Как правило, банковские троянцы нацелены сразу на несколько систем ДБО. Наиболее яркими примерами являются многофункциональные боты Zbot и Carberp. Однако недавно мы обнаружили банковского троянца, который нацелен всего лишь на одну систему онлайн-банкинга — «PSB-Retail» Промсвязьбанка. Cхема его работы представляет определенный интерес.

Троянец распространяется при помощи drive-by загрузок. На зараженном компьютере эта вредоносная программа, в первую очередь, прописывает специальный URL в пункт настроек соединения с интернетом «Использовать скрипт автоматической настройки»:

Известно, что злоумышленники активно пользуются крупными информационными поводами для достижения своих целей: обмана или заражения пользователей. Темами могут быть, к примеру, смерть Каддафи или праздник Дня памяти. Как правило, злоумышленники ограничиваются рассылкой тематического спама, сообщений в социальных сетях или продвижением вредоносного веб-сайта в выдаче поисковых систем по популярным у пользователей запросам.

Однако, как выясняется, злоумышленники способны на большее. Четвертого декабря в России состоятся выборы в Государственную думу. Накануне избиратели активно посещают веб-сайты партий с целью получения различной информации о кандидатах и предвыборной программе. И, выполняя даже такие безобидные действия, ничего не подозревающие пользователи могут быть атакованы.

Когда разговор заходит о заражении легитимных веб-сайтов, обычно вспоминаются различные массовые инфекции. Речь в таких случаях идет о заражении большого количества сайтов, объединенных по какому-то признаку. Как правило, либо взламывается крупный хостинг-провайдер, и злоумышленник получает доступ к размещенным на нем ресурсам, либо обнаруживается уязвимость в популярной системе управления содержимым веб-сайтами. Существуют и более изощренные схемы — достаточно вспомнить очень распространенных в свое время троянцев Gumblar и Pegel.

Однако некоторые злоумышленники работают по другой схеме. Недавно мы обнаружили нетривиальную серию заражений веб-ресурсов: злоумышленники не гонятся за количеством и целенаправленно заражают сайты известных российских организаций, СМИ и различных государственных служб.

Ниже приведен неполный список ресурсов, которые были подвержены заражению:

Как известно, в сущности, киберкриминальный бизнес — это такой же бизнес, как, например, производство макаронных изделий или продажа запчастей для автомобилей. У него есть свои издержки и статьи расхода. Разумеется, как и любой предприниматель, злоумышленник пытается сэкономить на атаке и минимизировать ее себестоимость.

В общем случае, для веб-атаки необходимо наличие доменного имени и хостинга для размещения вредоносных файлов. В случае хостинга все достаточно просто: злоумышленник либо покупает его самостоятельно, либо пользуется взломанными серверами для расположения своих файлов. Средства защиты от атак не могут быстро заблокировать хостинг целиком, поскольку на нем могут располагаться легитимные ресурсы.

Доменные имена же достаточно быстро блокируются комплексными средствами защиты. В связи с этим, злоумышленнику приходится постоянно менять доменные имена, с которых происходит атака.

Регистрация доменного имени второго уровня стоит относительно много (в среднем от 5 до 20 долларов за штуку), поэтому последнее время злоумышленники все чаще пытаются экономить и используют сервисы бесплатных доменных имен третьего уровня.

За последний год лидерами в области регистрации доменных имен третьего уровня для вредоносных целей являются сервисы co.cc и cz.cc. Каждый день в этой зоне регистрировались сотни доменных имен, с которых распространялось огромное количество различных вредоносных программ.

Однако пару недель назад произошло беспрецендентное событие — поисковая система Google принудительно удалила все ресурсы, которые располагались в доменной зоне co.cc, из своих результатов.

В связи с этим злоумышленникам стало невыгодно регистрировать доменные имена в этой зоне — особенно тем, кто имеет дело с поисковыми системами (например, распространяющим поддельные антивирусы с помощью черной поисковой оптимизации).

«Последний выходной день прошел отлично: было тепло и светило солнце, поэтому мы весь день гуляли с друзьями, радуясь наступающей весне. Вдобавок, придя домой, я обнаружил в почтовом ящике письмо от интернет-магазина, где я регулярно покупаю одежду и обувь. В нем меня поздравили и сообщили, что я могу получить бесплатную дисконтную карту. Отличное завершение дня!»

Наверное, приблизительно такое сообщение я бы хотел опубликовать в блог. Однако в конце марта в России холодно и ветрено, а за «бесплатными дисконтными картами» зачастую скрываются угрозы безопасности.

В процессе слежения за угрозой Pegel мы обнаружили занятную особенность: переходы на зловредные веб-страницы с эксплойтами стали осуществляться не только с зараженных легитимных веб-страниц, но и с флеш-роликов, которые также располагались на легитимных веб-сайтах. Естественно, такое нестандартное поведение не могло нас не заинтересовать, и мы решили изучить его подробнее.

Подобный флеш-ролик в браузере выглядел как ничем не примечательный баннер, и при клике на него мы действительно попадали на рекламируемый веб-сайт.

Однако проанализировав ActionScript-код ролика, мы обнаружили следующий скрипт, который исполнялся непосредственно при загрузке самого ролика:

Если говорить вкратце, то попутно с отображением баннера незаметно исполнялся скрипт, расположенный на сервере злоумышленников, который и перенаправлял пользователя на веб-страницу с эксплойтами.

В итоге мы пришли к выводу, что статичный баннер-картинка на легитимных веб-сайтах был заменен на флеш-ролик с «изюминкой». Оставался один вопрос — каким образом?

Как выяснилось, на всех зараженных таким образом веб-сайтах была установлена баннерная платформа OpenX. А в декабре прошлого года для OpenX был представлен новый модуль — Open Flash Chart 2. Примечательно, что в этом модуле чуть раньше была найдена уязвимость, которая и позволяла злоумышленникам загружать на сервер исполняемый код.

Похоже, разработчики OpenX не знали об этой уязвимости и предложили своим пользователям скачать уязвимую версию модуля. В результате такой оплошности среди зараженных веб-сайтов оказались, например, thepiratebay.org, esarcasm.com, tutu.ru и множество других ресурсов, которые использовали платформу OpenX и уязвимый модуль.

Злоумышленники также позаботились о том, чтобы пользователи OpenX не смогли обновиться до последней версии продукта с исправленной уязвимостью, для чего организовали DDoS-атаку на официальный веб-сайт проекта – openx.org. Веб-сайт до сих пор находится в нерабочем состоянии, однако ссылка на новый дистрибутив функционирует — его можно скачать отсюда.

Администраторам ресурсов, использующих OpenX, рекомендуется установить новую версию платформы либо временно удалить файл admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php из директории, в которой установлен OpenX.

В процессе поиска новых угроз в сети на одном из сайтов, распространяющих нелицензионное программное обеспечение, я обнаружил плавающий баннер с рекламой некоторой «медийной социальной сети».

В наиболее распространенных продуктах компании Adobe — Acrobat/Reader — заинтересованные лица продолжают находить уязвимости и успешно их использовать.

Так, несколько дней назад к нам в Лабораторию попал интересный PDF-файл (детектируется как Exploit.JS.Pdfka.bui), в котором содержалось эксплуатирование обнаруженной в феврале уязвимости CVE-2010-0188 в Acrobat/Reader версии 9.3 и ниже.

В первую очередь в глаза бросается заведомо неправильно сформированное TIFF-изображение, которое находится внутри исходного PDF-файла.

 

Уязвимость — переполнение буфера — проявляется при обращении к полю, содержащему это изображение. Сама же атака осуществляется с помощью техники heap spraying, которая активно используется во многих эксплойтах к продуктам, которые могут обрабатывать JavaScript-код. К примеру, последняя громкая атака Aurora, была проведена с применением именно этой техники.

При удачном использовании вышеописанной уязвимости, адрес возврата перезаписывается заранее известным адресом 0xC0C0C0C0, по которому находится контролируемый злоумышленниками код.