Некоторое время назад мы опубликовали блогпост о спам-рассылке, авторы которой использовали новости о недавнем землетрясении в Японии для заражения компьютеров пользователей. Этот пост — продолжение предыдущего, и в нем мы расскажем о примененных злоумышленниками эксплойтах.
Как показал проведенный нами анализ, вредоносные ссылки в спам-сообщениях ведут на сайты, где размещен набор эксплойтов Incognito.
Вот интересная картинка с серверов, на которых хостится набор эксплойтов:
Ниже приведен пример письма из этой спам-рассылки — оно выглядит как сообщение от социальной сети Twitter:
Письмо выглядит как сообщение службы поддержки Twitter («Twitter Support Message») о том, что у пользователя 6 непрочитанных сообщений.
Кроме того, получателю письма предлагается пройти по ссылке, которая якобы ведет на видеоролик о ситуации в запретной зоне атомной электростанции в Фукусиме.
Пройдя по ссылке, пользователь после переадресации попадает на вредоносный веб-сайт, подобный тем, о которых мы писали ранее. Давайте посмотрим, какие эксплойты используются для установки вредоносного кода — различных вариантов троянца-загрузчика Trojan-Downloader.Win32.Codecpack.
Мы внимательно наблюдаем за вредоносными страницами. За 40 часов вредоносные домены, на которых размещены эксплойты, менялись восемь раз. Злоумышленники по-прежнему пытаются заразить пользователей.
В продолжение темы о странице с эксплойтами, затронутой в моем предыдущем блогпосте: после дешифровки обнаруживаются дополнительные эксплойты, используемые для заражения пользователей:
Java Deployment Toolkit: CVE-2010-0886 — апрель 2010 г.
Java Deployment Toolkit осуществляет недостаточную проверку параметров, что делает возможным удаленное выполнение кода (Java Deployment Toolkit Performs Insufficient Validation of Parameters leading to remote code execution).
Уязвимость в механизме проверки обращений к Windows Help and Support Center (Help Center URL Validation Vulnerability): CVE-2010-1885 — июнь 2010 г.
Создается плавающий фрейм (iframe), указывающий на данный эксплойт. На приведенном выше снимке экрана видно, что имеется зашифрованный параметр (размытый текст). После дешифровки получаем следующий код:
Этот код создает VBS-файл, который выполняется для установки вредоносной программы на пользовательскую машину. После эксплуатации уязвимости процесс центра поддержки Windows завершается с помощью утилиты командной строки taskkill (утилиты для завершения процессов из командной строки).
Уязвимость Midi в Java: CVE-2010-0842 — апрель 2010 г.
Беглого взгляда на pap.class достаточно, чтобы понять, какой эксплойт используется:
Если взглянуть на код этого эксплойта в HEX-редакторе, мы получим подтверждение того, какая уязвимость используется (соответствующий код выделен цветом):
Navigation Method Cross-Domain Vulnerability — CAN-2004-0549 (ms04-25)
Это одна из старейших уязвимостей, эксплуатируемых набором Incognito. Она была обнаружена в браузере Internet Explorer в 2004 году. Уязвимость позволяет удаленно выполнять код:
Вредоносные PDF-файлы
В состав наборов эксплойтов часто входят вредоносные PDF-файлы, и набор Incognito – не исключение.
Главная страница набора эксплойтов также создает плавающий фрейм (iframe), указывающий на вредоносный PDF-файл, который использует четыре уязвимости. Он обфусцирован и содержит код на JavaScript, позволяющий эксплуатировать уязвимости. В зависимости от версии Adobe Reader, задействуются следующие эксплойты:
Adobe Reader Collab GetIcon CVE-2009-0927
Adobe Reader util.printf CVE-2008-2992
Adobe Reader newPlayer CVE-2009-4324
Adobe Reader CollectEmailInfo CVE-2007-5659
Какие уроки можно извлечь из этой кампании по рассылке спама, эксплуатирующей новости о японском землетрясении? Многие пользователи по-прежнему не обновляют ПО на своих компьютерах, в особенности сторонние (не системные) приложения. Самый «свежий» эксплойт, входящий в набор Incognito, датируется июнем 2010 года, а самый старый относится к 2004 году.
Хочу повторить свои рекомендации, приведенные в предыдущем посте, поскольку считаю их очень важными.
По опыту мы знаем, что киберпреступники всегда пытаются использовать стихийные бедствия и другие важные события в корыстных целях. Если вы хотите узнать «горячие» новости, настоятельно рекомендуем вам использовать для этой цели известные новостные сайты и никогда не переходить по ссылкам, полученным по электронной почте или через социальные сети.
Кроме того, очень важно своевременно обновлять ПО на своем компьютере— как операционную систему, так и сторонние (не системные) приложения, такие как Java, программы просмотра PDF-файлов, браузеры и т.д.
И, наконец, не забывайте обновлять антивирусное ПО.
«Горячие» новости о землетрясении в Японии, часть 2