Trojan.Win32.Qhost против Banamex

В ночь с 19 на 20 февраля 2008 на мексиканские электронные адреса стали приходить письма, похожие на стандартные сообщения сервиса поздравительных открыток TarjetasNico.

Конечно же, эти письма были поддельными. Ссылки, содержащиеся в них, вели на веб-страницу, не имеющую никакого отношения к реальному сервису. При переходе по любой из ссылок в теле письма пользователь перенаправлялся на сайт http://72.9.145.130/~rockybob/.

На нем выполнялся специальный PHP-скрипт, который производил автоматическую загрузку с другого сайта — http://www.subterraneos.net/ — вредоносного файла TarjetasNico.exe.

Интересно отметить, что на странице, с которой производилась непосредственная загрузка троянца на ПК ничего не подозревающего пользователя, находилось сообщение от администратора, гласившее, что сайт был атакован менее 48 часов назад и что некоторые сервисы, возможно, могут работать некорректно:

После полной загрузки файл запускался на исполнение. Иконка зловреда была также полностью скопирована с оригинального сайта поздравительных открыток:

Чтобы наивный пользователь ни о чем не догадался, по окончании загрузки вредоносного файла в окне браузера Internet Explorer демонстрировалась реальная интернет-открытка. Ее текст интересен тем, что злоумышленники пытались вызвать жалость со стороны получателя. Возможно, такая тактика использовалась с расчетом на дальнейшее распространение послания жертвой по своим контактам.

Наряду с исполнением зловреда и показом данной открытки происходило изменение записей локальных DNS-серверов в файле C:WINDOWSsystem32driversetchosts. Таким образом, все следующие интернет-запросы пользователя должны были переадресовываться на сайты злоумышленников:

Отчетливо видно, что названная троянская программа была «заточена» именно под клиентов мексиканского банка Banamex. Если компьютер кого-либо из них оказывался инфицированным, все попытки открыть любой из перечисленных URL завершались открытием фишинговой страницы.

Если жертва вводила свои банковские реквизиты на фальшивом сайте, они мгновенно оказывались в руках преступников.

Удалось установить, что письма с приглашением просмотреть поздравительную открытку были отосланы из Голландии, фишинговый хостинг находился в США, а адресатами, что вполне логично, оказались владельцы электронных почтовых аккаунтов на мексиканских доменах.

Анализ кода вредоносного файла показал, что зловред был написан знатоками VisualBasic и испанского языка. Возможно, он был создан непосредственно в Мексике.

Мы продолжили исследование и обнаружили нечто очень интересное:

Данная страница использовалась злоумышленниками для отправки «поздравительных» сообщений. Как видим, она позволяет целиком создавать текст письма с помощью модифицируемого HTML-кода, задавать количество отправляемых сообщений, адреса получателей, а также вкладывать в письма файлы.

Все упомянутые сайты злоумышленников в настоящее время сохраняют свою активность. Антивирус Касперского детектирует загружаемый вредоносный файл как Trojan.Win32.Qhost.aha.

Мы предупреждаем всех пользователей, и в особенности клиентов Banamex, быть крайне бдительными и не попадаться на уловки мошенников.