14 Февраля, 2012

Новый троян использует Sendspace

Алёна
Все знают что такое sendspace.com - многие хранят там свои данные, отправляют, получают и отслеживают объемные файлы. Не так давно мы обнаружили вредоносный софт, который «собирает» файлы MS Word и Excel в зараженной пользовательской системе, а затем загружает их на тот самый Sendspace. Это первый зарегистрированный случай использования вредоносного ПО для загрузки украденных данных на сайт-файлообменник. Хотя он и раньше использовался для хранения похищенных данных с той лишь разницей, что теперь сохранение информации выполняется автоматически, а не вручную. Известно, что в прошлом году хакеры прибегали к услугам Sendspace для хранения и загрузки украденных данных.

Атака начинается с загрузки вредоносного файла Fedex_Invoice.exe, который опознается как
TROJ_DOFOIL.GE . Из имени файла можно сделать вывод, что это вредоносное ПО используется для спам-рекламы посредством рассылки сообщений, замаскированных под уведомления об отправке FedEx. Запущенный файл TROJ_DOFOIL.GE загружает и выполняет TSPY_SPCESEND.A .

Подробности взлома
TSPY_SPCESEND.A. Эта программа-загрузчик также устанавливает и другие вредоносные исполняемые файлы, включая FAKEAV из
аффилированной сети B estAV и FakeHDD сети Y amba . Последние загружаются со взломанных легальных веб-сайтов. Кроме того, этот троян использует тот же сервер C&C, что и TSPY_SPCESEND.A, поэтому есть все основания предположить, что «авторы» нового трояна также занимаются незаконной деятельностью Pay-Per-Sell (PPS).

К настоящему моменту Trend Micro обнаружили три сервера C&C, используемых вредоносными программами: {BLOCKED}28889.ru, {BLOCKED}8483825.ru и {BLOCKED}372721.ru. Эти три домена указывают на IP-адреса 31.184.237.143 и 31.184.237.142. Данные IP-адреса, а также ряд других IP-адресов того же диапазона используются для размещения вредоносных файлов (включая боты BFBot (Palevo), NgrBot и IRCBot) еще с июля 2011 г.


В структуре каталогов на сервере C&C присутствует «открытый каталог», содержащий файл журнала, в котором регистрируется эта информация. В каталоге присутствуют два файла, которые содержат одинаковую информацию: log.txt и serialse.txt. Единственное различие заключается в том, что файл serialse.txt отформатирован для автоматического программного разбора (по-видимому, используется формат JSON). Журнал содержит следующие сведения о жертвах и загруженных данных.


Trend Micro изучили этот журнал и обнаружили, что всего атаке подверглось 18644 жертв (на основе идентификатора, присваиваемого жертвам) с 21929 уникальными IP-адресами из более чем 150 стран и 19695 уникальными сгенерированными URL-адресами на sendspace.




Страна Число жертв (на основе IP-адреса)
США 13939
Великобритания 1877
Индия 669
Канада 619
Австралия 568
Испания 391
Китай 304
Мексика 292
Турция 206
Колумбия 189
Германия 178
ОАЭ 139
ЮАР 134
Франция 121
Нидерланды 120

Некоторые жертвы были определены посредством поиска IP-адресов в базах данных WhoIs региональных интернет-регистраторов. Хотя большинство IP-адресов входят в диапазоны интернет-провайдеров (то есть, принадлежат частным или коммерческим абонентам), мы установили, что атаке подверглось несколько правительственных, учебных и корпоративных сетей.


Новая тенденция: хранение украденных данных во внешних инфраструктурах хранения.
Сегодня злоумышленники все чаще используют бесплатные онлайн-службы для хранения украденной информации. Это избавляет их от необходимости настраивать собственный сервер для хранения большого объема данных.

Иван Макалинтал (Ivan Macalintal), евангелист Trend Micro, считает, что этот способ скоро может стать весьма популярным среди преступников. «Нам уже известны примеры сайтов или зон выгрузки, которые размещаются в доменах, принадлежащих киберпреступникам. А теперь мы видим, что преступники стали использовать «добропорядочные» облачные среды ради наживы», — объясняет он.

Эта новая методика бросает серьезный вызов как специалистам по информационной защите, так и рядовым пользователям. Она открывает возможность хищения данных массовым образом, а не только путем узконаправленных атак.

Сотрудничество Trend Micro и Sendspace

Узнав об атаке, мы связались с sendspace и предоставили администрации сайта собранную нами информацию, чтобы они могли принять меры для решения проблемы. В результате администрация sendspace обнаружила и удалила более 75000 загруженных вредоносных архивов со своего сервера. По данным журналов загрузки, первый архив был загружен 25 декабря 2011 года, то есть именно в этот день началась акция злоумышленников.


При поддержке Trend Micro sendspace проводит мониторинг своих серверов и блокирует архивы, загружаемые данным трояном на sendspace. Это позволяет своевременно удалять украденные документы с сервера. Иными словами, злоумышленники не смогут получить свою «добычу».


Мы рады помочь sendspace в пресечении деятельности злоумышленников. Тем не менее, велика вероятность того, что это далеко не последний случай подобных атак.


Также хотим поблагодарить Нарта Вильнева (Nart Villeneuve), руководителя отдела исследования угроз, за помощь.



http://arstechnica.com/business/news/2011/12/how-hackers-gave-subway-a-30-million-lesson-in-point-of-sale-security.ars
или введите имя