Меню контента Закрыть

Исследование

Находим баги в кампаниях Zeus

Исследование

мин. на чтение

Авторы

Знакомо ли вам такое?

Да, это Zeus (Zbot). Если на вашем компьютере установлены все необходимые обновления, то, кликнув по ссылке, вы не загрузите исполняемый файл: специальный PHP-скрипт на сайте sddghdskfgjr.cz.cc заблокирует его отправку, и вы получите только сообщение об ошибке. Это стандартная фильтрация, которую преступники применяют для защиты от автоматизированного сбора образцов вредоносного ПО антивирусными компаниями.

Для создания сокращенного варианта упомянутого выше адреса в домене .cc злоумышленники использовали два разных сервиса коротких ссылок. Один из них — это http://3cm.kz/. Несмотря на то что это совершенно легитимный сервис, у него странный девиз, очень напоминающий жаргон российских киберпреступников: «Укороти своего зверя»:

Я нашел во вредносном php-скрипте на упомянутом выше ресурсе в домене .cc интересную багу. Если в конце сокращенной ссылки добавить любой спецсимвол, то, даже если все патчи у вас установлены, вы сможете загрузить исполняемый файл. Например, вместо того, чтобы кликнуть по ссылке http://3cm.kz/example, напишите в адресной строке http://3cm.kz/example+ или http://3cm.kz/example* и т.д. Использовав новый спецсимвол, вы снова загрузите вредоносный исполняемый файл. Второй сервис сокращения ссылок, использованный злоумышленниками, — http://shortn.me.

Если посмотреть статистику пользовательских кликов, обнаружится большая разница между первой сокращенной ссылкой и второй:


(по ссылке 3cm – только 24 кликов)


(по ссылке Shortn – 200 кликов)

Не так уж много кликов, но нужно помнить, что речь идет о целевой атаке, причем достаточно успешной. Тут важно не количество, а качество.

С другой стороны, разница в количестве кликов отражает тот факт, что ссылку, сокращенную сервисом Shortnme, киберпреступники используют как общую для нескольких жертв, в то время как короткая ссылка, созданная с помощью сервиса 3Cm, специально подготавливается отдельно для каждой компании-жертвы. Это, по-видимому, дает киберпреступникам возможность точнее отслеживать заражение каждой из компаний-жертв.

В момент загрузки вредоносного образца он детектировался с помощью UDS — «облачного» сервиса «Лаборатории Касперского», а теперь продукты компании детектируют его как Trojan-Spy.Win32.Zbot.bvmv.

Авторы

Находим баги в кампаниях Zeus

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    Техники, тактики и процедуры атак на промышленные компании

    В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

    Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

    В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

    Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

    В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2023.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике