Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Robak 2.0 lub LilyJade w akcji

Siergiej Golowanow
Kaspersky Lab Expert
Dodany 25 maja 2012, 12:11 CEST

Dość rzadko zdarza nam się analizować szkodliwy plik stworzony w formie wieloplatformowej wtyczki dla przeglądarki. Jeszcze rzadziej trafiamy na wtyczki stworzone przy pomocy silników dla wielu przeglądarek. W poście tym przyjrzymy się robakowi rozprzestrzeniającemu się za pośrednictwem Facebooka, który został napisany przy użyciu systemu Crossrider – który nadal znajduje się w fazie testów beta.



Źródło obrazka: http://crossrider.com

Jak to się wszystko zaczęło...

Podczas monitorowania aktywności pewnego botnetu odkryliśmy, że pobierany jest nietypowy instalator. Nawiązywał on połączenie ze stroną http://stats.crossrider.com, posiadał identyfikator aplikacji 4761 oraz instalował aplikacje do foldera PROGRAM FILES pod nazwą “FACEBOOK LILY SYSTEM”. System Crossrider pozwala pisać zunifikowane wtyczki dla przeglądarek Internet Explorer (wersja 7 i nowsze), Mozilla Firefox 3.5 oraz Google Chrome. W omawianym szkodniku wtyczka dla Google Chrome jest najłatwiejsza pod względem analizy – składa się jedynie z dwóch linijek:



Zawartość pliku extension.js zainstalowanego do foldera wtyczek w Google Chromie

Pierwsza linijka ładuje standardowe funkcje iQuery, druga natomiast – główne ciało szkodliwego programu.



Pierwsza linijka ładuje standardowe funkcje iQuery, druga – główne ciało szkodliwego programu.

Główną funkcjonalnością tego szkodliwego programu jest fałszowanie modułów reklamowych w serwisach Yahoo, YouTube, Bing/MSN, AOL, Google oraz Facebook. Ponadto, jego szkodliwa funkcja obejmuje mechanizm rozprzestrzeniania się, który działa za pośrednictwem Facebooka.

Rozprzestrzenianie

Szkodnik ten rozprzestrzenia się poprzez publikowanie wiadomości spamowych ze zhakowanych kont. Za funkcjonalność tę odpowiada następujący kod:



Zawarty w szkodliwym programie kod odpowiedzialny za samodzielne rozprzestrzenianie się

Odsyłacze w wiadomościach spamowych prowadzą do zhakowanych stron, na których ukryte ramki iframe przekierowują użytkowników do zestawu exploitów NuclearPack. W skład tego zestawu wchodzi instalator źródłowy dla tego szkodliwego programu, jak również wtyczki dla przeglądarek.



Fragment kodu zhakowanej strony

Po krótkiej analizie serwera C&C wytropiliśmy osobę sprzedającą ten szkodliwy program online; oprogramowanie zostało wystawione na sprzedaż zaledwie w niedzielę. Jego twórca nadał mu nazwę LilyJade. Cena wynosi 1000 dolarów; dodatkowe 500 dolarów trzeba zapłacić za instalator źródłowy.



Reklama LilyJade na forum hakerskim

Wnioski

Szkodnik ten jest doskonałym przykładem programów z klasy Malware 2.0 opartych na współczesnych technologiach sieciowych, które wykorzystują portale społecznościowe w celu rozprzestrzeniania się i generowania nielegalnych dochodów dla swoich właścicieli poprzez fałszowanie różnych serwisów.

Twórcy systemu Crossrider ogłosili na swojej stronie, że wsparcie API dostępne obecnie dla Facebooka wkrótce będzie również dostępne dla Twittera. Nie mogę się doczekać.