Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Lurk: niebezpieczeństwo tam, gdzie najmniej się go spodziewasz

Dodany 20 lipca 2016, 12:03 CEST
Tagi:

Podczas badania szkodliwego programu o nazwie Lurk na początku lutego 2016 r. wykryliśmy ciekawą rzecz dotyczącą sposobu rozprzestrzeniania się tego trojana bankowego. Z posiadanych przez nas danych wynikało, że użytkownicy zaatakowani przez trojana Lurk zainstalowali na swoich komputerach również oprogramowanie zdalnej administracji Ammyy Admin. Na początku nie poświęciliśmy temu wiele uwagi, jednak dalsze badanie pokazało, że oficjalna strona internetowa z oprogramowaniem Ammyy Admin została najprawdopodobniej zhakowana, a opisywany trojan został pobrany na komputery użytkowników wraz z legalnym oprogramowaniem Ammyy Admin.

Okazało się, że na oficjalnej stronie oprogramowania Ammyy Admin (które jest wykorzystywane w celu uzyskania zdalnego dostępu do pulpitu) znajdował się instalator, który nie posiadał podpisu cyfrowego, oraz archiwum NSIS. W momencie uruchomienia tego archiwum w folderze tymczasowym zostały utworzone dwa pliki i uruchomione w celu wykonania:  

  • aa_v3.exe – instalator narzędzia administracji Ammyy Admin, podpisany sygnaturą cyfrową;
  • ammyysvc.exe – szkodliwy program szpiegowski Trojan-Spy.Win32.Lurk.

Innymi słowy instalator Ammyy Admin dostępny do pobrania na oficjalnej stronie internetowej producenta jest zasadniczo trojanem dropperem stworzonym w celu ukradkowego instalowania szkodliwego programu w systemie, podczas którego wyświetla ekran naśladujący instalację legalnego oprogramowania. Stwierdziliśmy, że dropper był rozprzestrzeniany regularnie (z krótkimi przerwami) przez kilka godzin w dni robocze.  

W listopadzie zeszłego roku inni naukowcy pisali o tej samej metodzie rozprzestrzeniania szkodliwego oprogramowania, jednak publikacja ta nie powstrzymała dystrybucji tego trojana.

lurk_ammyy_01_auto.png

Oficjalna strona internetowa oprogramowania Ammyy Admin. Zwróć uwagę na przycisk ‘Download’

Niektóre przeglądarki (np. Mozilla Firefox) oflagowywały stronę www.ammyy.com jako potencjalnie niebezpieczną w czasie, gdy powstawał ten dokument, ostrzegając o obecności niechcianego oprogramowania.

lurk_ammyy_02_auto.png

Strona ostrzegawcza wyświetlana przez przeglądarkę Mozilla Firefox podczas próby uzyskania dostępu do www.ammyy.com

Aby zapewnić skuteczne rozprzestrzenianie szkodliwego programu cyberprzestępcy zmodyfikowali skrypt PHP na serwerze sieciowym Ammyy Group w taki sposób, że podczas wysyłania żądania pobrania dostarczany był szkodliwy dropper.

lurk_ammyy_03_auto.png

Do skryptu PHP na serwerze sieciowym dodawana była zewnętrzna funkcja

Na początku kwietnia cyberprzestępczy wrzucili nowego, nieco zmodyfikowanego droppera w celu dystrybucji. Podczas uruchamiania program wykorzystywał funkcję GetComputerNameExA w celu sprawdzenia, czy infekowany komputer należał do sieci korporacyjnej; jeśli tak, uruchamiał szkodliwy program Lurk wraz z narzędziem zdalnej administracji. To pokazuje, że cyberprzestępcy polowali w szczególności na stacje robocze i serwery firmowe.   

Należy zauważyć, że tego rodzaju ataki (ang. watering hole) są bardzo skuteczne i podwójnie niebezpieczne, jeśli ich celem są użytkownicy narzędzia zdalnej administracji: stosujące takie narzędzie administratorzy mogą zakładać, że zgłoszone przez oprogramowanie bezpieczeństwa zdarzenie wykrycia szkodliwego oprogramowania (lub szkodliwej aktywności) stanowi fałszywy alarm wywołany obecnością samego narzędzia zdalnej administracji i zezwolić na wykrytą aktywność. Co więcej, administratorzy mogą wyłączyć ochronę i dodać ten szkodliwy program do śledzenia i sprawdzania listy wyjątków, pozwalając mu tym samym zainfekować komputer. Produkty firmy Kaspersky Lab wykrywają ten rodzaj legalnego oprogramowania (zdalne narzędzia administracji), ale z werdyktem „not-a-virus” wyświetlającym żółte okno powiadomienia o wykryciu. W ten sposób użytkownik jest informowany, kiedy na komputerze uruchamiane jest oprogramowanie zdalnego dostępu, ponieważ ten rodzaj oprogramowania był wykorzystywany bez wiedzy i zgodny użytkownika przez osoby stojące za trojanem Lurk i nadal jest stosowany przez cyberprzestępców rozprzestrzeniających inne szkodliwe oprogramowanie stworzone w celu kradzieży pieniędzy.

Jak tylko odkryliśmy, że strona internetowa Ammyy Group została zhakowana i rozprzestrzeniała szkodliwy program, zgłosiliśmy to przedstawicielom firmy. Ammyy Group poinformowała, że strona została sprawdzona, a obcy kod – usunięty. W lutym powiadomiliśmy firmę o trzech takich przypadkach rozprzestrzeniania szkodliwego oprogramowania i za każdym razem problem został rozwiązany, ale tylko tymczasowo.

Co ciekawe, pierwszego czerwca zawartość droppera zmieniła się. Tego dnia pojawiło się doniesienie, że twórcy Lurka zostali aresztowani, a strona internetowa zaczęła rozprzestrzeniać nowy szkodliwy program Trojan-PSW.Win32.Fareit zamiast Lurka; celem tego nowego trojana również była kradzież informacji osobistych. To sugeruje, że cyberprzestępczy, którzy włamali się na stronę Ammyy Admin, oferują możliwość zakupu miejsca w trojanie dropperze w celu rozprzestrzeniania szkodliwego oprogramowania ze strony ammyy.com.   

Poinformowaliśmy Ammy Group o nowym ataku oraz nowym szkodliwym oprogramowaniu rozprzestrzenianym ze strony ammyy.com.    

Produkty firmy Kaspersky Lab chronią proaktywnie użytkowników przed zainstalowaniem szkodliwych droperów (jak również programów Trojan-Spy.Win32.Lurk oraz Trojan-PSW.Win32.Fareit) i blokują pobranie ich ze strony ammyy.com.  

MD5

D93B214C093A9F1E07248962AEB74FC8
FA3F9938845EC466993A0D89517FE4BD
C6847F43C3F55A9536DDCD34B9826C67
5811244C03A0A074E56F44B545A14406
EF231C83CA2952B52F221D957C3A0B93
CFD5093CB2BB3349616D9875176146C1
2F3259F58A33176D938CBD9BC342FDDD
186789B35DFCDFEBFE7F0D4106B1996F
E483C477F78119AF953995672E42B292
B084C2099CE31DD8D3E9D34F31CD606D