Согласно данным SecureWorks, многофункциональный троянец Stels, работающий на платформе Android, ныне распространяется вместе с р2р-модификацией ZeuS в рамках единой спам-кампании с участием ботнета Cutwail.

Обнаруженные экспертами вредоносные письма имитируют уведомление Налоговой службы США (IRS) и приурочены к заключительному этапу подачи налоговых деклараций в этой стране. От имени этого органа злоумышленники сообщают получателю об ошибках, якобы допущенных в поданном им документе, и предлагают кликнуть по указанной ссылке, чтобы воспользоваться другой формой.

Пройдя по ссылке, пользователь попадает на взломанный ресурс, который определяет версию ОС визитера и используемый им веб-браузер. Если заход осуществлен с мобильного устройства на базе Google Android, посетителю демонстрируется страница с предложением обновить Flash Player для корректного отображения контента. Под видом апдейта на смартфон загружается исполняемый файл flashplayer.android.update.apk, содержащий троянца Stels. Для его установки требуется разрешение пользователя, а кроме того, поскольку программа загружена не с официального сайта Google Play, жертва должна задействовать опцию "Unknown Sources" в настройках безопасности, т.е. разрешить установку приложения из стороннего источника.

Если получатель фальшивого письма использует Microsoft IE, Mozilla Firefox или Opera, то после перехода по спамерской ссылке ему будет продемонстрирована поддельная страница IRS с вредоносным iframe, перенаправляющим браузер на эксплойт-площадку Blackhole. Мало того, все ссылки на данной странице запускают вредоносный pdf-файл, который атакует уязвимость CVE-2010-0188 в Adobe Reader/Acrobat. В случае успешной эксплуатации на машину жертвы загружается р2р-версия ZeuS, известная как Gameover. Если визитер не использует ни Android, ни названные браузеры, его перенаправляют на мошеннический сайт по трудоустройству.

Эксперты SecureWorks проанализировали образцы Stels и установили, что данный Android-троянец способен воровать информацию из списка контактов жертвы, отправлять и перехватывать SMS-сообщения, осуществлять звонки на премиум-номера, а также загружать и запускать на исполнение другие вредоносные файлы. Он работает в фоновом режиме, общается с центром управления по HTTP и, судя по всему, умеет также рассылать почтовый спам, используя анонимный прокси-сервис anonymouse.org. Эксперты обнаружили других похитителей SMS, схожих по кодовой базе со Stels, и полагают, что все они происходят из одного источника или созданы на основе одного и того же тулкита.

Следует отметить, что спам-рассылки — довольно необычный способ распространения Android-зловредов, которые, как правило, скачиваются жертвами из неофициальных магазинов приложений. Так, более ранние варианты Stels, обнаруженные экспертами F-Secure в конце прошлого года, раздавались с веб-портала spaces.ru под видом бесплатных версий игр и вспомогательного ПО для Android.

В аэропорту Бангкока задержан уроженец Алжира, подозреваемый в хищении миллионов с частных онлайн-счетов, открытых в 217 банках разных стран.

Задержание Хамзы Бенделладжа (Hamza Bendelladj) произведено по наводке ФБР и является результатом 3-летнего расследования. У задержанного изъяты спутниковый телефон и ноутбук. Тайская полиция будет ходатайствовать об экстрадиции заморского гостя в США, где уже выдан ордер на его арест.

Насколько известно, Бенделладж ― специалист по вычислительной технике с высшим образованием. Он любит путешествовать, всегда летает первым классом и останавливается в дорогих отелях. ФБР пока не огласило подробности преступления, в совершении которого подозревается алжирец, однако наш старый знакомый Брайан Кребс уже высказал свои предположения на этот счет. По его мнению, задержанный вполне может оказаться одним из анонимных ответчиков по иску Microsoft, поданному против ботоводов ZeuS в начале прошлого года.

В конце ноября многие эксперты зафиксировали значительный рост числа детектов VBNA ― семейства полиморфных червей, использующих функцию автозапуска Windows для сменных носителей.

В Windows 7 эта функция отключена по умолчанию с апреля 2009 г., в XP и Vista ― с февраля 2011 г. Хотя выпуск долгожданного патча не замедлил дать хорошие результаты, многие пользователи до сих пор не удосужились его установить, оставляя открытой лазейку, активно используемую autorun-зловредами.

Червь VBNA, известный также под именами Changeup и VOBFUS, ― угроза отнюдь не новая. Он создает свои копии на локальных и доступных для записи съемных дисках, способен загружать из Сети других зловредов, а некоторые варианты VBNA к тому же блокируют Windows Update, препятствуя обновлению системы. По свидетельству экспертов, новейшая версия червя именует свои копии Porn.exe, Sexy.exe, Passwords.exe и Secret.exe. Кроме того, она создает свои копии с именами всех папок и файлов на диске, снабжая зловредных дублеров иконками стандарта Windows 7. При этом оригиналам присваивается атрибут «скрытый», а в реестре устанавливается запрет на отображение скрытых файлов и папок. Если у пользователя к тому же включена опция «скрывать расширения для зарегистрированных типов файлов» (дефолтная настройка для всех версий Windows), активация вредоносного кода вместо полезного файла практически неизбежна.

После запуска червь подключается к C&C серверу на порту 9003 (как вариант 9004) для получения команды на загрузку и URL источника. Ассортимент этих загрузок весьма широк, от TDSS и фальшивых антивирусов до троянских бэкдоров и даунлоудеров. С конца минувшего месяца обновленный VBNA усердно работает на распространителей р2р-версии ZeuS, известной как Gameover. Установлено, что троянец, загружаемый червем, сохраняется в каталоге профиля текущего пользователя под именем google.exe. Некоторые сайты, которые используются злоумышленниками для дополнительных загрузок, уже недоступны.

Замечено, что новый VBNA распространяется через Facebook или подгружается тем же Gameover. Последний в настоящее время агрессивно раздается через спам, исходящий с ботнета Cutwail. Спам-письма с вредоносным вложением рассылаются от имени американских банков и повествуют о новом защищенном канале, якобы открытом для пересылки конфиденциальной информации. Вместо «шифрованного сообщения», якобы присланного на пробу, вложенный файл с двойным расширением содержит программу-даунлоудер, которую операторы ZeuS обычно используют для его загрузки. В данном случае ZeuS/Gameover, в свою очередь, загружает и запускает VBNA, поддерживая опасный симбиоз. По мнению экспертов, наблюдаемый рост популяции autorun-червя вполне может быть следствием масштабной кампании по засеву Gameover.

Наибольшее количество новых заражений VBNA обнаружено компанией Symantec в Индии и Мексике, немногим менее ― в США, Канаде, ЮАР и на Филиппинах.

Израильская security-компания Check Point Software Technologies и независимый вендор антифрод-решений Versafe опубликовали совместный отчет о недавней атаке на клиентуру европейских банков, проведенной злоумышленниками с помощью десктопной и мобильной модификаций ZeuS. По предварительным оценкам, операторы зловредного тандема украли у жителей Западной Европы свыше 36 млн. евро, опустошив более 30 тыс. корпоративных и частных счетов.

По данным Check Point, первыми под удар попали итальянцы, затем череда автоматизированных грабежей прокатилась по Германии, Голландии и Испании. Опустошительные набеги Eurograbber («захватчика евро»), как окрестили его эксперты, осуществлялись по хорошо известной схеме. Вначале происходит заражение компьютера, через вредоносную ссылку в спаме или drive-by загрузку. Обосновавшись в системе, зловред крадет регистрационные данные к системе онлайн-банкинга и от имени банка запрашивает у жертвы номер мобильного телефона, привязанный к ее счету. На этот номер злоумышленники высылают поддельное SMS-сообщение со ссылкой, по которой на смартфон загружается ZitMo ― облегченная версия ZeuS, работающая на мобильных платформах (в данном случае Android и Blackberry). ZitMo перехватывает и отсылает хозяевам входящие SMS с одноразовыми кодами транзакций (mTAN), используемые многими банками как дополнительный уровень защиты от мошенничества. Эти коды дают злоумышленникам возможность проводить транзакции, инициированные ZeuS от имени жертвы, и выкачивать чужие деньги на подставные счета.

RSA опубликовала результаты анализа новой версии банковского троянца Citadel. Ее отличительной чертой является возможность динамической реконфигурации, позволяющая операторам менять параметры веб-инъекций в реальном времени и закачивать изменения на конкретные боты или группы ботов, не прибегая к стандартной процедуре обновления конфигурационного файла.

Модификация ZeuS, известная как Citadel, позиционируется на черном рынке как SaaS-продукт с полноценной системой сопровождения. Зловред быстро совершенствуется при активном участии всего Citadel-сообщества. v1.3.5.1 Rain Edition, попавший на радары RSA, ― уже шестой релиз в рамках краудсорсинг-проекта, запущенного в начале текущего года.

Эксперты предупреждают о вредоносной рассылке, эксплуатирующей интерес широкой публики к предвыборным дебатам между кандидатами на пост президента США.

Спам-фильтры Websense отсеяли тысячи зловредных писем, замаскированных под новостной бюллетень CNN. Их заголовок гласит: “CNN Breaking News - Mitt Romney Almost President” (“Последние новости от CNN – Митт Ромни почти президент”). По свидетельству экспертов, все кнопки “Full story” (“Читать полностью”) в поддельной ленте “горячих” новостей, вставленной в тело спам-письма, ведут на сайты-редиректы, перенаправляющие получателя на эксплойт-площадки с новейшей версией Blackhole. Целью данной кибератаки является загрузка на машину жертвы версии ZeuS, использующей руткит режима пользователя.

Анализ нового конфигурационного файла Gameover, оказавшегося в распоряжении F-Secure, показал, что операторы этого троянца открыли сезон охоты в системах итальянского онлайн-банкинга. В обновленном файле прописаны около десятка таких систем, включая местные сервисы Deutsche Bank, — подключение к которым должен отслеживать зловред. В числе мишеней оказались и арабские банки.

Эксперты автоматизировали сбор IP-адресов р2р-модификации ZeuS, известной как Gameover, в минувшем мае. Ареал распространения Gameover охватывает Северную и Южную Америку, Западную Европу, страны СНГ, Африку, Ближний Восток и Азиатско-тихоокеанский регион. К удивлению исследователей, около 10% заражений пришлось на долю одной страны ― Италии.

Данные F-Secure подтверждает статистика SecureWorks (ныне в составе Dell), приведенная в добротном исследовании, посвященном Gameover, которое было опубликовано в минувшем июле. По оценке SecureWorks, на долю Италии приходится 9,2% IP-адресов, ассоциированных с данным троянцем, и 5,1% уникальных ботов (расхождение в числах объясняется тем, что эксперты фиксировали динамические IP). Италия занимает 3 место в ТOP 10 стран по числу заражений Gameover ― после США (22,1% ботов, 29,2% IP-адресов) и Германии (7,2% и 4,7% соответственно).

Gameover был идентифицирован как р2р-модификация ZeuS осенью прошлого года, хотя ботнет, созданный на его основе, RSA обнаружила годом ранее. По данным SecureWorks, в настоящее время в составе этой зомби-сети числятся около 680 тыс. зараженных машин в 226 странах. Gameover распространяется через спам-рассылки с ботнета Cutwail. URL, рассылаемый в спамовых письмах, привязан к взломанным сайтам, которые перенаправляют пользователя на эксплойт-площадки Blackhole. В результате отработки эксплойта на машину жертвы загружается даунлоудер, известный как Pony, который закачивает со стороннего ресурса целевой бинарник.

Согласно статистике SecureWorks, с марта по июль Gameover атаковал свыше 40 финансовых учреждений ― в основном, небольших. Особенно он докучал американцам, и ФБР неоднократно публиковало предупреждения о спам-рассылках, нацеленных на засев этого зловреда, а также об особом трюке, который используют его операторы. Чтобы воспрепятствовать отзыву мошеннической транзакции, инициированной Gameover, злоумышленники параллельно проводят DDoS-атаку на банковский сайт.

По свидетельству экспертов RSA, создатели модификации ZeuS, известной как Citadel, полны намерений ограничить доступ к продуктам, создаваемым в рамках краудсорсинг-проекта.

CRM-платформа Citadel была запущена в начале текущего года и уже породила несколько жизнеспособных версий на базе доработанного ZeuS, доказав свою эффективность как бизнес-модель. Линейка зловредов, совершенствуемых при активном участии всех членов Citadel-сообщества, агрессивно штурмует открытый рынок сетевого андеграунда и развивается высокими темпами. Через 2 месяца после выхода Citadel эксперты уже фиксировали в Сети свыше 20 ботнетов, созданных на его основе, общей численностью более 100 тыс. зараженных ПК.

Решение об изъятии Citadel из свободной продажи, озвученное разработчиками, вполне может оказаться маркетинговой уловкой, нацеленной на повышение спроса и увеличение количества продаж. Однако эксперты склонны полагать, что авторы данного зловреда, как и многие их предшественники, просто хотят уйти в тень, чтобы не искушать судьбу. С ростом продаж и масштабов расселения зловреда у исследователей появляется больше шансов скрупулезно изучить его и выработать противоядие. Как следствие, вирусописателям придется больше времени уделять разработке новых механизмов защиты своего детища. Кроме того, бурная деятельность ботоводов не преминет привлечь внимание правоохранительных органов, и в случае успешного расследования авторы вредоносной программы рискуют попасть под раздачу вместе со своими клиентами.

Microsoft идентифицировала двух соучастников онлайн-грабежей, осуществляемых с помощью ZeuS, и внесла соответствующие поправки в свое исковое заявление. В списке анонимов, которых эксперты считают ответственными за создание и использование ботнетов ZeuS, появились имена Евгения Кулибабы и Юрия Коноваленко, отбывающих сроки в туманном Альбионе за аналогичные прегрешения. 

Британские власти обвинили Кулибабу и Коноваленко в создании агентурной сети по выводу денег, украденных с помощью ZeuS, за пределы страны. Осенью прошлого года дроповоды были осуждены и получили одинаковые сроки ― неполных 5 лет. 

Microsoft подала групповой иск о криминальной деятельности, связанной с ZeuS, спустя 4,5 месяца, получив также разрешение суда на захват C&C серверов ZeuS и доменов, задействованных в его командной инфраструктуре. Судя по изменениям, внесенным экспертами в текст искового заявления, Кулибабе и Коноваленко вновь предстоит отвечать за вербовку дропов и координацию их деятельности. Все доказательные материалы компания передала в ФБР, и они могут послужить основанием для возбуждения уголовного дела на территории США. 

Домены ZeuS, вверенные Microsoft, пока находятся под ее контролем, и эксперты надеются добиться бессрочного запрета на их криминальное использование. По оценке ассоциации электронных платежей NACHA, потоки вредоносного спама, использующего ее имя для распространения ZeuS, сократились на 90%. Количество заражений ZeuS с марта уменьшилось более чем в 2 раза и к концу июня охватывало порядка 336,4 тыс. IP-адресов.  

Число командных серверов ZeuS, по данным ZeuS Tracker, в настоящее время составляет около 800, из них активны 363 (статистика приведена по состоянию на 3 июля). Кстати, данные по ZeuS и SpyEye, собираемые швейцарскими активистами, теперь автоматически пополняют черные списки C&C ботнетов, которые Spamhaus запустила через BGP-протокол. 

Спам

20-го марта мы зафиксировали спам-рассылку, нацеленную на пассажиров авиакомпании US Airways. В течение практически всей прошлой недели многочисленным пользователям якобы от компании US Airways рассылалось письмо следующего содержания:

В письме-подделке описывается процесс регистрации полета и приводится код подтверждения для онлайн-бронирования.

По замыслу злоумышленников, если такое письмо получит пассажир, который собирается лететь указанным в письме рейсом, то он, скорее всего, пройдет по ссылке «Online reservation details» («Детали онлайн-бронирования»).

Ссылки в рассылаемых письмах отличались — например, мы видели ссылки на следующие домены: sulichat.hu, prakash.clanteam.com, panvelkarrealtors.com. Пройдя по ссылке, в результате серии редиректов пользователь попадал на страницу с эксплойт-паком BlackHole.