Исследование

Находим баги в кампаниях Zeus

Знакомо ли вам такое?

Да, это Zeus (Zbot). Если на вашем компьютере установлены все необходимые обновления, то, кликнув по ссылке, вы не загрузите исполняемый файл: специальный PHP-скрипт на сайте sddghdskfgjr.cz.cc заблокирует его отправку, и вы получите только сообщение об ошибке. Это стандартная фильтрация, которую преступники применяют для защиты от автоматизированного сбора образцов вредоносного ПО антивирусными компаниями.

Для создания сокращенного варианта упомянутого выше адреса в домене .cc злоумышленники использовали два разных сервиса коротких ссылок. Один из них — это http://3cm.kz/. Несмотря на то что это совершенно легитимный сервис, у него странный девиз, очень напоминающий жаргон российских киберпреступников: «Укороти своего зверя»:

Я нашел во вредносном php-скрипте на упомянутом выше ресурсе в домене .cc интересную багу. Если в конце сокращенной ссылки добавить любой спецсимвол, то, даже если все патчи у вас установлены, вы сможете загрузить исполняемый файл. Например, вместо того, чтобы кликнуть по ссылке http://3cm.kz/example, напишите в адресной строке http://3cm.kz/example+ или http://3cm.kz/example* и т.д. Использовав новый спецсимвол, вы снова загрузите вредоносный исполняемый файл. Второй сервис сокращения ссылок, использованный злоумышленниками, — http://shortn.me.

Если посмотреть статистику пользовательских кликов, обнаружится большая разница между первой сокращенной ссылкой и второй:


(по ссылке 3cm – только 24 кликов)


(по ссылке Shortn – 200 кликов)

Не так уж много кликов, но нужно помнить, что речь идет о целевой атаке, причем достаточно успешной. Тут важно не количество, а качество.

С другой стороны, разница в количестве кликов отражает тот факт, что ссылку, сокращенную сервисом Shortnme, киберпреступники используют как общую для нескольких жертв, в то время как короткая ссылка, созданная с помощью сервиса 3Cm, специально подготавливается отдельно для каждой компании-жертвы. Это, по-видимому, дает киберпреступникам возможность точнее отслеживать заражение каждой из компаний-жертв.

В момент загрузки вредоносного образца он детектировался с помощью UDS — «облачного» сервиса «Лаборатории Касперского», а теперь продукты компании детектируют его как Trojan-Spy.Win32.Zbot.bvmv.

Находим баги в кампаниях Zeus

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике