Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kampania The Luuuk

Dodany 27 czerwca 2014, 12:02 CEST
Tagi:

Kradzież ponad pół miliona euro w ciągu zaledwie jednego tygodnia – brzmi jak scenariusz filmu rodem z Hollywood. W rzeczywistości pieniądze te zgarnęli organizatorzy oszustwa bankowego pod nazwą The Luuuk za pośrednictwem kampanii Man-in-the-Browser (MITB) wymierzonej w konkretny bank europejski. Skradziona suma została następnie automatycznie przelana na utworzone wcześniej konta tzw. słupów. Gdy zespół GReAT wykrył panel sterowania kampanii The Luuuk, natychmiast skontaktował się z bankiem i rozpoczął dochodzenie.  

20 stycznia 2014 r. Kaspersky Lab wykrył podejrzany serwer zawierający kilka plików dziennika, w tym zdarzenia z botów raportujących do sprawującego kontrolę panelu sieci Web. Wysłane informacje wydawały się mieć związek z oszustwem finansowym; zawierały szczegóły dotyczące ofiar oraz kwoty skradzionych pieniędzy.      

blog_theluuk_01_auto.png
Rysunek 1: Przykład pliku dziennika

Po dalszej analizie znaleźliśmy na serwerze dodatkowe pliki zawierające dzienniki z różną zawartością oraz wskazujące na potencjalnie oszukańcze transakcje bankowe, jak również kod źródłowy w języku JavaScript związany z infrastrukturą C2. Dostarczyły one cennych danych dotyczących zaatakowanego banku jak również innych informacji, takich jak system słupów oraz szczegóły operacyjne oszustwa. 

blog_theluuk_02_auto.png
Rysunek 2: Kod źródłowy panelu sterowania

Po przeanalizowaniu wszystkich dostępnych danych okazało się, że C2 stanowił część infrastruktury trojana bankowego po stronie serwera. Uważamy, że oszustwo zostało przeprowadzone przy użyciu techniki Man-in-the-Browser. Ponadto, w ramach oszustwa dokonano również automatycznych transakcji na utworzone wcześniej konta słupów.  

Postanowiliśmy nadać temu C2 nazwę luuuk od ścieżki panelu administracyjnego wykorzystanej na serwerze: /server/adm/luuuk/

Poniżej znajduje się podsumowanie istotnych informacji pobranych z komponentu po stronie serwera:

  • Około 190 ofiar, w większości zlokalizowanych we Włoszech i Turcji.
  • Oszukańcze transakcje o wartości ponad 500 000 € (według dzienników).
  • Opisy oszukańczych przelewów.
  • Numery IBAN ofiar i słupów.

Panel sterowania był hostowany w domenie uvvya-jqwph.eu, która podczas analizy została rozwiązana do adresu IP 109.169.23.134.   

Celem tej oszukańczej kampanii byli klienci jednego banku. Chociaż nie zdołaliśmy uzyskać szkodliwego kodu wykorzystanego do zainfekowania ofiar, uważamy, że przestępcy wykorzystali trojana bankowego przeprowadzając operacje Man-in-the-Browser w celu uzyskania danych uwierzytelniających swoich ofiar poprzez szkodliwe wstrzykiwanie sieciowe. Z informacji zawartych w niektórych plikach dziennika wynika, że szkodliwe oprogramowanie kradło w czasie rzeczywistym nazwy użytkownika, hasła oraz kody OTP. 

blog_theluuk_03_auto.png
Rysunek 3: Przykład dziennika transakcji.

Tego rodzaju wstrzykiwania są bardzo powszechne we wszystkich wariantach Zeusa (Citadel, SpyEye, IceIX itd.), z których wszystkie są dobrze znane we Włoszech. Podczas dochodzenia nie zdołaliśmy zidentyfikować wektora infekcji, jednak trojany bakowe wykorzystują szereg różnych metod w celu infekowania ofiar, w tym spam oraz ataki typu drive-by download.

Osoby atakujące wykorzystywały skradzione dane uwierzytelniające w celu sprawdzenia salda ofiar oraz wykonywania kilku szkodliwych transakcji w sposób automatyczny, prawdopodobnie działając w tle legalnej sesji bankowej. Zgadza się to z jednym ze szkodliwych artefaktów (serwer VNC), który był związany ze szkodliwym serwerem wykorzystywanym przez osoby atakujące.

Mimo „standardowych” technik wykorzystywanych do kradzieży pieniędzy użytkowników, ciekawostką w tej kampanii jest klasyfikacja słupów wykorzystywanych do transferu skradzionych pieniędzy.

Według logów transakcji, istniały 4 różne grupy tzw. słupów:

  • 13test: Słupy z tej grupy mogą przyjąć od 40 000 do 50 000 euro, niektóre słupy mają jednak inne limity, od 20 000 do 30 000 euro.   
  • 14test: Słupy z tej grupy mogą przyjąć od 15 000 do 20 000 euro, niektóre słupy mają jednak inne limity, od 45 000 do 50 000 euro.   
  • 14smallings: Słupy z tej grupy mogą przyjąć od 2 500 do 3 000 euro,
  • 16smallings: Słupy z tej grupy mogą przyjąć od 1 750 do 2 000 euro, niektóre słupy mają jednak inne limity, od  2 500 do 3 000 euro (podobnie jak w grupie 14smallings).   

 

Taki podział może wskazywać na dobrze zorganizowaną infrastrukturę słupów. Rożne grupy mają różne limity pieniędzy, które mogą być przelane słupom – co wskazuje na poziom zaufania do nich.     

22 stycznia operatorzy panelu sterowania usunęli wszystkie komponenty zawierające poufne informacje, dwa dni po tym, jak rozpoczęło się nasze dochodzenie. Na podstawie aktywności transakcji uważamy, że mogło to być spowodowane zmianą infrastruktury, a nie całkowitym zamknięciem działalności.    

Ponadto, na podstawie aktywności oszukańczych transakcji wykrytej na serwerze oraz kilku dodatkowych wskazówek sądzimy, że stojący za tą operacją przestępcy są bardzo aktywni. Co więcej, stosowali proaktywne działania operacyjne w zakresie bezpieczeństwa, zmieniając taktykę i usuwając ślady w momencie ich wykrycia.    

Kaspersky Lab utrzymuje kontakty z różnymi organami ścigania oraz instytucją finansową, która padła ofiarą opisywanej kampanii, w celu pociągnięcia przestępców do odpowiedzialności.    

Kaspersky Fraud Prevention a the Luuuk

Dowody wykryte przez ekspertów z Kaspersky Lab wskazują na to, że kampania została najprawdopodobniej zorganizowana przez profesjonalnych przestępców. Jednak szkodliwe narzędzia wykorzystywane przez nich do kradzieży pieniędzy mogą być skutecznie zwalczane przy użyciu technologii bezpieczeństwa. Na przykład, Kaspersky Lab opracował Kaspersky Fraud Prevention – wielopoziomową platformę, która ma pomóc organizacjom finansowym chronić swoich klientów przed oszustwami finansowymi online. Platforma ta zawiera komponenty, które chronią urządzenia klientów przed wieloma rodzajami ataków, w tym ataków Man-in-the-Browser, jak również narzędzia, które umożliwiają firmom wykrywanie i blokowanie oszukańczych transakcji.