3 February 2016

Киберпреступники используют сервер Amazon для управления вредоносной программой Win32/Bayrob

ESET NOD32 corporate blog
Последние несколько месяцев наши аналитики выполняли анализ нескольких вредоносных программ, которые получили достаточно широкое распространение в таких странах как Германия и Испания. Одним из интересных примеров такой вредоносной программы был троян Nemucod, о котором мы писали ранее. В функции Nemucod входила задача распространения вымогателя Teslacrypt.



В этом посте мы расскажем о новом трояне под названием Bayrob, который был направлен на массовое заражение пользователей ряда стран с середины декабря прошлого года. Особенность одной из модификаций этого трояна заключается в том, что в качестве управляющего C&C-сервера был использован сервер принадлежащий компании Amazon.

Подобно другим вредоносным кампаниям, злоумышленники распространяют Win32/Bayrob с использованием фишинговых сообщений, вложения которых содержат вредоносные программы. В некоторых случаях сообщения маскировались под рассылку от Amazon, что можно быстро опровергнуть внимательно посмотрев на электронный адрес отправителя.


Рис. Фишинговое письмо с вредоносным вложением, которое использовалось для распространения Bayrob.

Исполняемый файл дроппера Bayrob упакован в zip-архив и после своего запуска в системе он начинает выполнять свои вредоносные действия. Троян отображает пользователю специальное сообщение об ошибке, которое утверждает, что загруженный файл не может быть запущен в системе. Таким образом у пользователя создается впечатление, что программа не была запущена в ОС, хотя она уже начала выполнять свою работу.


Рис. Сообщение об ошибке для запутывания пользователя.

Троян регистрирует себя в системе как сервис и таким образом обеспечивает себе автозагрузку в ней. В дальнейшем он будет использоваться злоумышленниками как бэкдор, в том числе, для кражи следующей информации с компьютера и передачи ее на удаленный сервер.

  • Версия ОС
  • Имя компьютера
  • IP-адрес компьютера
  • Информация об ОС и системных настройках
  • MAC адрес
  • Список запущенных сервисов

Разумеется, указанная выше информация не является главной целью для злоумышленников, так как они нацелены на кражу таких конфиденциальных данных пользователя как данные его кредитной карты и аутентификационные данные онлайн-банкинга. Бот взаимодействует с операторами посредством подключения к C&C-серверу по HTTP-протоколу и способен выполнять следующие задачи.

  • Загружать в скомпрометированную систему полученные с удаленного сервера файлы.
  • Запускать файлы на исполнение.
  • Отправлять на удаленный сервер информацию о списке запущенных в системе процессов.
  • Отправлять на сервер прочую интересную для злоумышленников информацию.
  • Обновлять себя до более актуальной версии.

Другой интересной функцией трояна является механизм генерации URL-адресов (DGA), который позволяет ему получать адреса активных C&C-серверов. Кроме этой функции, бот содержит в своем теле и один фиксированный URL-адрес сервера. Ниже указаны три домена, которые использует Bayrob.



C использованием информации сервиса whois, которая представлена ниже, мы выяснили, что домен «simplemodern.net» зарегистрирован на компанию Amazon Japan. Это может свидетельствовать о том, что злоумышленники могли арендовать сервер в инфраструктуре Amazon Web Services и использовать его для отправки команд боту.



Этот факт, в свою очередь, не означает, что какой-либо из серверов Amazon был скомпрометирован. Это говорит о том, что стоящие за вредоносной кампанией злоумышленники использовали существующую инфраструктуру веб-сервисов Amazon Japan. Такая ситуация использования легитимного ресурса в качестве вредоносного веб-сервера может позволить правоохранительным органам обратиться в компанию Amazon с запросом о деактивации сервера и, возможно, с еще одним запросом на предоставление информации о его арендаторе.

Как и в случае с некоторыми другими недавними угрозами, которые мы анализировали до Bayrob, ее активность распространения находится в существенной зависимости от региона или страны. В нашем случае, злоумышленники сосредоточили свои усилия на странах Европы, Южной Африки, Австралии, и Новой Зеландии. В числе наиболее пострадавших стран вошли Германия и Испания. Статистика активности вредоносной программы с портала Virus Radar показывает, что для этих двух стран коэффициент ее преобладания был выше 15%. Данные рассчитывались с середины декабря 2015 г. до середины января 2016 г.



Рис. Наиболее активные вредоносные программы в Германии за указанный период.


Рис. Наиболее активные вредоносные программы в Испании за указанный период.

Как показано на графике ниже, предыдущие варианты трояна Win32/Bayrob не были так широко распространены как тот вариант, который использовался в недавних атаках с середины декабря.


Рис. Динамика активности Bayrob.

Уровень распространения вредоносной программы для различных стран, как показано на карте выше, не является таким высоким для Северной и Южной Америки, а также Азии, и большинства стран Африки. Такая статистика является довольно странной, поскольку мы обнаруживали фишинговые сообщения Bayrob на нескольких языках, возможно, злоумышленники используют специальную тактику направленности трояна на конкретные страны в разное время.

Заключение

Такой тип вредоносных кампаний, который был описан нами выше, и используется злоумышленниками для заражения большого количества пользователей в фиксированные промежутки времени, становится все более распространенным. Подобная ситуация может означать перемещение акцентов злоумышленников с механизма заражения как можно большего количества пользователей в мире на направленные атаки на пользователей конкретной страны.

Указанный выше метод распространения вредоносных программ является хорошо известным и антивирусным компаниям следует прилагать больше усилий, направленных на информирование пользователей об опасности открытия вложений фишинговых сообщений.
Tags:malware
Hubs: ESET NOD32 corporate blog
+5
4.9k 17
Comments 2