«Горячие» новости о землетрясении в Японии, часть 2

Некоторое время назад мы опубликовали блогпост о спам-рассылке, авторы которой использовали новости о недавнем землетрясении в Японии для заражения компьютеров пользователей. Этот пост — продолжение предыдущего, и в нем мы расскажем о примененных злоумышленниками эксплойтах.

Как показал проведенный нами анализ, вредоносные ссылки в спам-сообщениях ведут на сайты, где размещен набор эксплойтов Incognito.

Вот интересная картинка с серверов, на которых хостится набор эксплойтов:

Ниже приведен пример письма из этой спам-рассылки — оно выглядит как сообщение от социальной сети Twitter:

Письмо выглядит как сообщение службы поддержки Twitter («Twitter Support Message») о том, что у пользователя 6 непрочитанных сообщений.

Кроме того, получателю письма предлагается пройти по ссылке, которая якобы ведет на видеоролик о ситуации в запретной зоне атомной электростанции в Фукусиме.

Пройдя по ссылке, пользователь после переадресации попадает на вредоносный веб-сайт, подобный тем, о которых мы писали ранее. Давайте посмотрим, какие эксплойты используются для установки вредоносного кода — различных вариантов троянца-загрузчика Trojan-Downloader.Win32.Codecpack.

Мы внимательно наблюдаем за вредоносными страницами. За 40 часов вредоносные домены, на которых размещены эксплойты, менялись восемь раз. Злоумышленники по-прежнему пытаются заразить пользователей.

В продолжение темы о странице с эксплойтами, затронутой в моем предыдущем блогпосте: после дешифровки обнаруживаются дополнительные эксплойты, используемые для заражения пользователей:

Java Deployment Toolkit: CVE-2010-0886 — апрель 2010 г.

Java Deployment Toolkit осуществляет недостаточную проверку параметров, что делает возможным удаленное выполнение кода (Java Deployment Toolkit Performs Insufficient Validation of Parameters leading to remote code execution).

Уязвимость в механизме проверки обращений к Windows Help and Support Center (Help Center URL Validation Vulnerability): CVE-2010-1885 — июнь 2010 г.

Создается плавающий фрейм (iframe), указывающий на данный эксплойт. На приведенном выше снимке экрана видно, что имеется зашифрованный параметр (размытый текст). После дешифровки получаем следующий код:

Этот код создает VBS-файл, который выполняется для установки вредоносной программы на пользовательскую машину. После эксплуатации уязвимости процесс центра поддержки Windows завершается с помощью утилиты командной строки taskkill (утилиты для завершения процессов из командной строки).

Уязвимость Midi в Java: CVE-2010-0842 — апрель 2010 г.

Беглого взгляда на pap.class достаточно, чтобы понять, какой эксплойт используется:

Если взглянуть на код этого эксплойта в HEX-редакторе, мы получим подтверждение того, какая уязвимость используется (соответствующий код выделен цветом):

Navigation Method Cross-Domain Vulnerability — CAN-2004-0549 (ms04-25)

Это одна из старейших уязвимостей, эксплуатируемых набором Incognito. Она была обнаружена в браузере Internet Explorer в 2004 году. Уязвимость позволяет удаленно выполнять код:

Вредоносные PDF-файлы

В состав наборов эксплойтов часто входят вредоносные PDF-файлы, и набор Incognito – не исключение.

Главная страница набора эксплойтов также создает плавающий фрейм (iframe), указывающий на вредоносный PDF-файл, который использует четыре уязвимости. Он обфусцирован и содержит код на JavaScript, позволяющий эксплуатировать уязвимости. В зависимости от версии Adobe Reader, задействуются следующие эксплойты:

Adobe Reader Collab GetIcon CVE-2009-0927

Adobe Reader util.printf CVE-2008-2992

Adobe Reader newPlayer CVE-2009-4324

Adobe Reader CollectEmailInfo CVE-2007-5659

Какие уроки можно извлечь из этой кампании по рассылке спама, эксплуатирующей новости о японском землетрясении? Многие пользователи по-прежнему не обновляют ПО на своих компьютерах, в особенности сторонние (не системные) приложения. Самый «свежий» эксплойт, входящий в набор Incognito, датируется июнем 2010 года, а самый старый относится к 2004 году.

Хочу повторить свои рекомендации, приведенные в предыдущем посте, поскольку считаю их очень важными.

По опыту мы знаем, что киберпреступники всегда пытаются использовать стихийные бедствия и другие важные события в корыстных целях. Если вы хотите узнать «горячие» новости, настоятельно рекомендуем вам использовать для этой цели известные новостные сайты и никогда не переходить по ссылкам, полученным по электронной почте или через социальные сети.

Кроме того, очень важно своевременно обновлять ПО на своем компьютере— как операционную систему, так и сторонние (не системные) приложения, такие как Java, программы просмотра PDF-файлов, браузеры и т.д.

И, наконец, не забывайте обновлять антивирусное ПО.