Компания Trusteer, специализирующаяся в области корпоративной защиты, обнаружила новую модификацию банковского троянца Gozi, включающую функционал руткита.

Руткиты считаются эффективным средством сокрытия вредоносного кода в системе, однако они редко используются зловредами, ориентированными на кражу финансовой информации. Исключения составляют печально известный Torpig/Sinowal и, пожалуй, Carberp, буткит-компонент которого был обнаружен ESET два года назад и с тех пор иногда всплывает на теневых форумах.

По свидетельству Trusteer, руткит-вариант Gozi заражает MBRи дожидается запуска Internet Explorer для реализации своего основного функционала. Как и прочие банкеры, Gozi осуществляет перехват трафика и способен на лету подменять веб-страницы банковских ресурсов. Эксперты отмечают, что сама программа-шпион видимых изменений не претерпела. Возможно, на черном рынке появился новый руткит, которым и воспользовались разработчики Gozi.

Модульный троянец Gozi, он же Papras, досаждает клиентам банков с 2006 года. По оценкам экспертов, его глобальная популяция превышает 1 миллион, включая 40 тыс. зараженных компьютеров в США, а также инфекции в Германии, Польше, Великобритании, Франции, Италии, Финляндии и Турции. Убытки от шпионской деятельности Goziизмеряются десятками млн. долларов.

В настоящее время в США запущен судебный процесс в отношении трех иностранцев, подозреваемых в создании и распространении этого троянца. Согласно исковому заявлению, идеологом Goziявляется россиянин Никита Кузьмин, который в свое время составил подобие ТЗ и нанял опытного программиста для написания исходного кода. Вначале Кузьмин предоставлял Gozi как SaaS через свой веб-сайт 76 Service, а в 2008 году запустил его в продажу, время от времени нанимая вирусописателей для совершенствования своего детища. Кузьмин был арестован в конце 2010 года и уже сознался в неправомерном вмешательстве в работу компьютерных систем.

Одним из наемников, помогавших Кузьмину дорабатывать Gozi, предположительно является латыш Денис Чаловский, бывший студент Рижского технического университета, а ныне мелкий бизнесмен. По запросу властей США он был задержан латышской полицией и недавно обжаловал решение местных властей об экстрадиции. Предполагаемый хостер C&C серверов Gozi Михай Паунеску (MihaiIonutPaunescu) был арестован в Румынии в конце 2012 года и ожидает решения о выдаче американским властям. По данным ФБР, он предоставлял bulletproof хостинг не только операторам Gozi, но также ботоводам ZeuS, SpyEye и прочих известных зловредов.

Прошло уже три года со времени публикации у нас в блоге статьи «В стаде банкеров прибыло», описывающей первую вредоносную программу, которая атакует пользователей программного обеспечения для электронного банкинга компании «БИФИТ». В настоящее время аналогичным функционалом обладает несколько вредоносных программ, в том числе:

• Trojan-Spy.Win32.Lurk
• Trojan-Banker.Win32.iBank
• Trojan-Banker.Win32.Oris
• Trojan-Spy.Win32.Carberp
• Trojan-Banker.Win32.BifiBank
• Trojan-Banker.Win32.BifitAgent

Несмотря на уже не уникальный функционал, последняя программа из этого списка все-таки привлекла наше внимание.

Слова и строки, используемые во время работы программы Trojan-Banker.Win32.BifitAgent

Данный зловред обладает рядом особенностей, которые отличают его от остальных подобных программ.

Согласно статистике Антифишинговой рабочей группы (APWG), в III квартале минувшего года, как и в предыдущем, число традиционных фишинговых атак продолжило снижаться – в основном, за счет сокращения количества атак на финансовый сектор и сервисы розничной торговли. В сентябре эксперты обнаружили 46,9 тыс. поддельных сайтов – на 26% меньше, чем в апреле. Число уникальных фишинговых рассылок с мая снизилось на 35% – до 21,7 тыс. в сентябре.

Тем не менее, за год активность фишеров увеличились – по оценке MarkMonitor, одного из соавторов отчета, на 45%. Современные фишеры стали чаще обращаться к помощи вредоносных программ. Каждый день появляются сотни новых сайтов, вовлеченных в drive-by атаки, и привязанные к ним URL распространяются по почтовым каналам тиражом в сотни, тысячи и миллионы экземпляров. При этом эксперты отмечают, что применение зловредного арсенала вряд ли сведет на нет обычный фишинг: расходы на проведение соответствующих рассылок и создание страниц-имитаций ничтожны, а drive-by атаки требуют более солидной подготовки и капиталовложений.

Министерство юстиции США и ФБР объявили об успешном проведении полицейских рейдов в Боснии и Герцеговине, Македонии, Новой Зеландии, Перу, Великобритании и США. Международная операция по выявлению ОПГ, распространяющих многочисленные варианты IM-червя Yahos и владеющих многомиллионным ботнетом, проводилась при активной поддержке местных силовиков и закончилась 10 арестами.

Детали, представленные в пресс-релизе ФБР, скудны и туманны. Известно лишь, что речь идет об 11 млн. заражений и $850-миллионном ущербе. Федеральные агенты также отмечают, что большую помощь в выявлении распространителей Yahos им оказала служба безопасности Facebook. Дело в том, что пару лет назад этот червь, наделенный функционалом IRC бота, обрел дополнительные возможности, открывшие ему врата в социальную сеть. Экспертам Facebook удалось идентифицировать аккаунты, с которых осуществляется распространение зловредных ссылок, определить масштабы распространения, ― к слову сказать, весьма скромные ― и первоисточники.

В ноябре Microsoft пополнила базу MRST (Malicious Software Removal Tool, средство удаления вредоносных программ) сигнатурами Win32/Weelsof ― обширного семейства троянских блокировщиков, обосновавшихся в Западной Европе и США.

Weelsof распространяется путем drive-by загрузок с зараженного сайта или с помощью эксплойт-паков и вредоносных iframe. При запуске он определяет версию ОС и создает свою копию с произвольным именем в папке %APPDATA% или %windir%. Затем производит модификации записей в системном реестре в обеспечение запуска этой копии при каждом старте Windows (включая безопасный режим). Наконец, подключается к стороннему узлу на порту 80 и загружает страницу-заставку с требованием выкупа, данные о географическом местоположении и IP-адрес зараженного компьютера.

Microsoft опубликовала статистику детектов DDoS-бота Nitol за январь-октябрь 2012 г. Около трети таких заражений было зафиксировано в Китае.

Защитные решения компании детектируют Nitol с конца 2010 г. Зловреды этого семейства способны проводить flood-атаки с использованием протоколов TCP, UDP, HTTP и ICMP. Как показал анализ, часть кода Nitol, реализующая DDoS-функционал, была попросту скопирована или в большой мере заимствована из других вредоносных программ, выложенных в публичный доступ на китайских веб-сайтах.

Sophos подытожила последние нововведения авторов ZeroAccess. По оценке компании, популяция этого зловреда в настоящее время составляет порядка 1 млн. Более половины активных ботов функционируют на территории США.

Руткит ZeroAccess появился в Сети несколько лет назад и в настоящее время, по оценке экспертов, является одной из самых распространенных Windows-угроз. Главная цель зловреда, поддерживающего как 32-, так и 64-битные версии ОС Windows, ― приобщить зараженную машину к р2р-ботнету и создать площадку для загрузки дополнительных модулей. Авторы ZeroAccess постоянно совершенствуют свое детище, расширяя его функционал и набор средств самозащиты.

По свидетельству Damballa, ботнет, построенный на базе руткита TDL-4, обрел еще одно средство самозащиты ― DGA, генератор доменов.

Использование DGA (Domain Generation Algorithm) для маскировки истинного местонахождения C&C ― трюк отнюдь не новый и достаточно эффективный. Его с успехом применяли ботоводы Kraken, Sinowal, Waledac, Kido и ZeuS, чтобы повысить жизнестойкость командной инфраструктуры. DGA-алгоритм с заданной частотой воспроизводит длинные списки доменных имен, сгенерированных на основе случайной выборки. Пытаясь связаться с центром управления, бот последовательно перебирает позиции списка и направляет запросы DNS-серверу до тех пор, пока не обнаружит работающий домен.

Эксперты обнаружили повышенную NS-активность, наблюдая очередную мошенническую кампанию по накрутке кликов (click fraud) с участием TDL-4. Характерные особенности DNS-трафика вызвали срабатывание сетевых анализаторов Damballa, настроенных на поиск в Сети угроз на базе DGA. Оказалось, что источником подозрительного поведения являются боты TDL-4, которые пытаются отыскать C&C в Сети, чтобы доложить о результатах click fraud махинаций. Подтвердить свою находку живым примером экспертам пока не удалось: никто из коллег, похоже, не располагает нужным сэмплом. Чтобы удостовериться в правильности своих предположений, Damballa пришлось использовать sinkhole-маршрутизатор, перехватывающий командный трафик, и снимки памяти с зараженных устройств.

DGA-модификация TDL-4 предположительно живет в интернете с мая текущего года. На ее счету уже свыше 250 тыс. жертв, в том числе правительственные ведомства, интернет-провайдеры и 46 компаний из списка Fortune 500. Исследователи насчитали 85 серверов и 418 уникальных доменов, ассоциированных с новым TDL-4. Наибольшее количество C&C обнаружено в России (26 хостов), Румынии (15) и Голландии (12). Упомянутая выше click fraud кампания нацелена на угон кликов с Facebook, DoubleClick, YouTube, Yahoo.com, MSN и Google.com.

TDL-4 появился на интернет-арене два года назад как очередной результат эволюции руткита TDSS. По данным ЛК в начале прошлого года в состав ботнета, построенного на его основе, входило, свыше 4,5 млн. зараженных компьютеров. Это мощное орудие используется злоумышленниками для махинаций с рекламными и поисковыми системами, обеспечения анонимного доступа в Сеть и установки других вредоносных программ на машины в зомби-сети. В арсенале TDL-4 имеются такие средства самозащиты, как шифрование командного трафика, управление по р2р-каналам, прокси-серверы и даже собственный «антивирус» ― для устранения конкурентов на местах. Находка Damballa вновь доказывает, что процесс совершенствования TDSS идет полным ходом.

Анализ нового конфигурационного файла Gameover, оказавшегося в распоряжении F-Secure, показал, что операторы этого троянца открыли сезон охоты в системах итальянского онлайн-банкинга. В обновленном файле прописаны около десятка таких систем, включая местные сервисы Deutsche Bank, — подключение к которым должен отслеживать зловред. В числе мишеней оказались и арабские банки.

Эксперты автоматизировали сбор IP-адресов р2р-модификации ZeuS, известной как Gameover, в минувшем мае. Ареал распространения Gameover охватывает Северную и Южную Америку, Западную Европу, страны СНГ, Африку, Ближний Восток и Азиатско-тихоокеанский регион. К удивлению исследователей, около 10% заражений пришлось на долю одной страны ― Италии.

Данные F-Secure подтверждает статистика SecureWorks (ныне в составе Dell), приведенная в добротном исследовании, посвященном Gameover, которое было опубликовано в минувшем июле. По оценке SecureWorks, на долю Италии приходится 9,2% IP-адресов, ассоциированных с данным троянцем, и 5,1% уникальных ботов (расхождение в числах объясняется тем, что эксперты фиксировали динамические IP). Италия занимает 3 место в ТOP 10 стран по числу заражений Gameover ― после США (22,1% ботов, 29,2% IP-адресов) и Германии (7,2% и 4,7% соответственно).

Gameover был идентифицирован как р2р-модификация ZeuS осенью прошлого года, хотя ботнет, созданный на его основе, RSA обнаружила годом ранее. По данным SecureWorks, в настоящее время в составе этой зомби-сети числятся около 680 тыс. зараженных машин в 226 странах. Gameover распространяется через спам-рассылки с ботнета Cutwail. URL, рассылаемый в спамовых письмах, привязан к взломанным сайтам, которые перенаправляют пользователя на эксплойт-площадки Blackhole. В результате отработки эксплойта на машину жертвы загружается даунлоудер, известный как Pony, который закачивает со стороннего ресурса целевой бинарник.

Согласно статистике SecureWorks, с марта по июль Gameover атаковал свыше 40 финансовых учреждений ― в основном, небольших. Особенно он докучал американцам, и ФБР неоднократно публиковало предупреждения о спам-рассылках, нацеленных на засев этого зловреда, а также об особом трюке, который используют его операторы. Чтобы воспрепятствовать отзыву мошеннической транзакции, инициированной Gameover, злоумышленники параллельно проводят DDoS-атаку на банковский сайт.

Компания Lookout, специалист по облачной защите мобильных устройств, опубликовала отчет о текущих угрозах и тенденциях их развития по состоянию на июнь 2012 года. Эксперты также определили страны с наиболее высокой вероятностью локального заражения: это Россия, Украина, Китай и Иран.

Данные, взятые за основу исследования, были собраны в течение года по многомиллионной клиентской базе Mobile Threat Network. Исследователи изучили отчеты свыше 1 млн. приложений, которые были приобретены пользователями в специализированных интернет-магазинах и установлены на мобильные устройства.

За минувшее полугодие Lookout зафиксировала значительный рост числа вредоносных программ, ориентированных на мобильные платформы. Среди них в настоящее время преобладают SMS-троянцы, на долю которых во II квартале пришлось 62% детектов. При этом за год, по данным компании, этот показатель вырос более чем в 2 раза. В минувшем июне 82% детектов в рамках Mobile Threat Network пришлось на OpFake ― лишь одного из многочисленных семейств зловредов, скрытно отправляющих платные SMS на премиум-номера. Больше прочих страдали от его разорительных набегов жители России, Ближнего Востока, Ирана и некоторых стран Западной Европы, не уделяющих должного внимания регулированию сферы премиум-услуг.

Как и следовало ожидать, в разных странах вероятность обнаружить зловреда на пользовательском устройстве различна. Lookout не впервые оценивает эти риски в географической привязке, однако на сей раз производила вычисления не по итогам года, а ежемесячно, и собирала данные лишь с тех устройств, которые сохраняли активный статус на протяжении 7 дней. Степень зараженности определялась по количеству детектов, зафиксированных за месяц в конкретной стране, в пересчете на число местных подписчиков Mobile Threat Network (активных не менее недели). Эксперты также учли показания File System Monitoring и Install Monitoring, инструментов, запущенных в апреле текущего года, которые позволяют обнаружить зловреда до его установки и запуска.

Разброс годовых показателей по странам составил от 0,04% (Япония) до 41,6% (Россия). Странами повышенного риска (свыше 1%), по состоянию на июнь 2012 г., являются Россия, Украина, Китай и Иран, где пользователи, видимо, более других склонны считывать программы из сомнительных источников. В Индии, Австралии, Индонезии, Вьетнаме, Малайзии, Южной Африке, Саудовской Аравии, Норвегии, Польше, Австрии и Франции вероятность заражения составляет 0,4-1%. США, Великобритания, Германия и Испания, Южная Корея и Филиппины показали 0,2-0,4%, прочие страны ― менее 0,2%. При этом в США основным способом доставки зловреда на мобильное устройство является вредоносная ссылка, присланная в спаме; такую ссылку активируют в среднем 4 из 10 американцев.

В Сети эксперты обнаружили большое количество агрессивных приложений, обслуживающих рекламные сети и открыто предлагаемых для скачивания. Эта категория включает adware, программы, подменяющие настройки браузера и рабочего стола, и программы для сбора информации, идентифицирующей пользователя. По данным Lookout, на долю этих потенциально опасных продуктов в настоящее время приходится 5% рынка Android-приложений, причем за год они были скачаны свыше 80 млн. раз. Наибольший процент программ такого рода обнаружен на Google Play ― 17% ассортимента. На российских альтернативных сервисах их немногим более 6%, в США ― 5,4%, в Китае 4,4%.