Меню контента Закрыть

Исследование

Находим баги в кампаниях Zeus

Исследование

мин. на чтение

Авторы

Знакомо ли вам такое?

Да, это Zeus (Zbot). Если на вашем компьютере установлены все необходимые обновления, то, кликнув по ссылке, вы не загрузите исполняемый файл: специальный PHP-скрипт на сайте sddghdskfgjr.cz.cc заблокирует его отправку, и вы получите только сообщение об ошибке. Это стандартная фильтрация, которую преступники применяют для защиты от автоматизированного сбора образцов вредоносного ПО антивирусными компаниями.

Для создания сокращенного варианта упомянутого выше адреса в домене .cc злоумышленники использовали два разных сервиса коротких ссылок. Один из них — это http://3cm.kz/. Несмотря на то что это совершенно легитимный сервис, у него странный девиз, очень напоминающий жаргон российских киберпреступников: «Укороти своего зверя»:

Я нашел во вредносном php-скрипте на упомянутом выше ресурсе в домене .cc интересную багу. Если в конце сокращенной ссылки добавить любой спецсимвол, то, даже если все патчи у вас установлены, вы сможете загрузить исполняемый файл. Например, вместо того, чтобы кликнуть по ссылке http://3cm.kz/example, напишите в адресной строке http://3cm.kz/example+ или http://3cm.kz/example* и т.д. Использовав новый спецсимвол, вы снова загрузите вредоносный исполняемый файл. Второй сервис сокращения ссылок, использованный злоумышленниками, — http://shortn.me.

Если посмотреть статистику пользовательских кликов, обнаружится большая разница между первой сокращенной ссылкой и второй:


(по ссылке 3cm – только 24 кликов)


(по ссылке Shortn – 200 кликов)

Не так уж много кликов, но нужно помнить, что речь идет о целевой атаке, причем достаточно успешной. Тут важно не количество, а качество.

С другой стороны, разница в количестве кликов отражает тот факт, что ссылку, сокращенную сервисом Shortnme, киберпреступники используют как общую для нескольких жертв, в то время как короткая ссылка, созданная с помощью сервиса 3Cm, специально подготавливается отдельно для каждой компании-жертвы. Это, по-видимому, дает киберпреступникам возможность точнее отслеживать заражение каждой из компаний-жертв.

В момент загрузки вредоносного образца он детектировался с помощью UDS — «облачного» сервиса «Лаборатории Касперского», а теперь продукты компании детектируют его как Trojan-Spy.Win32.Zbot.bvmv.

Авторы

Находим баги в кампаниях Zeus

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2024.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике