18. duben, 2013 | Blog

Přiživit se na cizím neštěstí? Bostonská tragédie je toho příkladem

Od bombového útoku uplynulo jen několik dní a tvůrci malware toho dokázali využít. Internetem se šíří malware díky videím a informacím z Bostonu. Řeč je o Win32/Kelihos.

Aktualizováno: Dle informací se tento botnet nyní přeorientoval na kampaň, která reaguje na výbuch v továrně na hnojiva v Texasu. Vždy připraven!

Malware k šíření využívá kampaň, která rozesílá uživatelům e-maily s odkazy na informace o bombovém útoku v Bostonu. Napadené počítače jsou součástí botnetu, jež emaily rovněž rozesílá. Botnet byl využit k jinému účelu, ale pak přišla možnost profitovat z něčeho, co se dotklo civilizovaného světa – Boston.

Podívejme se na to, jak emaily vypadají, a jakým způsobem může k nakažení dojít. Opět v tom nehledejte nic, co tu ještě nebylo. Zobrazit stránku s odkazy na videa a poslední odkaz udělat jinak. Použít iframe, do toho vložit odkaz na nějaký aplet a dílo je dokonáno. Lidé jsou „klikači“ a když se mi zobrazilo pět videí, proč se nezobrazí to poslední. A ruku na srdce, takto by postupovala naprostá většina lidí.

Pokud se podíváme na to, jak komunikace vypadá:

Celý email se pak uživatelům zobrazuje samozřejmě v příjemnější podobě

Po kliknutí na odkaz v emailu oběť uvidí skutečná videa z Youtube, ta jsou navíc okořeněna škodlivým iframe, směřujícím na stránku obsahující Redkit Exploit:

Poslední iframe odkazuje na stránku obsahující balíček exploitu. Ten spouští řetězec infekce, která končí instalací Win32/Kelihos:

Pečlivě sledujeme botnet, blokujeme každou novou URL se škodlivým odkazem, a naše VirusLaby se věnují tomu, aby byly všechny tyto hrozby detekované.

Zde je příklad toho, jak se již na známých odkazech iframe neobjevuje:

Trochu historie Win32/Kelihos:

Pojďme se vrátit zpět v čase, a podívat se na historii Win32/Kelihos. ESET Kelihos expert Pierre-Marc Bureau již dříve tvrdil, že botnet má stejné operátory jako ty, které působily ve starobylém botnetu Win32/Nuwar (aka Storm). Jeho vyšetřování bylo dobře vysvětleno v roce 2011 prezentaci Virus Bulletin s názvem "Stejný botnet, stejní lidé, nový kód". Zde si ji můžete stáhnout ve formátu PDF.

Tato informace nás nutí podívat se zpět na techniky používané Win32/Nuwar. Malware byl poprvé spatřen v roce 2007 a byl pojmenován podle SPAM kampaně, využívající prostředí extrémního politického napětí mezi USA a Íránem v době, kdy Írán hrozil vojenskou akcí proti Izraeli. Spam kampaň mířila na hrozící jadernou válku ( NUclear WAR) a velkoryse nabídla další "informace" v přiloženém souboru. Předmět použité linky byly natolik poutavé, že výsledkem byly tisíce nakažených počítačů:

Od té doby používají operátoři Win32/Nuwar k šíření malware s pomocí populárních událostí:

 2007/10/31 Halloween http://www.welivesecurity.com/2007/10/31/safe-halloween/

2007/12/24 Vánoce http://www.welivesecurity.com/2007/12/24/new-nuwar-for-christmas/

2007/12/31 Nový rok http://www.welivesecurity.com/2007/12/31/more-nuwar-for-the-new-year/

2008/01/31 Valentýn http://www.welivesecurity.com/2008/01/15/nuwar-for-valentines-day/

04.01.2008 April http://www.welivesecurity.com/2008/04/01/april-storm/

Proto nebylo velkým překvapením, že skupina využila staré techniky s použitím nové šokující události. Proč? Jednoduše proto, že je to stále velmi efektivní.


Soubory, které byly analyzovány:

fjnlj.exe cea7f31873f9019b9de251de129cc796

Win32/TrojanDownloader.Bredolab.AN trojan (kapátko pro Win32/Kelihos)

~! # 91.tmp.exe 0e84b9bc2f1d6f1e1729c3890495bfa3

Win32/PSW.Fareit.A trojan


Zdroj: welivesecurity

 

Petr Šnajdr
Pre-sales Engineer