Niedawny wyciek dokumentów związanych z aferą podsłuchową stał się pretekstem do łatwiejszych ataków socjotechnicznych na użytkowników polskiego Internetu. W jednym z takich przypadków plik o nazwie AKTA CAŁE 1-20.exe, mający udawać akta związane ze śledztwem, tak naprawdę jest złośliwym oprogramowaniem z dosyć szerokim wachlarzem możliwości. Logowanie wciśniętych klawiszy, rozprzestrzenianie się przez dyski przenośne czy kradzież zapisanych w przeglądarkach i rejestrze systemu haseł to tylko niektóre z nieprzyjemności, jakie możemy napotkać uruchamiając wspomniany plik.
Opis techniczny
Niestety nie wiemy w jaki sposób to złośliwe oprogramowanie zaczęło się rozprzestrzeniać. Możliwe, że, tak jak we wcześniej opisywanych przypadkach, po prostu znajduje się na stronie udostępniającej pliki, którą użytkownicy przeszukują, aby odnaleźć wszystkie akta śledztwa. Oprogramowanie jest wykrywane przez aż 45 z 57 rozwiązań antywirusowych prezentowanych w systemie VirusTotal. Jest to spodziewane, gdyż analizowany plik to bardzo prymitywny robak, którego głównym zadaniem jest kradzież danych. Większość producentów antywirusowych nazywa go „Rebhip”.
- Wykrada hasła z popularnych przeglądarek internetowych Internet Explorer oraz Firefox.
- Kopiuje siebie na wszystkie dyski przenośne i tworzy odpowiedni plik
AUTORUN.INF, który powoduje, że komputer z systemem Windows i włączoną opcją autostartu może zostać zainfekowany po włożeniu dysku przenośnego. - Wstrzykuje się do dwóch procesów:
explorer.exeoraziexplore.exe. Za pomocą tego drugiego procesu prowadzi komunikację sieciową z serwerem C&C. W ten sposób omija zapory ogniowe, które sprawdzają aplikacje komunikujące się z Internetem, bo większość użytkowników zezwala procesowi Internet Explorer na taką komunikację. - Dodaje się w czterech różnych kluczach rejestru, aby zagwarantować sobie uruchomienie wraz ze startem systemu.
- Wykrada dane dostępowe do serwisu no-ip.com, dzięki czemu atakujący uzyskuje dostęp do większej liczby domen i może często zmieniać serwer C&C.
Złośliwe oprogramowanie, po infekcji, wykonuje szereg czynności, które są potencjalnie niebezpieczne dla ofiary.
Oprócz tego złośliwe oprogramowanie również zawiera kod, który ma utrudnić jego analizę za pomocą debuggera. Oprócz standardowych technik takich jak sprawdzenie czy program jest debuggowany za pomocą flagi IsBeingDebugged, program sprawdza również czy niektóre funkcje nie zaczynają się od instrukcji powodującej zatrzymanie programu. Jest to częsty zabieg stosowany przez osoby analizujące oprogramowanie, aby program działał tak długo, aż dojdzie do interesującej funkcji.
Złośliwe oprogramowanie implementuje również wiele metod, które pozwalają na uniknięcie środowisk do analizy. Bazują one na sprawdzeniu klucza instalacji systemu Windows, istnienia pewnych bibliotek DLL lub usług. Po wykradnięciu danych przesyłane one są pod adres w domenie no-ip.info, który rozwiązuje się na adres IP w sieci UPC. no-ip.info jest dostawcą usług „dynamicznego DNS”, co oznacza, że adres IP, na który rozwiązuje się nazwa domenowa może się szybko zmieniać.
Podsumowanie
Niestety, wielokrotnie już byliśmy świadkami jak znaczące wydarzenie zostaje wykorzystane do ataków socjotechnicznych. Tak było w przypadku trzęsienia ziemi w Nepalu, kiedy to założono co najmniej 15 fałszywych stron internetowych proszących o dotację w imieniu Międzynarodowego Czerwonego Krzyża. Tak jest też w przypadku najnowszego ataku choroby MERS – koń trojański był dystrybuowany jako rzekoma lista zarażonych pacjentów.
Jak widać nie są to przeważnie zaawansowane technologicznie ataki i nie mamy statystyk dotyczących ich skuteczności, ale żerowanie na ciekawości ludzi, szczególnie w przypadku gdy poszukują informacji w sieci, może okazać się bardzo dobrą taktyką.
Wszystkim zalecamy ostrożność przy otwieraniu poczty pochodzącej z nieznanych źródeł czy pobieraniu plików z niezaufanych stron internetowych.
Polecamy lekturę biuletynów OUCH!, które pomogą np. w przypadku, gdy komputer jest już zainfekowany.
