Прошло уже три года со времени публикации у нас в блоге статьи «В стаде банкеров прибыло», описывающей первую вредоносную программу, которая атакует пользователей программного обеспечения для электронного банкинга компании «БИФИТ». В настоящее время аналогичным функционалом обладает несколько вредоносных программ, в том числе:

• Trojan-Spy.Win32.Lurk
• Trojan-Banker.Win32.iBank
• Trojan-Banker.Win32.Oris
• Trojan-Spy.Win32.Carberp
• Trojan-Banker.Win32.BifiBank
• Trojan-Banker.Win32.BifitAgent

Несмотря на уже не уникальный функционал, последняя программа из этого списка все-таки привлекла наше внимание.

Слова и строки, используемые во время работы программы Trojan-Banker.Win32.BifitAgent

Данный зловред обладает рядом особенностей, которые отличают его от остальных подобных программ.

На прошлой неделе Adobe выпустил патч, закрывающий уязвимость Flash Player, которая эксплуатировалась в ходе целевых атак.

Прежде чем продолжать чтение, рекомендуем вам на минуту прерваться и установить этот патч. Чтобы проверить, стоит ли у вас последняя версия Flash Player, можно воспользоваться оригинальной утилитой от Adobe.

Если вы используете Google Chrome, убедитесь, что у вас стоит версия 24.0.1312.57 m или более поздняя.

Вернемся теперь к CVE-2013-0633 – критической уязвимости, которую обнаружили мы с Александром Поляковым – и незамедлительно сообщили в Adobe о своей находке. Эксплойты для CVE-2013-0633 были обнаружены в ходе мониторинга так называемых «легальных» программ слежения, созданных итальянской компанией HackingTeam. Ниже мы опишем некоторые из атак и то, как эта 0-day уязвимость используется для установки вредоносного ПО от HackingTeam, продаваемого под названием Remote Control System.

В настоящее время самыми популярными уязвимостями, которые злоумышленники эксплуатируют при заражении компьютеров пользователей, являются уязвимости в Adobe Reader, Flash и Java. Популярность эта обусловлена тем, что эксплойты к уязвимостям в этих продуктах заражают компьютеры вне зависимости от того, какие операционные системы и браузеры используют владельцы атакуемых машин. Можно предположить, что угрозы, которым подвергаются пользователи, не зависят от того, каким именно браузером они пользуются. Мы решили провести небольшое исследование и проверить это предположение.

Иллюстрация с сайта PCMAG

Вчера во многие антивирусные лаборатории поступил экземпляр новой вредоносной программы, которая нацелена на пользователей MAC OS X. Данный экземпляр, получивший имя Backdoor.OSX.Morcut, распространяется с использованием социальной инженерии через JAR файл с именем AdobeFlashPlayer.jar, который подписан якобы компанией VeriSign Ing.

Предупреждение виртуальной машины JAVA о запуске недоверенного апплета

Не так часто приходится анализировать вредоносные файлы, написанные в виде плагинов к кроссплатформенным браузерам. Еще реже встречаются плагины, написанные на кроссбраузерных движках. В данной публикации мы рассмотрим червя для социальной сети Facebook, написанного с использованием системы Crossrider, которая всё еще находится в стадии бета-тестирования.

Картинка с сайта http://crossrider.com

В начале марта мы получили от независимого исследователя сообщение о массовых заражениях компьютеров в корпоративной сети после посещения пользователями ряда известных российских информационных ресурсов. Симптомы заражения были одинаковыми: компьютер посылал несколько сетевых запросов на посторонние ресурсы, после чего в некоторых случаях на диске появлялся ряд зашифрованных файлов.

Разобраться с механизмом заражения оказалось непросто. Сайты, с которых происходило заражение пользователей, расположены на разных площадках и имеют разную архитектуру, при этом все наши попытки воспроизвести заражения не увенчались успехом. Быстрый анализ KSN-статистики, на основе которой можно было бы выявить связь между взломанными ресурсами и распространяющимся вредоносным кодом, тоже не дал результатов. Но кое-что общее между новостными сайтами мы все-таки нашли.

Ботнет HLUX уже не первый раз появляется в нашем блоге. При этом остаются открытыми вопросы, которые нам регулярно задают СМИ. Чем занимается этот ботнет? Какие команды получает от злоумышленников? Как распространяется бот? Сколько зараженных компьютеров входит в ботнет? Но прежде чем начать отвечать на данные вопросы, еще раз отметим, что речь здесь идет о новом ботнете HLUX. Старый ботнет заблокирован и до сих пор не получает команды от злоумышленников и не рассылает спам. «Лаборатория Касперского» вместе с Microsoft’s Digital Crimes Unit, SurfNET и Kyrus Tech отключила ботнет и его инфраструктуру. Результаты анализа новой версии бота ботнета HLUX (md5: 010AC0BFF69EB945108B57B40A4784BE, размер: 882176 B) приведены ниже.

Зачем?

Как известно, функционал бота — рассылка спама и возможность проведения DDoS атак. Мы обнаружили, что помимо этого:

1. Бот умеет заражать флешки, создавая на них файлы «Copy of Shortcut to google.lnk» а ля stuxnet.
2. Бот умеет искать конфигурационные файлы для множества FTP-клиентов и передавать их на серверы управления.
3. В боте встроен функционал кражи Bitcoin кошелька.
4. В боте встроен функционал Bitcoin miner’a.
5. Бот умеет работать в режиме прокси-сервера.
6. Бот ищет на диске файлы, содержащие адреса электронной почты.
7. Бот имеет сниффер для перехвата паролей от электронной почты, FTP и HTTP сессий.

Часть кода работы HLUX с FTP клиентами

Часть кода работы HLUX по краже Bitcoin кошелька

Откуда?

Бот загружается на компьютеры пользователей со множества сайтов, расположенных на fast-flux доменах преимущественно в доменной зоне .EU. В систему бот устанавливается маленькими (~47КБ) даунлоадерами. Загрузки таких даунлоадеров зафиксированы на компьютеры в ботнетах GBOT и Virut. При этом даунлоадер может загружаться на компьютеры уже через несколько минут после того, как машины были заражены вышеперечисленными вредоносными программами (GBOT и Virut). Такой механизм распространения препятствует обнаружению первоисточника распространения бота.

Также зафиксированы установки бота в ходе Drive-by атак с помощью Incognito Exploit Kit.

Общее количество компьютеров, входящих в новый ботнет HLUX, оценивается в несколько десятков тысяч машин — исходя из цифры в ~8000 IP-адресов, замеченных в работе через p2p.

Куда?

Сейчас ботнет HLUX по-прежнему получает в основном команды на рассылку спама. Однако в то же время на ботнет устанавливается еще одна вредоносная программа, о которой мы писали здесь. Основной её функционал –мошеннические действия с поисковыми системами а ля TDSS.

Собранные HLUX пароли от FTP используются для размещения на сайтах вредоносных JavaScript’ов, перенаправляющих посетителей взломанных сайтов опять же на Incognito Exploit Kit. В этих атаках при установке бота используются, в основном, эксплойты к уязвимости CVE-2011-3544. Таким образом, HLUX реализует замкнутую схему распространения, аналогичную схеме, используемой Bredol.

Итого

Ботнет Hlux, как старый, так и новый, является ярким примером организации преступной деятельности в интернете. Владельцы данного ботнета участвуют практически во всех мошеннических схемах заработка: рассылка спама, кража паролей, мошенничество с поисковыми системами, DDоS и т.д. Мы продолжим наблюдение за данным ботнетом и будем держать вас в курсе технической стороны дела.

PS. На одном fast-flux домене, с которого раньше распространялся HLUX, мы обнаружили следующее.

Является ли это панелью управления ботнетом HLUX, пока неизвестно.

Bitсoin — это электронная валюта, построенная на технологии P2P и предназначенная для анонимного проведения финансовых транзакций в Сети. Помимо очевидных преимуществ для рядовых пользователей данная валюта также предоставляет широкий спектр возможностей и для мошенников. О примерах использования вредоносных программ для прямой монетизации ботнетов мы уже писали тут и тут. Однако на этот раз речь пойдет не о простых вредоносных программах, а о TDSS и его новом модуле для работы с Bitcoin.

Загрузчик вредоносной программы TDSS, о которой мы много писали (например, здесь и здесь), обзавелся «ногами» — механизмом самораспространения. TDSS — программа очень сложная, и метод распространения его загрузчика злоумышленники сделали весьма оригинальным.

Одной из важнейших технологий Лаборатории Касперского является Kaspersky Security Network. Используя «облачную» архитектуру, KSN позволяет автоматически обнаруживать и блокировать неизвестное нам вредоносное ПО и зараженные или опасные веб-сайты, фильтровать спам, защищать детей от нежелательного контента и многое другое.

Лаборатория стремится к тому, чтобы пользователи всегда имели возможность увидеть полную и актуальную информацию о текущем положении дел в мире информационных угроз. Теперь для этого вы можете использовать наш новый скринсейвер Irida! При его работе на экране отображается статистика по актуальным угрозам, обнаруженным и заблокированным с помощью KSN. Данные автоматически обновляются каждые 12 часов.

Установите скринсейвер и откройте для себя возможности Kaspersky Security Network!
Загрузить скринсейвер