19 cze 2015

Uwaga na złośliwe oprogramowanie udające akta "afery podsłuchowej"

0

Wyciek dokumentów związanych z tzw. "aferą podsłuchową" stał się pretekstem do łatwiejszych ataków socjotechnicznych na użytkowników polskiego Internetu. Jak donosi zespół CERT.PL jednym z takich przypadków stał się plik o nazwie AKTA CAŁE 1-20.exe

Jest to złośliwe oprogramowanie z dużymi możliwościami: działa jako keylogger, rozprzestrzenia się przez dyski przenośne oraz kradnie zapisane w przeglądarkach i rejestrze systemu hasła, a na domiar złego to tylko niektóre możliwości z jakimi będziemy mieć do czynienia uruchamiając zainfekowany plik. Prawdopodobnie rozprzestrzenia się on poprzez strony udostępniające pliki, które użytkownicy przeszukują aby odnaleźć wszystkie akta dotyczące śledztwa. Złośliwe oprogramowanie jest wykrywane przez  45 z 57 rozwiązań antywirusowych prezentowanych w systemie VirusTotal. Analizowany plik to prymitywny robak, którego głównym zadaniem jest kradzież danych, a w większości antywirusów występuje pod nazwą “Rebhip”. Robak ten po infekcji stacji roboczej ofiary wykonuje szereg czynności:

  1. Wykrada hasła z popularnych przeglądarek internetowych takich jak Internet Explorer oraz Firefox.
  2. Kopiuje siebie na wszystkie dyski przenośne i tworzy odpowiedni plik AUTORUN.INF, który powoduje, że komputer z systemem Windows i włączoną opcją autostartu może zostać zainfekowany po włożeniu dysku przenośnego.
  3. Wstrzykuje się do dwóch procesów: explorer.exe oraz iexplore.exe. Za pomocą tego drugiego procesu prowadzi komunikację sieciową z serwerem C&C. W ten sposób omija zapory ogniowe, które sprawdzają aplikacje komunikujące się z Internetem, bo większość użytkowników zezwala procesowi Internet Explorer na taką komunikację.
  4. Dodaje się w czterech różnych kluczach rejestru, aby zagwarantować sobie uruchomienie wraz ze startem systemu.
  5. Wykrada dane dostępowe do serwisu no-ip.com, dzięki czemu atakujący uzyskuje dostęp do większej liczby domen i może często zmieniać serwer C&C.
Oprócz tego złośliwe oprogramowanie zawiera kod, który ma utrudnić jego analizę za pomocą debuggera. Oprócz standardowych technik takich jak sprawdzenie czy program jest debugowany za pomocą flagi IsBeingDebugged  program sprawdza również czy niektóre funkcje nie zaczynają się od instrukcji powodującej zatrzymanie programu. Jest to częsty zabieg stosowany przez osoby analizujące oprogramowanie aby program działał tak długo, aż dojdzie do interesującej funkcji. Złośliwe oprogramowanie implementuje również metody, które pozwalają na uniknięcie środowisk do analizy. Bazują one na sprawdzeniu klucza instalacji systemu Windows, istnienia pewnych bibliotek DLL lub usług. Po wykradnięciu danych przesyłane są one pod adres w domenie no-ip.info, który wskazuje na adres IP w sieci UPC. Jest także dostawcą usług “dynamicznego DNS” co oznacza, że adres IP na który rozwiązuje się nazwa domenowa może się szybko zmieniać.

Zalecamy ostrożność przy otwieraniu poczty pochodzącej z nieznanych źródeł czy pobieraniu plików z niezaufanych stron internetowych.

Źródło:
www.cert.pl

0 komentarze:

Prześlij komentarz

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift