Ботмрежата PokerAgent, която открихме през 2012 г., е създадена да краде потребителски имена и пароли за Facebook, както и номера на кредитни карти, свързани със социалната мрежа и статистики от игра на Zynga с цел изнудване на потребителите. Заплахата е най-активна в Израел, където са засегнати около 800 компютъра. А откраднатите потребителски имена и пароли са над 16 194.
Накратко
Преди около година вниманието на ESET Security Research Lab (изследователската лаборатория на ESET) бе привлечено от троянец. Първоначалните индикации показваха, че сме на прага на нещо интересно - референции към Facebook, приложението на Zynga за игра на покер и изпълнимият файл (.exe) с име "PokerAgent" и чертите на потмрежа (троянеца търси инструкции за задачи от контролен сървър).
С времето сме засичали различни варианти на подобни троянци познати с общото име MSIL/Agent.NKY. След първоначалното откритие, успяхме да засечем доста вариации на вируса - както по-стари, така и по-нови, което от своя страна ни помогна да се сдобием с данни за заразите с кода, които са най-много в Израел.
След задълбочен анализ на сорс кода на троянеца (който е доста тривиален, кодиран е на C#, което означава лесно декомпилиране) и започнахме да наблюдаваме ботмрежата. Откритията ни може да прочетете тук.
Функционалност
Авторът на вируса разполага с доста голяма база данни от откраднати потребителски имена и пароли за Facebook. Първоначално не знаехме как се е сдобил с тях, но на по-късен етап от разследването ни, успяхме да разкрием и това. Когато заразеният компютър се свързва с командния си сървър, получава задачи за изпълнение. Една подобна "задача" означава един Facebook потребител. Троянецът получава инструкции да влезе в определен Facebook акаунт и да събере следната информация:
- Статистика от Zynga Texas HoldEm Poker за съответното Facebook ID
- Методи за плащане (напр. кредитни карти), свързани със съответния Facebook потребител
Статистиките за Texas HoldEm Poker се изкарват чрез въвеждането на следния URL: facebook2.poker.zynga.com/poker/inc/ajax/profile_popup.php% &platform=1
Той връща отговор, който изглежда като скрийншота по-долу и съдържа информация за потребителя като име, пол, профилна снимка, място в общото класиране и точки, брой приятели в играта и статистики за броя изиграни игри на покер. Троянецът се интересува само от пола на потребителя, точките и класирането му/й. Тази информация се изпраща до командния сървър.
А за да изпълни този адрес, създателят на вируса се нуждае само от Facebook ID на потребителя (уникален номер) и изпълняването на един параметър, свързан със Texas HoldEm Poker.
Повече са самата игра може да научите тук.
За да се сдобие с информация за свързаните с потребителя платежни средства, ботът трябва първо да влезе в акаунта му във Facebook (използвайки потребителско име и парола, изпратени от командния сървър). След това троянецът зарежда адреса secure.facebook.com/settings, след което копира числото между следните HTML тагове: "You have <strong>X</strong> payment methods saved." от кода на страницата.
Съветваме ви да сте изключително внимателни когато запаметявате номер на кредитна карта в което и да е странично приложение, не само Facebook!
След това, събраната информация отново се връща към командния сървър, за да ъпдейтне базата данни на създателя на вируса.
А ботът (или заразения компютър) може да бъде използван, за да изпълни още една задача от името на потребителя:
Публикува линк от името на заразения
Целта на тази функционалност е да пренасочи други Facebook потребители (например приятелите на вече засегнат потребител) към фалшив сайт за влизане във Facebook. В момента, в който някой захапе въдицата - т.е. кликне на линка и бъде пренасочен към копието на Facebook и въведе потребителското си име и паролата си там - той автоматично ги споделя на създателя на бота. Т.е. акаунтът му е компрометиран.
Споделеният линк изглежда като истински - URL и текст, които заедно представляват следния пост във Facebook:
Линкът води към страница, подобна на тази по-долу. По време на изследването на ботнета, станахме свидетели на неколкократна смяна на страниците, към които води споделеният линк. А всички белези на страниците показват, че атаката е насочена директно срещу израелски потребители. В самите страници се съдържат жълтини, които подлъгват потребителите да кликнат върху тях.
Каквато и да е темата обаче, потребителят винаги е пренасочван към фалшиво копие на Facebook, която изисква въвеждането на потребителско име и парола. Разликата е само в адреса на страницата.
Съвсем логично, след като потребителят попълни формата на фалшивото копие на Facebook, данните му биват изпращани към атакуващия.
Анализът на кода показва и още една интересна черта на вируса. В него се съдържа функцията ShouldPublish, която определя дали акаунтът на потребителя да бъде експлоатиран за споделяне на линкове. Условието за това е наличието на кредитни карти в профила и класацията му в Texas HoldEm Poker. Ако профилът отговаря на някое от двете условия, вирусът счита атаката за успешна. Ако не - троянецът продължава с търсенето на нови жертви.
Как се случва атаката?
Трябва да отбележим, че за разлика от други троянци, разпространявани през Facebook, този по никакъв начин не се меси в акаунта на потребителя. Той просто служи като димна завеса, за да може нелегалните действия - или задачите, подавани към ботовете - да не бъдат извършвани от компютъра на създателя на кода.
Имайки предвид това, нашето заключение, е че ботмрежата е създадена, за да:
Разшири вече съществуваща база данни от крадени потребителски имена и пароли за Facebook
Съответната база данни да бъде ъпдейтната с допълнителна информация - например брой платежни средства и информация за външно приложение, каквото е Texas HoldEm Poker.
Оттам насетне можем само да спекулираме как атакуващият ще използва тази информация.
Между другото, всеки, използващ ESET Social Media Scanner напълно безплатно, щеше да си спести цялото главоболи, тъй като приложението щеше да засече фалшивите линкове, на които евентуално биха се хванали различни потребители.