Zdá se, že rozvoj hlavního modulu SpyEye zastavena loni na podzim verzi 1.3.48 - a to je nyní dominantní kmen SpyEye malware.
SpyEye distribuce verze pro období od 1. ledna 2012 *
* Ostatní (7%) zahrnuje: 1.2.50 a 1.2.58 a 1.2.71 a 1.2.80 a 1.2.82 a 1.2.93 a 1.3.5, 1.3. 9, 1.3.25, 1.3.26, 1.3.30, 1.3.32, 1.3.37, 1.3.41, 1.3.44.
* Ostatní (7%) zahrnuje: 1.2.50 a 1.2.58 a 1.2.71 a 1.2.80 a 1.2.82 a 1.2.93 a 1.3.5, 1.3. 9, 1.3.25, 1.3.26, 1.3.30, 1.3.32, 1.3.37, 1.3.41, 1.3.44.
Ale právě proto, že autoři nejsou rozvoji této platformě, neznamená to, že SpyEye již není získávání nových funkcí. Jádro kódu umožňuje komukoliv vytvořit a připojit vlastní pluginy (DLL knihovny). Byl jsem analýzu vzorků SpyEye od začátku roku, a já jsem počítal 35 různých pluginů. Níže můžete vidět tabulku s těmito pluginy a odpovídající počet vzorků, které byly zařazeny tyto programy:
|
|
Nedávno jsem zahlédl nový plugin poprvé - flashcamcontrol.dll. Jeho jméno Zaujalo mě to a já jsem se podívat dovnitř, aby objasnila, co dělá. Ukázalo se, že se používá k ovládání webkamery z infikovaného počítače. Tento plugin má konfigurační soubor a našel jsem seznam stránek jmen německých bank v něm. Knihovna flashcamcontrol.dll upravuje Flashplayer oprávnění, což flash dokumenty stažené z vybraných lokalit na seznamu konfigurace použít webovou kameru a mikrofon bez požadavku na uživatele, jak je uvedeno níže:
To je, jak to dělá DLL. Pomocí nastavení Flashplayer cestu:
hledá složek vztahujících se k bance masky "# name> webu <bank" a soubor "settings.sol" v této složce je oprava:
umožňuje "Povolit vždy" možnosti pro webové kamery a mikrofonu.
To je vše, tato knihovna dělá. Je zřejmé, že to je jen součástí většího plánu, a tam je víc. Objevil jsem něco víc v konfiguraci jiného SpyEye pluginu s názvem webfakes.dll, kde jsou uvedeny následující pravidla:
Pokud uživatel navštíví infikovanou místě určeném banky a prohlížečem zpracování stránce požaduje vzplanutí dokumentu prostřednictvím odkazu z prvního sloupce, webfakes.dll plugin (který běží v rámci prohlížeče) zjistí, že žádost a nahradí jej adresa z druhého sloupce - adresa řízen vetřelci. V důsledku toho se prohlížeč načíst nebezpečný dokument od útočníka serveru odst. statistiktop.com) namísto flash doklad z banky místě.
Tady jsem předpokládal, že banky byly pomocí webové kamery k potvrzení totožnosti svých on-line klientů, a útočníci chtěli obejít toto nové opatření. Můj první předpoklad byl rozpoznávání obličejů. Tento nápad byl asi delší dobu: při registraci, je klient fotografoval, biometrické parametry jsou uloženy na serveru a při každém přihlášení uživatele, up-to-date obrazu z webové kamery je ve srovnání s parametry archivu.
Nicméně, zatímco některé organizace vyvinuli tento přístup a zpřístupnila ji, to není často používán v on-line bankovnictví. Kontaktovali jsme bank uvedených v SpyEye pluginy, a potvrdil, že žádný z nich používá webové kamery k identifikaci svých klientů.
Kromě toho by se webfake odkazy na stažení flash dokumenty z bankovních stránek je nepoužitelný - nejsou tam žádné takové dokumenty, na předmětných lokalitách. Ale nepoctiví dokumenty spojené z druhého sloupce (tj. na útočníka serveru) existují. Ukázalo se, že oba flash dokumenty jen vytvořit okno s obrázkem z webové kamery. Jeden z nich vysílá datový proud videa do útočníka serveru:
Ostatní kopy v případě, čočka kamery je uzavřen. To upozorní uživatele na zjevný problém, a radí - v ruštině - vybrat jinou kameru. Tento dokument, Camera_test.swf, bylo zjištěno na několika různých místech. Takže to může být známá testovací šablonu používat Flash pro ovládání kamery:
"Podívejte se nic? Zkuste vybrat jinou kameru ze seznamu. "
Není to poprvé, kdy útočníci pomocí on-line banky se snažili dostat video a audio záběry obětí. Můj kolega Dmitrij Bestuzhev připomíná případ, kdy škodlivý program zaměřuje na zákazníky na ekvádorské banky měl také funkci pro nahrávání audio a video záznamu na infikovaném počítači a odeslat jej na narušitele. To také nebylo v souvislosti s optickým klienta uznání - Ekvádorská banka nemá takovou funkci provést.
To vše vyvolává otázku - proč natáčet své oběti? Zdá se, že zločinci sledovat uživatele reakce, když krádež je v procesu. Jako obvykle, peníze ukradl následujícím způsobem: uživatel zadá jeho / její přihlašovací údaje do bankovního místě, ale kód banky se mění stránku malware přímo v prohlížeči a po schválení uživatel nevidí banku účtu, ale malware vytvoří okno se zprávou říkat, například, "Nahrávám ...Prosím čekejte ... ". Ve stejné době, injekčně škodlivý kód připravuje k odeslání ukradené peníze spolupachatel na bankovní účet. Jakmile je toto hotovo, za účelem potvrzení transakce, zločinci musel přesvědčit uživatele k zadání tajného kódu, která by mohla být přijata pomocí SMS. To je, když se používá sociální inženýrství: útočníka program klade požadavek na oběti obrazovce něco jako: "Posílili jsme bezpečnostní opatření. Prosím, potvrďte svou identitu zadáním tajný kód, který jsme odeslali do telefonu. "
To je moment, který je v zájmu k počítačovým pirátům: jak bude uživatel reagovat na nečekané žádosti o SMS kód? V ekvádorské případě, jak Dmitrij Bestuzhev vysvětleno, kdy uživatel požaduje transakce, je možné, že banka bude ověřte tajný kód. Pomocí mikrofonu, může útočník odposlouchávat, a později trestní mohou volat do banky sám, maskující se jako klient, jehož kód se má obávat. S tímto kódem to bude možné aktualizovat telefon a přihlašovací údaje, s plnou kontrolu nad oběti účtu.
Pojďme se vrátit do režimu najatý SpyEye. Jak jsme zjistili, nejsou tam žádné flash dokumenty pracují s webovou kamerou o bankovních stránek. Tak proč by prohlížeč požádat o tyto dokumenty? To je vše, co do činění s jinou základní SpyEye mechanismu - web vstřikuje. Pokud uživatel navštíví stránku, kde webu injekci sekce má pravidla připravena k použití, SpyEye takto tato pravidla a vstřikuje škodlivý kód do čerstvě staženého původní kód tohoto webu. V tomto případě je škodlivý fragment vložen do kódu na některých stránkách banky místě a že fragment údajně odkazy na dokument Flash hostování bankou.
To je, jak celá věc funguje, od počáteční připojení na web až do trestního sledování videozáznamu z oběti kamery:
A tady vidíme, jak se počítačoví zločinci jsou nejen sklizeň naše peníze, ale i naše emoce.
Žádné komentáře:
Okomentovat