקוד הזדוני, שנחשף לראשונה על ידי חוקר אבטחת המידע המכונה קפאין (Kaffeine). 
 
העבריינים הנמצאים מאחורי המתקפות הפעילו תוכנית יוצאת דופן לסריקת מערכת הקורבנות, במטרה להפעיל כלי סחיטה בהתאם למיקום וסוג המכשיר – נייד או נייח.  תשתית ההפניות הופעלה אחרי שהקורבן ביקר באחד מלפחות 48 אתרי הפורנו הזדוניים ששימשו את הפעילות של קולר. השימוש ברשת פורנוגרפית לצורך גביית דמי כופר אינו מקרי: ישנה סבירות גבוהה יותר כי הקורבנות יחושו אשמה לגבי צפיה בתוכן שכזה וישלמו את ה"קנס".
אתרי פורנו אלה מעבירים את הגולשים אל מערכת מרכזית המשתמשת במערכת הפצת התעבורה Keitaro לצרכי הפניות. הפניות אלו עשויות להוביל לאחד מ- 3 תרחישים זדוניים:
- התקנת כלי הסחיטה קולר לניידים. במקרה של שימוש במכשיר נייד, האתר מכווין את המשתמש לאפליקציה זדונית. אבל המשתמש עדיין צריך לאשר את הורדת והתקנת אפליקציה הנקראת animalporn.apk – שהיא למעשה כלי דמי הכופר קולר. היא חוסמת את המסך של המכשיר הנגוע ודורשת כופר של בין 100 ל- 300 דולר כדי להסיר את החסימה. הקוד הזדוני מציג הודעה מקומית מ"המשטרה" שמגבירה את אמינותה. 
 
- הפניה לאחד מאתרי כלי הסחיטה לדפדפנים. בקר מיוחד בודק האם (1) המשתמש נמצא באחת מ- 30 המדינות המותקפות, (2) המשתמש אינו משתמש אנדרואיד, ו- (3) הבקשה אינה מגיעה מיישום אקספלורר. אם שלושת התנאים מתקיימים, אז המשתמש רואה מסך חסימה זהה לזה של המשתמשים במכשירים ניידים. אין הדבקה במקרה זה, רק מוצג מסך פופ אפ  עם הודעת החסימה. במקרה כזה, המשתמש יכול להסיר את החסימה בקלות באמצעות לחיצה על alt+F4.
 
- הפניה לאתר המכיל את ערכת הפריצה Angler. אם נעשה שימוש בדפדפן אקספלורר, אז מערכת ההפניות שולחת את המשתמש לאתרים המארחים את ערכת הפריצה הכוללת ניצול פרצות ב- Silverlight, אדובי פלאש וג'אווה.  במהלך הניתוח שביצעה מעבדת קספרסקי, קוד הניצול היה פעיל לחלוטין, אך הוא לא העביר מטען זדוני אל המחשב – הדבר יכול להשתנות בעתיד הקרוב. 
 
בהתייחסו אל הממצאים החדשים אודות קולר, אמר ויסנט דיאז, חוקר אבטחה ראשי במעבדת קספרסקי,: "עיקר העניין בקמפיין טמון ברשת ההפצה שהשתמשו בו. עשרות אתרים שנוצרו באןפן אוטומטי הפנו תעבורה אל האב מרכזי באמצעות מערכת הפצה תעבורה שהפנתה את המשתמשים פעם נוספת. אנו מאמינים כי תשתית זו מציגה עד כמה קמפיין זה מאורגן ומסוכן. התוקפים יכולים ליצור במהירות תשתית זהה הודות לאוטומציה מלאה, המשנה את המטען הזדוני ואת משתמשי המטרה. התוקפים גם מצאו מספר דרכים לייצר הכנסות מהקמפיין מול ריבוי מכשירים".
 
מטענים זדוניים ניידים- מספרים
מאז תחילת הקמפיין, מבין כ-200,000 המבקרים בדומיין ההדבקה הנייד רוב המבקרים היו מארה"ב (80% - 146,650(,בריטניה (13,693), אוסטרליה (6,223) קנדה (5,573), ערב הסעודית (1,975) וגרמניה (1,278). 
מעבדת קספרסקי שיתפה בממצאים את היורופול והאינטרפול, וכעת היא משתפת פעולה עם רשויות האכיפה כדי לבחון אפשרויות לסגירת התשתית. 
טיפים למשתמשים – כיצד להישאר מוגנים
 
- זכור כי לעולם לא תקבל הודעת "כופר" מהמשטרה, אז אל תשלם להם
- אל תתקין אף אפליקציה בזמן שאתה גולש ברשת
- אל תבקר באתרים שאתה לא סומך עליהם
- השתמש בפתרון אנטי וירוס אמין
 
הדוח המלא נמצא באתר Securelist.com. נתונים נוספים אפשר למצוא ב-Cyberthreat real-time map