středa 16. května 2012

Info Stealer předstírá Google Chrome Installer


Nedávno jsme našel nějaké podezřelé vypadající URL adresy, která naznačují, že škodlivý soubor s názvemChromeSetup.exe hostuje v oblastech, jako je Facebook a Google .
Konstatování, které se nám podařilo vlajku během naší analýzy údajů zpracovaných na infrastruktuře Trend Micro ™Smart Protection Network ™ určitě nás zaujal.
Při pohledu na data z Smart Protection Network ™, jsme byli schopni najít 3 různé binární soubory, které se objeví ke stažení na následujících adresách:
  • hxxp :/ / br.msn.com / ChromeSetup.exe
  • hxxp :/ / www.facebook.com.br / ChromeSetup.exe
  • hxxp :/ / www.facebook.com / ChromeSetup.exe
  • hxxp :/ / www.globo.com.br / ChromeSetup.exe
  • hxxp :/ / www.google.com.br / ChromeSetup.exe
  • hxxp :/ / www.terra.com.br / ChromeSetup.exe
Když jsme se blíže podívat na stažení, jsme zjistili, že všechny jsou ke stažení přesměrováni na dvou různých IP adres, namísto oprávněných OŠ těchto přístupných oblastí. A co víc pozoruhodné, je skutečnost, že vidí v přístupu klientů z regionu Latinské Ameriky, především v zemích Brazílii a Peru.
Analýza souboru ChromeSetup.exe provádí mého kolegy Roddell Santos a Roland dela Paz ověřit, že je vícekomponentní bankéř detekován jako malware TSPY_BANKER.EUIQ.
Jakmile běží na systému, TSPY_BANKER.EUIQ pošle informace, jako nakažený IP adresy systému a název operačního systému na konkrétní IP adresu. Také stáhne konfigurační soubor, který obsahuje informace, které používá k přesměrování přístup k bankovním falešných stránek, kdykoli se uživatel pokusí navštívit některé bankovní internetové stránky.
Když uživatel otevře cílené banky stránky, TSPY_BANKER.EUIQ zachytí stránku žádost a zobrazí se následující zpráva, přimět uživatele, aby si mysleli, že internetové stránky se načítá bezpečnostní software, kde ve skutečnosti je již přesměrování uživatele na falešnou bankovní webové stránky:
To pak otevírá Internet Explorer jít do nového vztahu v závislosti na prohlížeči titulu. Screenshot z falešné stránky je níže. Všimněte si "_" před názvem v titulku okna, stejně jako adresu URL bankovního webu:
TROJ_KILSRV.EUIQ, součástí této TSPY_BANKER.EUIQ, na druhé straně, odinstaluje software nazvaný GbPlugin -software, který chrání brazilských bankovních zákazníků při provádění transakcí on-line bankovnictví. Činí tak prostřednictvím pomoci gb_catchme.exe -a legitimní nástroj z GMER názvem Catchme , který byl původně určen k odinstalování nebezpečného softwaru. Protivníci v tomto případě, že používáte nástroj pro jejich škodlivých programů.
Další vyšetřování
Podrobnější šetření nám umožnilo získat přístup na stránky, kde index TSPY_BANKER.EUIQ stažené konfigurační soubory. Stejný Obsah hostil tři binární soubory, které používají malware kromě konfiguračního souboru, který jsme viděli na stejném místě.
Roland analyzovat IP, kde TSPY_BANKER.EUIQ posílá napadeného systému IP adresu a název operačního systému, a našel panel, který vypadá, že ukazuje záznamy vztahující se k útoku.
Během doby, C & C panel byl analyzován, jsme pozorovali neočekávaný nárůst o registrovaných protokolů. Ve skutečnosti, protokoly telefon domácí skočil z asi 400 na téměř 6000 v rozpětí 3 hodin. Tyto protokoly se skládá z 3000 unikátních IP adres, což se odráží na počtu počítačů infikovaných malware.
Server, bohužel, brzy se stal nedostupný. Nicméně, může náhlé zvýšení v protokolech malware C & C buď znamenalo, že tam bylo vypuknutí malware nebo mohou být jejich migraci C & C serveru v té době. Také se zdá, že útok se zaměřuje brazilské uživatele a klade si za cíl brazilských břehů.
Od začátku této analýzy jsme také viděli variace Banker malware, sledujeme v průběhu tohoto šetření v divočině.Prvních několik vzorků, které jsme se nainstalovány tři komponenty samostatně, ale teď se dostáváme nové vzorky, které jsou schopny nainstalovat různé komponenty v jednom balíčku. Vypadá to, že tento malware je stále ve vývoji a můžeme ještě vidět zlepšení v budoucích variantách. Roland také se zmíní, že on narazil na pravděpodobně souvisí C & C, povrch loni v říjnu 2011, který naznačuje, že pachatelé za touto hrozbou nejsou nic nového na scéně.
Chybějící kus
I když můžeme mít kompletní obrázek o tomto útoku, ten chybějící kousek, nyní je totéž, co z nás všimnou malware z milionů údajů, které máme z našeho ohrožení inteligence - jak je schopen přesměrovat uživatele přístupů od normálu webové stránky, jako Facebook nebo Google k jeho škodlivým šetření ke stažení malware. Budeme pokračovat ve vyšetřování vztahující se k této události a bude aktualizovat tento blog s našimi nálezy.
On-line hrozby, bude i nadále vyvíjet a nalézt způsoby, jak do systému. Jako takový může být tradiční webové technologie blokující nepodaří zablokovat přístup k nebezpečným URL, zvláště pokud jsou maskované pomocí legitimních domén, jako ty z Facebooku nebo Google.

Žádné komentáře:

Okomentovat