Gumblar: теперь в комплекте со спамом

С начала августа на адрес нашего японского офиса пришло более 900 спам-сообщений одинакового вида:

Мы заметили, что во всех этих сообщениях присутствуют две характерные черты. Во-первых, все они содержат ссылки, ведущие на взломанные серверы. Во-вторых, файловое название каждой ссылки состоит из английского слова и двух цифр в конце. Ссылки ведут на сайты онлайн-аптек и магазины поддельных часов. Вот скриншот каталога на одном из таких сайтов:

Вы можете спросить: что же тут особенного? Ответ прост: около половины этих ссылок вели на серверы, зараженные gumblar.x.

Первая выделенная красным ссылка ведет на сайт онлайн-аптеки, вторая – на сервер, зараженный gumblar.x.

Таким образом, ни о чем не подозревающий пользователь, пролистывающий каталог онлайн-аптеки, станет жертвой типичной gumblar-атаки, как только нажмет на одну из этих ссылок. Недавний всплеск таких гибридных (совмещенных) атак может означать то, что киберпреступники, до этого медленно, но верно растившие всемирную ботнет-сеть gumblar и всячески старавшиеся остаться незамеченными, теперь решили ее монетизировать. Первые тестовые запуски веб-страниц, содержащих ссылки как на онлайн-аптеки, так и на серверы, зараженные gumblar, наши специалисты отследили еще в апреле 2010 — тогда мы заметили рассылку небольшого количества сообщений такого рода с темами типа «Twitter 61-213» или подобными.

Дальнейшее изучение вовлеченных в атаки серверов показало, что в их корневые каталоги часто был встроен дополнительный вредоносный код. Чаще всего встречался код gumblar.x, реже pegel.* и другой обфусцированный код, содержащий iframe’ы или другие инструменты перенаправления.

Кроме того, практически ВСЕ эти домены содержали в конце файла ссылку на hxxp://nuttypiano.com/*.js.

На таких серверах обращается более 300 различных .js-файлов — их содержимое обфусцировано и аналогично содержанию известных pegel-угроз. Чтобы усложнить работу вирусного аналитика, определенный вредоносный код посылается на конкретный IP-адрес лишь единожды. Тем не менее, нам удалось скачать несколько образцов с одних и тех же адресов и установить структуры полиморфного вида.

Эти образцы ведут на другие, :8080-адреса, которые в свою очередь стремятся загрузить на компьютер-жертву другие вредоносные программы.

Вот краткий список вредоносных сайтов, отсортированный по странам: первым номером идет США, далее Франция, Германия, Турция и Япония. Веб-мастерам зараженных сайтов следует подумать о смене взломанных учетных данных ftp, после чего рекомендуем почистить машины, через которые произошел взлом, и изучить журналы серверов для получения более подробной информации.