Пользователи Google Chrome оказались под волной атак с использованием вредоносных расширений браузера, размещённых в официальном онлайн-магазине Chrome Web Store. По всей видимости, атака исходит из Турции и использует Facebook для распространения ссылок. По нашим наблюдением, пользователи из разных стран оказались заражёнными вредоносными расширениями, которые киберпреступники регулярно посылают в официальный онлайн-магазин.

Как мы уже сообщали в марте 2012 г., бразильские киберпреступники смогли разместить вредоносное расширение в Chrome Web Store. В июне 2012 Google изменил правила, по которым пользователи могут устанавливать сторонние расширения браузера, заблокировав возможность установки приложений, не размещённых в официальном онлайн-магазине. Позже Google убрал возможность автоматических установок, которой массово злоупотребляли третьи стороны.

Возможно, по этой причине киберпреступники переключились на загрузку вредоносных расширений в официальный магазин. Теперь, похоже, пришёл черёд турецких киберпреступников: они за последние несколько дней смогли загрузить туда несколько вредоносных расширений.

В ходе одной из атак, за развитием которых мы следили, с некоторых зараженных аккаунтов на Facebook начало рассылаться сообщение следующего вида, содержащее имена некоторых контактов жертвы и ссылки:

Введение

Это описание атаки, которая разворачивается в Бразилии с 2011 года и эксплуатирует 1 уязвимость во встроенном ПО, использует 2 вредоносных скрипта и 40 вредоносных DNS-серверов; которая затронула 6 производителей вычислительной техники и из-за которой миллионы интернет-пользователей в Бразилии стали жертвами длительной, внешне ничем не проявляющей себя массовой атаки на DSL-модемы.

Мы покажем, как киберпреступники эксплуатировали невыявленную уязвимость, воздействуя на тысячи устаревших DSL-модемов по всей стране. В результате под атакой оказались сетевые устройства, принадлежащие миллионам частных и бизнес-пользователей; в течении нескольких месяцев распространялось вредоносное ПО, организовывались вредоносные перенаправления. На руку киберпреступникам играли повальное игнорирование проблемы интернет-провайдерами, ошибки, допущенные производителями «железа», безграмотность пользователей и безразличие к проблеме на официальном уровне.

Если вы полагаете, что вылечить все жертвы зловреда DNS Changer было «задачей не из легких», то оцените масштабы данной проблемы: всего атакой было затронуто 4,5 млн. модемов, и все в прекрасной солнечной Бразилии.

Просто ли «плохим парням» купить действительные цифровые сертификаты у центров сертификации, предоставив фальшивые данные, и использовать эти сертификаты для подписи банковских троянцев?  Похоже, что в Бразилии это действительно не представляет труда.

Сегодня большинство разработчиков ПО подписывают программы цифровыми сертификатами. В процессе участвуют Центры сертификации, которые верифицируют подлинность файлов и выдают разработчикам сертификат.

Как известно, действительные или украденные цифровые сертификаты используются некоторыми вирусописателями для создания вредоносных файлов, которые могут в течение некоторого времени распознаваться как легитимные. И теперь бразильские киберпреступники начали использовать эту технологию в своих зловредах, пытаясь выиграть больше времени для их распространения. Недавно нами была обнаружена троянская банковская программа, подписанная действительным цифровым сертификатом Центра сертификации. Похоже, что для получения сертификата были использованы фальшивые данные.

Насколько просто для Центра сертификации проверить легитимность получаемых данных? Бразильские киберпреступники зарегистрировали домен gastecnology.org, скопировав название хорошо известной и авторитетной местной компании-разработчика ПО. Для регистрации домена использовались следующие данные:

Возможно, вы уже слышали о чупакабре (дословно с испанского chupa cabra – «сосущий козу»). Ходят слухи, что это мифическое существо обитает в западном полушарии. В недалеком прошлом его якобы встречали в Пуэрто-Рико (где чупакабра была замечена впервые), Мексике и Соединенных Штатах (особенно в тех районах, где живут выходцы из стран Латинской Америки). Чупакаброй Бразильские кардеры приспособились называть скиммеры, устанавливаемые на банкоматах. Это название используется потому, что чупакабра «высасывает» данные с кредитных карт жертв.

Бразильские СМИ постоянно показывают видеосюжеты о «плохих парнях», устанавливающих чупакабру в очередной банкомат. Одни мошенники делают это не достаточно умело, другим просто не везет, но в результате многие попадают в зону камер видеонаблюдения, а затем и в руки полиции.

Получается, что установка скиммеров на банкоматы – рискованное занятие, и поэтому бразильские кардеры объединили усилия с местными хакерами, чтобы разработать более легкий и безопасный способ кражи и копирования информации с кредитных карт. В таком далеко не священном союзе и родилась чупакабра.

Жизнь у бразильских хакеров удалась. Из-за отсутствия специального закона, направленного против киберпреступлений, они чувствуют себя настолько неуязвимыми, что без зазрения совести сообщают о совершенных кражах и хвастаются своими криминальными доходами. Этому было посвящено несколько слайдов в нашей презентации на последней конференции Virus Bulletin. На Youtube можно найти множество роликов, где бразильские банковские мошенники и кардеры рассказывают о своих доходах, добытых нечестным путем, и насмехаются над своими жертвами (здесь лишь один пример; на Youtube можно найти еще несколько подобных роликов). Также можно запросто найти профили мошенников в соцсетях типа Twitter, Tumblr и т.д. Все делается в открытую и без всякого страха быть пойманными.

Для помощи новым «предпринимателям» или просто новичкам, которым интересна киберпреступная жизнь, бразильские киберпреступники начали предлагать платные курсы. Некоторые пошли еще дальше, создав школу киберпреступности, где любой, кто хотел бы жить за счет криминальных доходов, но не владеет технической стороной дела, за деньги может получить необходимые навыки. На вебсайте, где предлагаются такие курсы и рекламируется «школа», потратив немного времени, можно найти курсы «Как стать банковским мошенником», «Всё, что нужно спамеру» и «Как осуществлять defacement сайтов».

Киберпреступники непрерывно ищут новые способы заражения систем, чтобы в идеале остаться незамеченными. И их креативным навыкам нет предела — это показывает последняя волна вредоносных загрузчиков. Первыми среди них стали бразильские банковские троянцы, цель которых – удалять защитное ПО.

Такой нетрадиционный способ заражения поражает только системы, использующие ntldr — загрузчик ОС семейства Windows NT вплоть до Windows XP и Windows Server 2003 включительно. Такой выбор – не совпадение: XP по-прежнему является самой популярной операционной системой в нескольких странах, включая Бразилию, где она установлена почти на 47% всех компьютеров.

Заражение инициирует маленький вредоносный файл размером 10 КБ, детектируемый как Trojan-Downloader.Win32.VB.aoff, рассылаемый в электронном письме. Он загружает в систему 2 новых файла, размещенных на Amazon WS Cloud - xp-msantivirus (1.83 MB) и xp-msclean (7.4 MB), переименовывает легитимный ntldr на ntldr.old, а затем устанавливает в качестве нового загрузчика операционной системы измененную версию GRUB, специально настроенную для запуска файла menu.lst

Вредоносный загрузчик, заменивший оригинальный ntldr: модифицированная копия GRUB

Впоследствии файл menu.lst будет отвечать за вызов файла xp-msantivirus в процессе загрузки системы:

Содержание файла menu.lst. Содержание сообщения следующее: “Инструмент инициализации Microsoft для удаления вредоносного ПО”

Файлы xp-msantivirus и xp-msclean представляют собой загрузчики *nix системы, специально подготовленные киберпреступниками для удаления некоторых защитных файлов в процессе загрузки. Неудивительно, что основными мишенями являются файлы в составе весьма популярного защитного плагина, используемого бразильскими банками - GBPlugin, установленного на 23 миллионах компьютеров. Вредоносный загрузчик также предназначен для удаления файлов из Microsoft Security Essentials, Windows Defender и других:

После заражения троянская программа принудительно вызывает перезагрузку системы…

«Центру обновления Windows необходимо перезагрузить компьютер для завершения установки важных обновлений»

… а затем происходят все изменения. Вредоносный загрузчик отображает поддельные сообщения, в которых утверждается, что работает средство удаления вредоносных программ Microsoft:

«Инструмент для удаления вредоносного ПО (KB890830) Не выключайте и не отключайте от сети компьютер до завершения процесса»

Для объяснения длительного времени загрузки отображается еще одно сообщение, утверждающее, что система заражена, и идет удаление «вредоносных файлов»:

«Пожалуйста, подождите до завершения операции. Не выключайте и не перезагружайте ваш компьютер. ВНИМАНИЕ: на вашем компьютере обнаружены зараженные файлы. Идет процесс удаления вирусов. Это может занять некоторые время в зависимости от количества обнаруженных файлов, зараженных вирусом. Не отключайте и не перезагружайте ваш компьютер во время этого процесса, дождитесь его завершения, и перезагрузка произойдет автоматически»

Наконец, после завершения процесса загрузки вредоносный загрузчик удаляет себя и устанавливает чистый ntldr в качестве активного – его миссия выполнена, и троянская банковская программа, детектируемая как Trojan-Downloader.Win32.Banload.bqmv, остается работать на зараженном компьютере, готовая украсть данные пользователя, необходимые для осуществления операций онлайн-бинкинга.

Разумеется, выполнению всех этих вредоносных операций помогают некоторые факторы, такие как, например, работа в ОС под аккаунтом с привилегиями администратора и.т.д. Вредоносный загрузчик детектируется антивирусом Касперского как Trojan.Boot.Burg.a.

Выражаю благодарность моему коллеге Вячеславу Закоржевскому за помощь.

В наших прогнозах на 2011 год мы писали о кибератаках, в ходе которых мошенники крадут все, что угодно. На самом деле, киберпреступники заинтересованы в краже различных данных, включая количество накопленных миль при участии в бонусных программах авиакомпаний. Клиенты бразильских авикомпаний становятся мишенью для фишеров, рассылающиъх сообщения с целью хищения номеров счетов клиентов и их миль в бонусных программах местных авиалиний. Мили, украденные у клиентов, используются в качестве новой «валюты» среди бразильских киберперступников и фишеров, которые получают возможность выдавать билеты самим себе, продавать их другим киберпреступникам или использовать в бартерных схемах.

При атаках фишинговые сообщения рассылаются в массовых рассылках, в которых пользователю сулят еще больше баллов в бонусных программах авиакомпаний или предлагают приз. В некоторых случаях клиента просят заново пройти регистрацию на фальшивом сайте:

Несколько дней назад «Лаборатория Касперского» обнаружила первый банковский руткит, предназначенный для 64-разрядных систем. Он распространялся в ходе drive-by атаки, организованной бразильскими киберпреступниками.

Мы обнаружили вредоносный Java-апплет, внедренный в популярный бразильский веб-сайт. В ходе атаки вредоносный апплет обеспечивал заражение пользователей, использующих старые версии JRE (Java Runtime Environment), независимо от того, какая версия системы у них установлена — 32- или 64-разрядная.

Апплет содержит несколько интересных файлов:

Как только в СМИ появляется очередная горячая новость, злоумышленники запускают в популярных поисковых системах кампанию по «черной» оптимизации, рассчитанную на привлечение посетителей с целью установить на их компьютеры фальшивые антивирусы.

Так случилось и на этот раз, когда мир облетела новость о смерти Усамы бин Ладена. Злоумышленники отреагировали почти мгновенно и начали искажать (poisoning) результаты поиска изображений в «Google Картинки».

Некоторые ссылки в результатах поиска ведут на вредоносные страницы:

Злоумышленников, распространяющих фальшивые антивирусы, интересуют не только пользователи Windows. Теперь они нацелились и на пользователей Mac, которых они атакуют, используя проверенные временем технологии «черной» оптимизации, позволяющие искажать (poisoning) результаты поисковых запросов в популярных поисковых системах.

Изучая действия киберпреступников в связи с новостями о смерти Усамы бин Ладена, мы обнаружили, что с одних и те же доменов распространяются два фальшивых антивируса, созданных специально для Mac OSX – Best Mac Antivirus и MACDefender.

При поиске в интернете пользователь может быть перенаправлен на вредоносные домены, такие как ***-antivirus.cz.cc/fast-scan2/

Сначала вредоносные страницы проверяют User-agent браузера (браузер должен быть Safari), IP-адрес (на данный момент «обслуживаются» только американские домены) и домен-реферер (запрос должен исходить от Google или другой поисковой системы). Если запрос соответствует всем этим критериям, вредоносная страница демонстрирует результаты «проверки» компьютера фальшивым антивирусом: