Исследование

Эволюция вредоносного ПО в Бразилии

Смотрите полную версию статьи (англ.)

Вредоносное ПО в Бразилии продолжает развиваться, а киберпреступники становятся все более профессиональными. Мы хотели бы показать, как меняются используемые ими технологии, становясь все более и более сложными. В целом можно наблюдать, что бразильские киберпреступники совершенствуют свои технологии с целью увеличить время активности вредоносных программ, равно как и свои доходы.

Некоторое время назад детектирование и анализ бразильских вредоносных программ не занимал много времени, поскольку при их создании не использовалась обфускация, антиотладочные приемы, шифрование, а для коммуникации использовался только открытый текст. Код обычно писался на Delphi и Visual Basic 6 и содержал множество больших картинок, так что файлы получались громоздкие. Обработка исключений была плохая, и процесс очень часто завершался аварийно.

Сегодня ситуация стала другой: теперь киберпреступники вкладывают время и деньги на разработку решений, в которых вредоносный функционал полностью скрыт обфускацией и защитой кода. Наряду с Delphi и Visual Basic, они стали использовать и другие языки, такие как .NET, а качество кода заметно выросло, из чего мы сделали вывод, что написание вирусов в Бразилии перешло на новый уровень.

Какие зловреды мы находили раньше

Клавиатурные шпионы

Ранние образцы вредоносного ПО, используемые для кражи у пользователей банковской информации, являлись простыми клавиатурными шпионами, чаще всего на основе общедоступного кода, в который вносились небольшие изменения, чтобы фиксировать нажатия клавиш только в определенных ситуациях. В то время этого было достаточно, потому что на веб-сайтах не использовалось никакой защиты от этого вида угроз.

Фишинговые троянцы

Когда банки на своих сайтах ввели использование виртуальной клавиатуры, клавиатурные шпионы стали неэффективными. Чтобы обойти такую защиту, бразильские киберпреступники стали разрабатывать программы-шпионы для отслеживания движений мыши, а затем фишинговые троянцы. Код зловредов никак не шифровался и не кодировался, что упрощало анализ.

Файл hosts

Чтобы красть информацию и при этом не делать простым распознавание фишингового троянца, злоумышленники стали перенаправлять пользователей на вредоносные веб-страницы, внося для этого изменения в файл hosts так, чтобы доменные имена банковских сайтов сопоставлялись с IP-адресами серверов злоумышленников, а не самих банков. Таким образом, после заражения пользователь будет продолжать считать, что все работает «как надо», что повышает вероятность проведения успешной атаки.

Антируткит

На этом этапе киберпреступники стали понимать, что антивирусные решения и плагины, которые повышают уровень безопасности интернет-банкинга, усложняют им жизнь. Тогда они стали отключать защитные решения на атакуемом компьютере до запуска вредоносного функционала, повышая таким образом свои шансы на успех и увеличивая жизненный цикл вредоносной программы на зараженной машине.

Вредоносный загрузчик ОС

После использования антируткитов бразильские киберпреступники пошли дальше и начали разрабатывать собственные вредоносные загрузчики ОС, узко заточенные на отключение защитных решений на атакуемом компьютере. Вредоносный загрузчик ОС устанавливает на компьютере вредоносные файлы и перезагружает его. После перезагрузки вредоносный загрузчик может при необходимости удалять файлы из системы.

Каковы зловреды сегодня

Автоматизация

Большинство банков использовали идентификацию компьютеров, чтобы предотвращать попытки совершения операций с использованием краденой информации. Для обхода этой защиты киберпреступники стали выполнять вредоносные операции с зараженной машины, используя автоматизацию Internet Explorer (ранее OLE Automation) для взаимодействия с контентом страницы.

Этот тип атак был впервые опробован в DLL-модулях Browser Helper Object, которые могут распознавать транзакции и подменять номер счета, на который осуществляется перевод, так что в результате деньги отправляются на счет мошенников, а не на изначальный счет получателя. Позже этот метод широко использовался в атаках на платежную систему Boleto, в которых автоматизация использовалась для подмены вводимого штрих-кода на вредоносный.

В тех образцах, которые попали к нам в руки, наряду с этим методом, мы отметили применение следующих вредоносных приемов: обфускация строк, распознавание отладчика и распознавание виртуальной машины, а это значит, что они детектируются сложнее, чем атаки с использованием фишинговых троянцев и подмены файла hosts.

Обфускация кода и упаковка кода при помощи RunPE

В поиске новых способов обхода детектирования бразильские киберпреступники стали прибегать к обфускации, чтобы скрыть фрагменты кода, несущего основной вредоносный потенциал. Было ясно, что киберпреступники уже полностью перешли от кода уровня начинающих к гораздо более профессиональным разработкам, так что и нам пришлось обновить алгоритм анализа вредоносных программ из Бразилии. Мы уверены, что такая эволюция стала возможна благодаря контакту и обмену опытом с вирусописателями из других регионов, в первую очередь из Восточной Европы, – подробнее см. эту статью.

Протектор на AutoIt

Сейчас AutoIt широко используется в качестве загрузчика и расшифровальщика, чтобы обеспечить основному вредоносному функционалу обход детектирования. После компиляции скрипт AutoIt подвергается шифрованию и вставляется в сгенерированный двоичный файл, так что для анализа кода первоначального скрипта требуется вначале его извлечь.

Стремясь найти лучший способ сокрытия основного вредоносного функционала, бразильские киберпреступники разработали новый протектор при помощи языка AutoIt, при этом расшифрованный вредоносный код исполняется при помощи технологии RunPE.

sh_1_ru

Последовательность исполнения шифровальщика AutoIt

В расшифровальщике используются два разных метода хранения зашифрованного файла. Первый метод использует функцию FileInstall, которая уже существует в AutoIT, а второй заключается во внедрении файла в конец двоичного файла.

Использование AutoIt для создания вредоносных программ не является чем-то новым. Тем не менее, в середине 2014 года мы наблюдали в Бразилии заметный рост числа вредоносных программ, созданных при помощи AutoIt.

База данных MSIL

Еще одним недавним событием стало появление вредоносных программ, написанных, не на Visual Basic 6.0 и Delphi, а на .NET — в соответствии с тенденцией, которую мы наблюдаем во всем мире. Найти загрузчик, написанный на .NET, несложно.

Протектор MSIL

Следуя тому же методу, что был применен в протекторе AutoIt, злоумышленники разработали еще один протектор, на этот раз написанный на языке .NET. Процесс извлечения реального исполняемого кода почти такой же, как в расшифровальщике AutoIt, за тем исключением, что в нем есть промежуточный модуль, который отвечает за извлечение конечного вредоносного кода.

При анализе главного модуля мы видим .NET-код на, а основной функцией этого главного модуля является извлечение и загрузка внедренной DLL-библиотеки.

sh_2_ru

Последовательность выполнения шифровальщика .NET

Троянец удаленного доступа (RAT)

Стремясь уменьшить потери, возникающие в результате кибератак, банки внедрили для банковских транзакций, совершаемых онлайн, двухфакторную аутентификацию, включающую USB-ключ и подтверждение через SMS – в дополнение к уже действующим решениям, таким как идентификация компьютера, с которого производится транзакция. В ответ на это киберпреступники создали инструмент удаленного администрирования, специально созданный для запрашивания информации, необходимой для обработки транзакций, совершаемых через интернет-банкинг.

sh_3_ru

Последовательность выполнения RAT

Модуль слежения за браузером наблюдает за браузером пользователя и отслеживает, не обращается ли он к какому-либо банку из числа целевых. В случае такого обращения модуль распаковывает и исполняет клиент RAT (RAT Client) и сообщает на командный сервер о новом заражении. Клиент RAT соединяется с сервером и сообщает злоумышленнику, что новая жертва обращается к системе интернет-банкинга. После этого можно провести атаку в режиме реального времени. Когда пользователь уже авторизовался, злоумышленник может видеть пользовательский экран, заблокировать его и контролировать исполнение, а также запрашивать конкретную информацию, которая поможет ему украсть данные учетной записи.

Программы-вымогатели

Бразильские киберпреступники не только работают с банковскими зловредами — они исследуют другие виды атак, в которых задействованы программы-вымогатели. Несколько лет назад мы обнаружили шифровальщик TorLocker; некоторые элементы в коде зловреда позволяют предположить, что его разработчик – из Бразилии.

Несколько месяцев назад мы обнаружили еще одну программу-вымогателя, основанную на исходном коде Hidden Tear, который был модифицирован, чтобы целиться на бразильских пользователей, – оригинальный код вредоносной программы был направлен на англо- и японоязычных пользователей.

Причины эволюции

Мы располагаем достаточными свидетельствами о том, что бразильские киберпреступники сотрудничают с «коллегами» из Восточной Европы, которые имеют отношение к ZeuS, SpyEye и прочим вредоносным программам, создаваемым в этом регионе. Данное сотрудничество напрямую влияет на качество вредоносных программ, создаваемых в Бразилии, и уровень исходящей от них опасности, поскольку киберпреступники вдохновляются идеями своих коллег из Восточной Европы, реализуют в своих разработках новые технологии и внедряют в них некоторые функции, имеющие восточноевропейское происхождение. Бразильские киберпреступники не только повышают качество создаваемого ими вредоносного кода, но и используют зарубежную киберпреступную инфраструктуру.

Признаки такого «партнерства» мы впервые заметили при анализе вредоносных программ, использующих вредоносные PAC-скрипты. Этот метод широко использовался создателями вредоносного ПО в Бразилии с 2011 года, а затем он был использован в российском банковском троянце Capper. Сотрудничество продолжилось, когда бразильские киберпреступники стали использовать инфраструктуру банковских троянцев из Восточной Европы: троянец Trojan-Downloader.Win32.Crishi был первым, в котором использовались домены, имена которых генерировались автоматически при помощи алгоритма DGA (Domain Generation Algorithm). Домены размещались на абьюзоустойчивых украинских серверах. Во вредоносных программах, направленных против национальной платежной системы Boleto, стал широко использоваться метод Fast Flux, который позволяет скрыть местоположение реального командного сервера, и в конечном итоге помогает защитить его от отключения командных серверов. Мы наблюдали это в доменах bagaça (в португальском «выжимки», «жмых»), которые были зарегистрированы при помощи анонимных сервисов и на которых размещалось криминальное вредоносное ПО и зловреды, направленные на Boleto; и для каждого запроса резолвился новый IP-адрес.

malware_evo_ru_4

Домены «bagaça»: технология Fast Flux и абьюзоустойчивый хостинг из Восточной Европы

Еще один заметный показатель сотрудничества – постоянное присутствие бразильских киберпреступников на российских и восточно-европейских подпольных форумах. Не редкость встретить на российских подпольных форумах бразильских вирусописателей, которые ищут новые образцы зловредов, покупают новое криминальное вредоносное ПО, зловреды для банкоматов или PoS-терминалов или предлагают свои услуги. Результаты этого сотрудничества можно видеть в новых технологиях, которые бразильские киберпреступники применяют в своем вредоносном ПО.

malware_evo_ru_5

Киберпреступник-вирусописатель из Бразилии, автор TorLocker, обговаривающий условия сделки на российском подпольном форуме

Приведенные факты говорят о том, что бразильские киберпреступники начинают применять новые методы в результате сотрудничества со своими европейскими «коллегами». Мы полагаем, что это всего лишь вершина айсберга – со временем сотрудничество будет расширяться по мере того, как киберпреступность в Бразилии будет развиваться и стараться найти новые способы проведения атак против компаний и обычных людей.

Заключение

Киберпреступность в Бразилии за последние несколько лет претерпела значительные изменения; вредоносное ПО поднялось с уровня простых клавиатурных шпионов до продвинутых инструментов удаленного администрирования, с помощью которых можно полностью провести атаку с использованием компьютера-жертвы.

Вредоносное ПО, которое раньше сразу после запуска показывало пользователю фишинговое окно, сейчас действует реактивно – чтобы начать работу, ему нужно дождаться подходящей сессии.

Эти изменения означают, что киберпреступники теперь тратят гораздо больше времени и денег на совершенствование вредоносного кода, улучшая антиотладочные технологии, так что в результате их вредоносные программы остаются необнаруженными и работают гораздо дольше.

Нам известно, что бразильские киберпреступники поддерживают контакт с «коллегами» из Восточной Европы, в первую очередь из России, с которыми они обмениваются информацией, исходным кодом вредоносных программ и сервисами, которые могут использоваться для проведения вредоносных атак в Бразилии. Во многих случаях вредоносные программы, применяемые в Бразилии, ранее использовались в России, и наоборот, техники, разработанные бразильским киберкриминалом, позже применялись в атаках в России.

Исходя из всего этого, можно ожидать созданные в Бразилии вредоносные программы с усовершенствованной обфускацией кода, антиотладочными приемами, алгоритмами шифрования и защищенными каналами коммуникации, что значительно усложнит нашу работу.

Эволюция вредоносного ПО в Бразилии

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике