25. júl, 2013 | Bratislava

ESET objavil trójske kone, ktoré zneužívajú známy anonymizačný systém Tor

Antivírusová spoločnosť ESET objavila v júli dva trójske kone, ktorých riadiace servery maskujú svoje skutočné umiestnenie pomocou známeho anonymizačného systému zvaného Tor. Riadiace servery útočníkov na to používajú službu Tor Hidden Services (skryté služby), vďaka čomu vedia zatajiť skutočné umiestnenie servera a tým pádom významne skomplikovať jeho odhalenie, zablokovanie a odstránenie, či už bezpečnostnými výskumníkmi alebo policajnými zložkami.


V prípade trójskeho koňa Win32/Atrax.A ide zrejme o úplne nový škodlivý kód, ktorý bol vytvorený v júli. Nasvedčujú tomu informácie zo súboru, ktoré hovoria, kedy daný súbor vznikol. Na infikovanie počítačov používa e-mailom šírenú prílohu, ktorá sa maskuje za PDF súbor. V skutočnosti však ide o downloader, ktorého úlohou je pripojiť sa na stránku kundenservice-paypal.com, z ktorej do počítača stiahne trójskeho koňa Atrax.A. Stránka kundenservice-paypal.com nie je v žiadnom príbuzenstve so známym platobným systémom PayPal a bola zaregistrovaná taktiež v júli. ESET však nevylučuje, že Atrax.A používa na svoje šírenie aj iné metódy.


Trójsky kôň sa pokúša skryť nie len svoj riadiaci server ale aj samého seba, napríklad pred bezpečnostnými výskumníkmi. Atrax.A sa napríklad pokúša zistiť, či nie je práve analyzovaný – takáto analýza zväčša prebieha na virtuálnom počítači, a práve takýmto sa Atrax.A vyhýba. Pluginy stiahnuté z riadiaceho servera ukladá trójan na disk v zašifrovanej forme. Na šifrovanie používa jedinečné identifikátory prístroja DigitalProductID a MachineGUID.

„Čo znamená, že ak nám takto zašifrovaný plugin pošle niekto na analýzu, bez daných identifikátorov ho nedokážeme rozšifrovať a tým pádom analyzovať,“
hovorí Peter Košinár, bezpečnostný analytik spoločnosti ESET.

Pri analýze našiel ESET dva odlišné typy pluginov. Prvý z nakazeného počítača odosiela vyplnené online formuláre, do ktorých užívateľ vpisuje napríklad osobné údaje. Druhý zase z počítača kradne heslá.

„Tor Hidden Service protokol je účinným spôsobom, ako vytvoriť anonymné spojenie s riadiacim serverom, na kradnutie veľkých objemov dát je však príliš pomalý,“
dodáva na margo odosielania údajov Alexander Matrosov, bezpečnostný výskumník spoločnosti ESET.


V priebehu skúmania tohto trójskeho koňa sa ESETu podarilo dostať sa k prístupu do riadiaceho panelu servera, ktorý vyzerá nasledovne:

Na základe nápisu na tejto vstupnej bráne sa ESET rozhodol pomenovať tohto trójskeho koňa ako Win32/Atrax.A.


Druhým objaveným škodlivým kódom je Win32/Agent.PTA. Ide o staršieho trójskeho koňa, ktorého ESET registruje od roku 2012. Jeho využívanie Tor Hidden Services je však novinkou. Win32/Agent.PTA dokáže z infikovaného prístroja odosielať vyplnené online formuláre a taktiež na ňom dokáže aktivovať funkciu, vďaka ktorej ho môže útočník využívať na surfovanie po webe. Tvorcovia alebo majitelia škodlivého kódu potom môžu vďaka ukradnutým údajom napríklad z internet bankingu obete uskutočniť transakciu priamo s použitím prehliadača svojej obete, čím u banky nespustia výstražný signál, ktorý by sa spustil napríklad po tom, čo sa k slovenskému účtu prihlásil jeho majiteľ nečakane z Mexika.


Kompletnú analýzu týchto dvoch trójskych koňov nájdete na blogu WeLiveSecurity.com.

 



O spoločnosti ESET – už 20 rokov chránime vaše digitálne svety

Spoločnosť ESET je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET drží vďaka zisku 80. ocenenia VB100 v júli 2013 rekord v počte týchto ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia.


ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; San Diegu, USA; Buenos Aires, Argentína a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj v San Diegu, v Prahe, poľskom Krakove, kanadskom Montreale a v Moskve. ESET má zastúpenie vo viac ako 180 krajinách sveta.


Firma už desať rokov za sebou patrí podľa rebríčka Deloitte Technology Fast 500 EMEA medzi najrýchlejšie rastúce technologické spoločnosti v regióne Európy, Blízkeho východu a Afriky. Týždenník Trend ocenil ESET trikrát za sebou titulom Firma roka.