Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Przypomnienie: ostrożnie z otwieraniem faktur 21 marca

Dodany 24 kwietnia 2013, 14:50 CEST

4 marca odnotowaliśmy dużą liczbę nietypowych e-maili zablokowanych przez nasz produkt Linux Mail Security. Wszystkie e-maile zawierały ten sam załącznik PDF (MD5: 97b720519aefa00da58026f03d818251), ale były wysyłane z wielu różnych adresów źródłowych.

Wiadomości te były napisane w języku niemieckim i w większości zostały wysłane z niemieckich adresów IP. Poniżej znajduje się mapa pokazująca rozkład adresów:

Nazwy komputerów wymieniane w nagłówkach e-mail często miały formę Andreas-PC lub Kerstin-Laptop (imiona zostały zmienione dla ochrony ofiar) sugerując, że zostały wysłane z niemieckich komputerów domowych.

Poniżej znajduje się przykładowy e-mail:

Przykładowy e-mail

Nazwy załączników PDF miały formę: „Mahnung recipents name.pdf” (Mahnung oznacza „przypomnienie” lub „powiadomienie o opóźnieniu w płatności”), a wykorzystywanym exploitem był CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). PDF został zablokowany przez Kaspersky ZETA Shield i jest wykrywany jako Exploit.JS.CVE-2010-0188.e. Exploit nie jest łatwy do wykrycia, ponieważ ukrywa się pod dwiema warstwami JavaScript.

Pierwsza warstwa Javascript

Druga warstwa Javascript

Odszyfrowany Shellcode

Druga warstwa wygląda bardzo podobnie do kodu JavaScript, jaki widzieliśmy w kilku próbkach zestawu exploitów BlackHole z zeszłego roku. Jeżeli exploitowi powiedzie się, pobierze plik wykonywalny z seodirect-proxy.com/adobe-update.exe.

Pobrane szkodliwe oprogramowanie (MD5: 3772e3c2945e472247241ac27fbf5a16) jest wykrywane przez Kaspersky Lab jako Trojan.Win32.Yakes.cngh. Zawiera różne włoskie ciągi znaków (“lastoriasiamo”, “famiglia”, “badalamenti”, "impastato"), które mogą mieć związek z Mafią. Zawiera również następujące informacje o wersji:

BTP to prawdopodobnie obligacje włoskiego rządu, Bund to obligacje niemieckiego rządu, natomiast „Spread BTP/Bund” to sposób porównania różnicy między dochodami.

Gdy szkodliwe oprogramowanie działa, wyświetla następujący komunikat o błędzie:

Następnie instaluje się w folderze tymczasowym z losową nazwą (np. vlsnekunrn.pre) i próbuje skontaktować się z zeouk-gt.com.

Przeszłość

Przeglądając nasze wcześniejsze informacje zwrotne zauważyliśmy podobne schematy w dniach 4 i 21 kilku miesięcy.

Luty 2013

21 lutego zablokowaliśmy ogromną liczbę e-maili zawierających bardzo podobny załącznik PDF. Tym razem w nazwach załączników znajdował się wyraz „Rechnung” (co oznacza „faktura”) oraz data (np. Rechnung_201302.pdf oraz 2013_02rechnung.pdf). Nadawcy pochodzili z bardzo różnych państw, w tym z Afryki Południowej, Stanów Zjednoczonych, Australii i Japonii. Tym razem nazwy komputerów wymieniane w nagłówkach e-maili wyglądały na wygenerowane losowo (np. ydopsgf i bxahwdkw) i - co ciekawe – nagłówki zawierały również odwołanie do domeny zeus3.hostwaycloud.com.

Odszyfrowany JavaScript dla tego exploita był prawie identyczny z próbką powyżej, jednak szkodliwe oprogramowanie było pobierane z kilku adresów URL:

allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe

corcagnani.de/host.exe

kkc-hannover.de/modules/mod_search/helper.exe

capital-success.de/pg/helper.exe

Styczeń 2013

4 stycznia próbka miała nazwę Rechnung201301.pdf, a szkodnik był pobierany z następujących adresów URL:

kohnle-gros.de/css/styleneu.exe

fairdealshop.co.uk/modules/mod_newsflash/helper.exe

emct.org.uk/downloads/server-stats.exe

Listopad 2012

21 listopada próbka miała nazwę RECHNUNG000201211.pdf i pobierała szkodnika z:

rocketmou.se/stuff/corduroyshop/corduroyshop.exe

coachplay.co.il/mapa/images/mapa.exe

Przyszłość

Wygląda na to, że jest to bardzo dobrze przemyślana kampania i nie zanosi się na jej koniec. Dlatego, jeżeli otrzymasz fakturę 21 marca lub 4 kwietnia, zachowaj szczególną ostrożność. Z drugiej strony, autorzy mogą zmienić datę faktury, dlatego lepiej mieć się na baczności przez cały czas.