Вчера вечером мы получили новую версию зловреда #Madi , о котором ранее писали в блоге (https://www.securelist.com/ru/blog/207764094/Kampaniya_Madi_Chast_I).

После отключения командных серверов Madi на прошлой неделе нам казалось, что операция закончена. Но, похоже, мы ошибались.

Как видно из заголовка, новая версия была скомпилирована 25 июля:

Она включает множество интересных доработок и новый функционал. Теперь она способна следить за сайтом VKontakte и диалогами в Jabber. Зловред также ищет посетителей страниц, содержащих в названии элементы «USA» и «gov». В этих случаях зловред делает скриншоты, загружая их на C2.

Полный список отслеживаемых ключевых слов таков:

"gmail", "hotmail", "yahoo! mail" , "google+", "msn messenger", "blogger", "massenger", "profile", "icq" , "paltalk", "yahoo! messenger for the web","skype", "facebook" ,"imo", "meebo", "state" , "usa" , "u.s","contact" ,"chat" ,"gov", "aol","hush","live","oovoo","aim","msn","talk","steam","vkontakte","hyves", "myspace","jabber","share","outlook","lotus","career"

Некоторое время назад мы опубликовали блогпост о спам-рассылке, авторы которой использовали новости о недавнем землетрясении в Японии для заражения компьютеров пользователей. Этот пост — продолжение предыдущего, и в нем мы расскажем о примененных злоумышленниками эксплойтах.

Как показал проведенный нами анализ, вредоносные ссылки в спам-сообщениях ведут на сайты, где размещен набор эксплойтов Incognito.

Вот интересная картинка с серверов, на которых хостится набор эксплойтов:

Ниже приведен пример письма из этой спам-рассылки — оно выглядит как сообщение от социальной сети Twitter:

Письмо выглядит как сообщение службы поддержки Twitter («Twitter Support Message») о том, что у пользователя 6 непрочитанных сообщений.

Кроме того, получателю письма предлагается пройти по ссылке, которая якобы ведет на видеоролик о ситуации в запретной зоне атомной электростанции в Фукусиме.

Пройдя по ссылке, пользователь после переадресации попадает на вредоносный веб-сайт, подобный тем, о которых мы писали ранее. Давайте посмотрим, какие эксплойты используются для установки вредоносного кода — различных вариантов троянца-загрузчика Trojan-Downloader.Win32.Codecpack.

Мы внимательно наблюдаем за вредоносными страницами. За 40 часов вредоносные домены, на которых размещены эксплойты, менялись восемь раз. Злоумышленники по-прежнему пытаются заразить пользователей.

В ноябре 2010 мы опубликовали блогпост о новой разновидности программы-вымогателя Gpcode.

Сегодня «Лаборатория Касперского» обнаружила новый вариант зловреда в виде обфусцированного выполняемого файла. Дальнейшая информация доступна в техническом описании. Благодаря Kaspersky Security Network, угроза была автоматически обнаружена как UDS:DangerousObject.Multi.Generic.

Было добавлено специфическое детектирование; теперь зловред распознается как Trojan-Ransom.Win32.Gpcode.bn.

Заражение происходит при посещении вредоносного сайта (drive-by загрузка).

После выполнения GPCode генерирует 256-битовый ключ для алгоритма шифрования AES, используя Windows Crypto API, и шифрует его с помощью публичного RSA 1024 ключа киберпреступника. Зашифрованный результат будет сброшен на рабочий стол зараженного компьютера внутри текстового файла с требованием выкупа:

Важно заметить, что в отличие от образца ноября прошлого года, программа требует отправить выкуп платежом при помощи предоплаченных карт Ukash. Кстати, 24 марта мы обнаружили ransomware-программу, которая маскировалась под сообщение от полиции ФРГ — этот вымогатель также требовал провести платеж картой Ukash.

Похоже, киберпреступники уходят от старых добрых денежных переводов, предпочитая платежи предоплаченными картами. Сумма выкупа с ноября увеличилась с 120 до 125 долларов.

Специалистами «Лаборатории Касперского» была обнаружена рассылка спама, содержащего ссылки якобы на информацию о землетрясении в Японии. На самом деле «горячая» тема использовалась, чтобы заразить компьютеры пользователей.

Уязвимость «off-by-one» (завышение/занижение на единицу) – это достаточно старая проблема. Вот перевод описания из английской версии Википедии:

Ошибка off-by-one (off-by-one error, OBOE) это логическая ошибка, возникающая при использовании дискретного эквивалента граничных условий. Подобные ошибки нередки в компьютерном программировании, когда цикл итерации повторяется на один раз больше или меньше, чем следует. Как правило, проблема возникает, если программист не учитывает, что последовательность начинается с нуля, а не с единицы (как, например, с индексами массивов в некоторых языках программирования) или ошибочно использует в сравнении «меньше или равно» вместо «меньше».

Подобные ошибки позволяют проводить DoS-атаки или даже выполнять произвольный код. В интернете есть множество ресурсов, на которых объясняется, как эксплуатировать «переполнение кучи на одну позицию» (“off-by-one heap overflow”).

Но почему «Ошибка на одну позицию 2.0»?

Читая свою ленту на Твиттере, я заметил нечто весьма интересное. Сообщение (tweet), отправленное с официального корпоративного аккаунта, содержало сокращенную ссылку (bit.ly), которая вела на сайт, распространяющий потенциально опасное приложение.

Если внимательно посмотреть на снимок экрана, обнаружатся две похожие ссылки, сокращенные с помощью сервиса bit.ly. В одной из них пропущена буква d. Отсюда и название – «Ошибка на одну позицию 2.0».

В результате элементарной ошибки копирования новая ссылка ведет совершенно не на тот сайт, на который должна была бы. На всякий случай я решил проверить ссылку на сайте http://web-sniffer.net.

Вот сайт, на который попадаешь по ссылке в сообщении Twitter:

Судя по присутствию слова quiz в названии сайта (LOLquiz), он предлагает разного рода викторины. Однако выглядит он подозрительно. По моему опыту, многие сайты, похожие на этот, используются для вредоносных целей.

Поэтому я решил продолжить расследование и кликнул по ссылке на выбранную случайным образом викторину:

Войдя в тестовый аккаунт Twitter на тестовом компьютере, я кликнул по кнопке подтверждения участия в викторине. На той же странице было написано, что регистрация означает согласие на подписку на ленту сообщений в Twitter, принадлежащую владельцам сайта. Удивительно, но, пройдя по ссылке, я снова оказался в Twitter, и мне было предложено разрешить некому приложению доступ к моей учетной записи, как видно на снимке экрана ниже:

В своей тестовой учетной записи я авторизовал приложение и был перенаправлен на ту самую викторину, в которой собирался принять участие:

Но каковы были функции того приложения?

Разрешив установку этого приложения, я тем самым предоставил ему права на чтение и запись моего аккаунта в Twitter, как видно на снимке экрана ниже:

Как только приложение получило доступ к моему аккаунту, оно автоматически подписалось на ленту учетной записи lolquiz в Twitter. Эта особенность поведения программы описана на сайте одним предложением, набранным очень мелким шрифтом, и при первом просмотре сайта я его не заметил.

Теперь мой тестовый аккаунт «следует» в Twitter за авторами этого потенциально опасного приложения.

Если посмотреть на число подписчиков на сообщения этой учетной записи, окажется, что права доступа к своим аккаунтам дали этому приложению более 300 000(!) пользователей. Я уверен, что большинство из них не читали набранную мелким шрифтом информацию о функции этого приложения по автоматической подписке на ленту сообщений в Twitter, принадлежащую владельцам сайта.

Пока что никаких сообщений не было. Поэтому я решил попробовать ответить на вопросы викторины и посмотреть, произойдет ли что-нибудь после этого:

Как только вы заканчиваете отвечать на вопросы, приложение рассылает подписчикам вашего аккаунта сообщение с вашими результатами. Если кто-то из них захочет попробовать принять участие в викторине, ему тоже придется дать приложению доступ к своей учетной записи в Twitter, и он тоже автоматически станет подписчиком «lolquiz» и разошлет сообщение о своих результатах своим подписчикам и т.д. Это приводит к вирусному распространению приложения.

Интересно, что автор этого приложения сам является подписчиком двух аналогичных лент в Twitter.

Простой поиск на Twitter выдает множество аналогичных сообщений от других пользователей:

Остается непонятной настоящая цель, ради которой создавалось это приложение, которое (на данный момент) является не вредоносным, но потенциально опасным.

Авторы приложения утверждают, что вы всегда можете отписаться от их ленты сообщений, но не упоминают о том факте, что при этом у приложения сохранятся права на чтение и запись в вашей ленте Twitter. Отписаться от их ленты можно, отправив им сообщение напрямую (Direct Message), но это не приводит к удалению приложения или к прекращению автоматической рассылки сообщений.

Подобные приложения-викторины очень распространены в сети Facebook, а теперь они, очевидно, заполонили и Twitter. Эта викторина, судя по всему, появилась в 2009 году.

Если авторы приложения решат разместить на сайте что-то более опасное (или если он будет взломан с размещением вредоносных ссылок), это может привести к куда более серьезной проблеме, которая затронет сотни тысяч пользователей. Ведь авторы приложения могут посылать какие угодно сообщения с вашего аккаунта в Twitter.

Мой пост о фальшивом антивирусе, распространяемом через Twitter, дает прекрасный пример того, что может произойти.

Мне кажется, это со всей очевидностью показывает, насколько опасными могут быть сервисы по сокращению интернет-адресов: банальная ошибка копирования текста может привести к тому, что по ссылке будет открываться совершенно другой веб-сайт, в то время как при использовании обычных ссылок в большинстве случаев подобная ошибка приведет лишь к сообщению «404 – Страница не найдена».

13 января мой коллега Вячеслав Закоржевский опубликовал блогпост об опасностях, связанных с использованием взломанных программ и генераторов ключей, в котором рассказал о зловредах, предназначенных для кражи регистрационных ключей к популярным программным продуктам и паролей к онлайн-играм.

Несколько дней назад мы обнаружили новую вредоносную программу, названную ее авторами Kaspersky Trial Resetter и выдающую себя за утилиту для продления пробного периода антивирусных продуктов «Лаборатории Касперского».

Зловред детектируется нами как Trojan-PSW.MSIL.Agent.wx. В настоящий момент только два производителя антивирусного ПО, включая «Лабораторию Касперского», детектируют эту программу. В данном случае фокус в том, что вместо обещанного продления пробного периода троянец крадет информацию, хранящуюся на вашем компьютере – пароли, сохраненные браузером и другими приложениями.

Если верить заголовку PE-файла, эта вредоносная программа была создана 31 января 2011 года. При этом первые сообщения о заражении появились 6 февраля.

Насколько успешным может быть такой зловред? Судите сами:

Количество заражений в день

За 23 дня троянцем, крадущим пароли, в общей сложности были заражены 1109 компьютеров, что составляет в среднем 48 заражений в день.

В пятерку стран-лидеров по количеству заражений вошли:

А что можно сказать о типе украденных аккаунтов?

Среди украденных этой вредоносной программой данных – сотни паролей к аккаунтам на сайтах хостинг-провайдеров, интернет-магазинов, интернет- и мобильных провайдеров, социальных сетей (LinkedIn, Twitter, Facebook, MySpace etc.), а также к системам электронной почты, блогам, банковским сервисам, сервисам мгновенного обмена сообщениями, онлайн-играм и т.д.

Ниже представлены данные о браузерах, ставших мишенью этой вредоносной программы, и о количестве пострадавших пользователей:

Специалисты «Лаборатории Касперского» связались с хостинг-провайдером, на чьих серверах была размещена вредоносная программа, который закрыл и удалил аккаунты злоумышленников. Надеюсь, что приведенная статистика убедительно свидетельствует против загрузки пиратских программ: компьютеры 1109 пользователей, которые хотели взломать защитное решение, в результате были заражены вредоносным ПО.

Кроме того, очевидно, что сохранение паролей в браузере – тоже не лучшая идея. Разумнее воспользоваться программой для управления паролями, такой как Kaspersky Password Manager, которая хранит все ваши пароли в зашифрованном виде и обеспечивает их защиту от подобных атак.

В настоящее время мы пытаемся проинформировать пострадавших пользователей о заражении их компьютеров.

Несколько раз в блоге мы затрагивали тему фальшивых антивирусных программ, рассказывали, как с помощью технологий Black SEO злоумышленники заставляют поисковые системы перенаправить пользователей на сайты фальшивых антивирусов.

Недавно мы заметили, что распространяемые фальшивые антивирусы снабжены кнопкой Online Support. Посмотрите в правый верхний угол:

Нажимаете эту кнопку и оказываетесь в чате фальшивой техподдержки, предлагаемой фальшивым антивирусом. Нам стало интересно — отвечал ли на вопросы бот, распознающий ключевые слова, или реальные люди. Оказалось, что это реальные люди!

Мы выяснили, что они предлагали техническую поддержку через чат, а еще по телефону и электронной почте. Электронная почта особенно полезна, если вы не говорите по-английски. В чате вам предложат (на английском) прислать письмо на вашем родном языке на указанный адрес и получить поддержку опять же на вашем родном языке.

Фальшивые антивирусные программы существуют уже давно. С их помощью злоумышленники пытаются запугать пользователей и заставить купить нелицензированный продукт. В этот раз речь пойдет о Desktop Security 2010, фальшивом антивирусе, который использует новую уловку, для того чтобы нас напугать.

Основной компонент фальшивки создает удаленный поток в Диспетчере задач, в котором вызывает функцию LoadLibrary из своего dll компонента: taskmgr.dll. Эта Динамическая библиотека является частью тактики запугивания.

Как видно из скриншота, процессы в Диспетчере задач помечаются словами «вирусов нет» и «заражение»:

Динамическая библиотека упакована с помощью специального упаковщика. После ее распаковки можно легко понять, как происходит заражение.

Вот небольшой фрагмент распакованной Динамической библиотеки, который дает представление о том, как она манипулирует Диспетчером задач.

Для изменения цвета текста использована функция SetColorText API. В цветовой параметр добавлен комментарий. И, наконец, для добавления текста использована функция DrawTextA API.

Это простой, но эффективный способ запугать тех, кто пользуется Диспетчером задач для обнаружения и удаления вредоносных программ.