Nedávno jsme našel nějaké podezřelé vypadající URL adresy, která naznačují, že škodlivý soubor s názvemChromeSetup.exe hostuje v oblastech, jako je Facebook a Google .
Konstatování, které se nám podařilo vlajku během naší analýzy údajů zpracovaných na infrastruktuře Trend Micro ™Smart Protection Network ™ určitě nás zaujal.
Při pohledu na data z Smart Protection Network ™, jsme byli schopni najít 3 různé binární soubory, které se objeví ke stažení na následujících adresách:
- hxxp :/ / br.msn.com / ChromeSetup.exe
- hxxp :/ / www.facebook.com.br / ChromeSetup.exe
- hxxp :/ / www.facebook.com / ChromeSetup.exe
- hxxp :/ / www.globo.com.br / ChromeSetup.exe
- hxxp :/ / www.google.com.br / ChromeSetup.exe
- hxxp :/ / www.terra.com.br / ChromeSetup.exe
Když jsme se blíže podívat na stažení, jsme zjistili, že všechny jsou ke stažení přesměrováni na dvou různých IP adres, namísto oprávněných OŠ těchto přístupných oblastí. A co víc pozoruhodné, je skutečnost, že vidí v přístupu klientů z regionu Latinské Ameriky, především v zemích Brazílii a Peru.
Analýza souboru ChromeSetup.exe provádí mého kolegy Roddell Santos a Roland dela Paz ověřit, že je vícekomponentní bankéř detekován jako malware TSPY_BANKER.EUIQ.
Jakmile běží na systému, TSPY_BANKER.EUIQ pošle informace, jako nakažený IP adresy systému a název operačního systému na konkrétní IP adresu. Také stáhne konfigurační soubor, který obsahuje informace, které používá k přesměrování přístup k bankovním falešných stránek, kdykoli se uživatel pokusí navštívit některé bankovní internetové stránky.
Když uživatel otevře cílené banky stránky, TSPY_BANKER.EUIQ zachytí stránku žádost a zobrazí se následující zpráva, přimět uživatele, aby si mysleli, že internetové stránky se načítá bezpečnostní software, kde ve skutečnosti je již přesměrování uživatele na falešnou bankovní webové stránky:
Další vyšetřování
Podrobnější šetření nám umožnilo získat přístup na stránky, kde index TSPY_BANKER.EUIQ stažené konfigurační soubory. Stejný Obsah hostil tři binární soubory, které používají malware kromě konfiguračního souboru, který jsme viděli na stejném místě.
Během doby, C & C panel byl analyzován, jsme pozorovali neočekávaný nárůst o registrovaných protokolů. Ve skutečnosti, protokoly telefon domácí skočil z asi 400 na téměř 6000 v rozpětí 3 hodin. Tyto protokoly se skládá z 3000 unikátních IP adres, což se odráží na počtu počítačů infikovaných malware.
Od začátku této analýzy jsme také viděli variace Banker malware, sledujeme v průběhu tohoto šetření v divočině.Prvních několik vzorků, které jsme se nainstalovány tři komponenty samostatně, ale teď se dostáváme nové vzorky, které jsou schopny nainstalovat různé komponenty v jednom balíčku. Vypadá to, že tento malware je stále ve vývoji a můžeme ještě vidět zlepšení v budoucích variantách. Roland také se zmíní, že on narazil na pravděpodobně souvisí C & C, povrch loni v říjnu 2011, který naznačuje, že pachatelé za touto hrozbou nejsou nic nového na scéně.
Chybějící kus
I když můžeme mít kompletní obrázek o tomto útoku, ten chybějící kousek, nyní je totéž, co z nás všimnou malware z milionů údajů, které máme z našeho ohrožení inteligence - jak je schopen přesměrovat uživatele přístupů od normálu webové stránky, jako Facebook nebo Google k jeho škodlivým šetření ke stažení malware. Budeme pokračovat ve vyšetřování vztahující se k této události a bude aktualizovat tento blog s našimi nálezy.
On-line hrozby, bude i nadále vyvíjet a nalézt způsoby, jak do systému. Jako takový může být tradiční webové technologie blokující nepodaří zablokovat přístup k nebezpečným URL, zvláště pokud jsou maskované pomocí legitimních domén, jako ty z Facebooku nebo Google.
