Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ смогли: ΠΊΠ°ΠΊ сСмСйство FakeSecurity Π·Π°Ρ€Π°Π·ΠΈΠ»ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹

Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ смогли: ΠΊΠ°ΠΊ сСмСйство FakeSecurity Π·Π°Ρ€Π°Π·ΠΈΠ»ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹

Π’ Π΄Π΅ΠΊΠ°Π±Ρ€Π΅ 2018 Π³ΠΎΠ΄Π°, спСциалисты Group-IB ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ Π½ΠΎΠ²ΠΎΠ΅ сСмСйство сниффСров, ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ²ΡˆΠ΅Π΅ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ FakeSecurity. Π˜Ρ… использовала ΠΎΠ΄Π½Π° прСступная Π³Ρ€ΡƒΠΏΠΏΠ°, Π·Π°Ρ€Π°ΠΆΠ°Π²ΡˆΠ°Ρ сайты ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ CMS Magento. Анализ ΠΏΠΎΠΊΠ°Π·Π°Π», Ρ‡Ρ‚ΠΎ Π² Π½Π΅Π΄Π°Π²Π½Π΅ΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΏΡ€ΠΎΠ²Π΅Π»ΠΈ Π°Ρ‚Π°ΠΊΡƒ с использованиСм врСдоносного ПО для ΠΊΡ€Π°ΠΆΠΈ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ. Π–Π΅Ρ€Ρ‚Π²Π°ΠΌΠΈ стали Π²Π»Π°Π΄Π΅Π»ΡŒΡ†Ρ‹ сайтов ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ², ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π±Ρ‹Π»ΠΈ Π·Π°Ρ€Π°ΠΆΠ΅Π½Ρ‹ JS-сниффСром. Π¦Π΅Π½Ρ‚Ρ€ рСагирования Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности CERT Group-IB ΠΏΡ€Π΅Π΄ΡƒΠΏΡ€Π΅Π΄ΠΈΠ» Π°Ρ‚Π°ΠΊΠΎΠ²Π°Π½Π½Ρ‹Π΅ рСсурсы, Π° Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊ Threat Intelligence Group-IB Π’ΠΈΠΊΡ‚ΠΎΡ€ ΠžΠΊΠΎΡ€ΠΎΠΊΠΎΠ² Ρ€Π΅ΡˆΠΈΠ» Ρ€Π°ΡΡΠΊΠ°Π·Π°Ρ‚ΡŒ ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊ ΡƒΠ΄Π°Π»ΠΎΡΡŒ Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ ΠΏΡ€Π΅ΡΡ‚ΡƒΠΏΠ½ΡƒΡŽ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ.

Напомним, Ρ‡Ρ‚ΠΎ Π² ΠΌΠ°Ρ€Ρ‚Π΅ 2019 Π³ΠΎΠ΄Π° Group-IB ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° ΠΎΡ‚Ρ‡Π΅Ρ‚ Β«ΠŸΡ€Π΅ΡΡ‚ΡƒΠΏΠ»Π΅Π½ΠΈΠ΅ Π±Π΅Π· наказания: Π°Π½Π°Π»ΠΈΠ· сСмСйств JS-сниффСров», Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Π±Ρ‹Π»ΠΈ ΠΏΡ€ΠΎΠ°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Ρ‹ 15 сСмСйств Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… JS-сниффСров, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π²ΡˆΠΈΡ…ΡΡ для зараТСния Π±ΠΎΠ»Π΅Π΅ Π΄Π²ΡƒΡ… тысяч сайтов ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ².

Π•Π΄ΠΈΠ½Ρ‹ΠΉ адрСс

Π’ Ρ…ΠΎΠ΄Π΅ зараТСния Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ внСдряли ссылку Π½Π° врСдоносный скрипт Π² ΠΊΠΎΠ΄ сайта, Π΄Π°Π½Π½Ρ‹ΠΉ скрипт подгруТался ΠΈ Π² ΠΌΠΎΠΌΠ΅Π½Ρ‚ ΠΎΠΏΠ»Π°Ρ‚Ρ‹ Ρ‚ΠΎΠ²Π°Ρ€Π° ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Ρ‹Π²Π°Π» ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ посСтитСля ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π°, Π° Π·Π°Ρ‚Π΅ΠΌ отправлял ΠΈΡ… Π½Π° сСрвСр Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ². На ΠΏΠ΅Ρ€Π²Ρ‹Ρ… этапах Π°Ρ‚Π°ΠΊ с ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ΠΌ FakeSecurity сами врСдоносныС скрипты ΠΈ Π³Π΅ΠΉΡ‚ сниффСров Ρ€Π°ΡΠΏΠΎΠ»Π°Π³Π°Π»ΠΈΡΡŒ Π½Π° ΠΎΠ΄Π½ΠΎΠΌ ΠΈ Ρ‚ΠΎΠΌ ΠΆΠ΅ Π΄ΠΎΠΌΠ΅Π½Π΅ magento-security[.]org.

Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ смогли: ΠΊΠ°ΠΊ сСмСйство FakeSecurity Π·Π°Ρ€Π°Π·ΠΈΠ»ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹
ПозднСС Π½Π° Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Magento-сайтах Π±Ρ‹Π»ΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΎ Π·Π°Ρ€Π°ΠΆΠ΅Π½ΠΈΠ΅ Ρ‚Π΅ΠΌ ΠΆΠ΅ сСмСйством сниффСров, Π½ΠΎ Π½Π° этот Ρ€Π°Π· Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ использовали Π½ΠΎΠ²Ρ‹Π΅ Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Π΅ ΠΈΠΌΠ΅Π½Π° для размСщСния врСдоносного ΠΊΠΎΠ΄Π°:

  • fiswedbesign[.]com
  • alloaypparel[.]com

Оба этих Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½ΠΈ Π±Ρ‹Π»ΠΈ зарСгистрированы Π½Π° ΠΎΠ΄ΠΈΠ½ адрСс элСктронной ΠΏΠΎΡ‡Ρ‚Ρ‹ greenstreethunter@india[.]com. Π­Ρ‚ΠΎΡ‚ ΠΆΠ΅ адрСс Π±Ρ‹Π» ΡƒΠΊΠ°Π·Π°Π½ ΠΏΡ€ΠΈ рСгистрации Ρ‚Ρ€Π΅Ρ‚ΡŒΠ΅Π³ΠΎ Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠ³ΠΎ ΠΈΠΌΠ΅Π½ΠΈ firstofbanks[.]com.Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ смогли: ΠΊΠ°ΠΊ сСмСйство FakeSecurity Π·Π°Ρ€Π°Π·ΠΈΠ»ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹

Π£Π±Π΅Π΄ΠΈΡ‚Π΅Π»ΡŒΠ½Π°Ρ ΠΏΡ€ΠΎΡΡŒΠ±Π°

Анализ Ρ‚Ρ€Π΅Ρ… Π½ΠΎΠ²Ρ‹Ρ… Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… прСступной Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ FakeSecurity, ΠΏΠΎΠΊΠ°Π·Π°Π», Ρ‡Ρ‚ΠΎ Ρ‡Π°ΡΡ‚ΡŒ ΠΈΠ· Π½ΠΈΡ… Π±Ρ‹Π»Π° задСйствована Π² ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΠΎ Ρ€Π°ΡΠΏΡ€ΠΎΡΡ‚Ρ€Π°Π½Π΅Π½ΠΈΡŽ врСдоносного ПО, которая Π½Π°Ρ‡Π°Π»Π°ΡΡŒ Π² ΠΌΠ°Ρ€Ρ‚Π΅ 2019 Π³ΠΎΠ΄Π°. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ распространяли ссылки Π½Π° страницы, Π³Π΄Π΅ Π³ΠΎΠ²ΠΎΡ€ΠΈΠ»ΠΎΡΡŒ, Ρ‡Ρ‚ΠΎ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŽ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ Π½Π΅Π΄ΠΎΡΡ‚Π°ΡŽΡ‰ΠΈΠΉ ΠΏΠ»Π°Π³ΠΈΠ½ для ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠ³ΠΎ отобраТСния Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°. Если ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ Π½Π°Ρ‡ΠΈΠ½Π°Π» скачиваниС прилоТСния, Π΅Π³ΠΎ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ зараТался врСдоносным ПО для похищСния ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ.

Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ смогли: ΠΊΠ°ΠΊ сСмСйство FakeSecurity Π·Π°Ρ€Π°Π·ΠΈΠ»ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹
ВсСго Π±Ρ‹Π»ΠΎ выявлСно 11 ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹Ρ… ссылок, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π²Π΅Π»ΠΈ Π½Π° ΠΏΠΎΠ΄Π΄Π΅Π»ΡŒΠ½Ρ‹Π΅ страницы, ΠΏΠΎΠ±ΡƒΠΆΠ΄Π°ΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ врСдоносноС ПО.

  • hxxps://www.etodoors.com/uploads/Statement00534521[.]html
  • hxxps://www.healthcare4all.co.uk/manuals/Statement00534521[.]html
  • hxxps://www.healthcare4all.co.uk/lib/Statement001845[.]html
  • hxxps://www.healthcare4all.co.uk/doc/BankStatement001489232[.]html
  • hxxp://verticalinsider.com/bookmarks/Bank_Statement0052890[.]html
  • hxxp://thepinetree.net/n/docs/Statement00159701[.]html
  • hxxps://www.readicut.co.uk/media/pdf/Bank_Statement00334891[.]html
  • hxxp://www.e-cig.com/doc/pdf/eStmt[.]html
  • hxxps://www.genstattu.com/doc/PoliceStatement001854[.]html
  • hxxps://www.tokyoflash.com/pdf/statment001854[.]html
  • hxxps://www.readicut.co.uk/media/pdf/statment00789[.]html

ΠŸΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Π°Ρ ΠΆΠ΅Ρ€Ρ‚Π²Π° врСдоносной ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΠΎΠ»ΡƒΡ‡Π°Π»Π° спам ΠΏΠΎ элСктронной ΠΏΠΎΡ‡Ρ‚Π΅, Π² письмС ΡΠΎΠ΄Π΅Ρ€ΠΆΠ°Π»Π°ΡΡŒ ссылка Π½Π° страницу ΠΏΠ΅Ρ€Π²ΠΎΠ³ΠΎ уровня. Данная страница прСдставляСт нСбольшой HTML-Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ с iframe, ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ подгруТаСтся со страницы Π²Ρ‚ΠΎΡ€ΠΎΠ³ΠΎ уровня. Π‘Ρ‚Ρ€Π°Π½ΠΈΡ†Π° Π²Ρ‚ΠΎΡ€ΠΎΠ³ΠΎ уровня β€” лСндинговая страница с содСрТаниСм, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ ΠΏΠΎΠ±ΡƒΠΆΠ΄Π°Π΅Ρ‚ получатСля ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ Π½Π΅ΠΊΠΈΠΉ исполняСмый Ρ„Π°ΠΉΠ». Π’ случаС с Π΄Π°Π½Π½ΠΎΠΉ врСдоносной ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠ΅ΠΉ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ использовали Π»Π΅Π½Π΄ΠΈΠ½Π³ с Ρ‚Π΅ΠΌΠ°Ρ‚ΠΈΠΊΠΎΠΉ установки Π½Π΅Π΄ΠΎΡΡ‚Π°ΡŽΡ‰Π΅Π³ΠΎ ΠΏΠ»Π°Π³ΠΈΠ½Π° для Adobe Reader, поэтому страница ΠΏΠ΅Ρ€Π²ΠΎΠ³ΠΎ уровня ΠΈΠΌΠΈΡ‚ΠΈΡ€ΠΎΠ²Π°Π»Π° ссылку Π½Π° PDF-Ρ„Π°ΠΉΠ», ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ ΠΎΠ½Π»Π°ΠΉΠ½-просмотра Π² Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π΅. Π‘Ρ‚Ρ€Π°Π½ΠΈΡ†Π° Π²Ρ‚ΠΎΡ€ΠΎΠ³ΠΎ уровня содСрТит ссылку Π½Π° врСдоносный Ρ„Π°ΠΉΠ», распространяСмый Π² Ρ€Π°ΠΌΠΊΠ°Ρ… врСдоносной ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π±ΡƒΠ΄Π΅Ρ‚ Π·Π°Π³Ρ€ΡƒΠΆΠ΅Π½ ΠΏΡ€ΠΈ Π½Π°ΠΆΠ°Ρ‚ΠΈΠΈ Π½Π° ΠΊΠ½ΠΎΠΏΠΊΡƒ Download plugin.

Анализ страниц, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Π² Π΄Π°Π½Π½ΠΎΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ, ΠΏΠΎΠΊΠ°Π·Π°Π», Ρ‡Ρ‚ΠΎ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ страницы Π²Ρ‚ΠΎΡ€ΠΎΠ³ΠΎ уровня Ρ€Π°ΡΠΏΠΎΠ»Π°Π³Π°Π»ΠΈΡΡŒ Π½Π° Π΄ΠΎΠΌΠ΅Π½Π°Ρ… Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ², Π² Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ страница ΠΏΠ΅Ρ€Π²ΠΎΠ³ΠΎ уровня ΠΈ нСпосрСдствСнно врСдоносный Ρ„Π°ΠΉΠ» Ρ‡Π°Ρ‰Π΅ всСго Π±Ρ‹Π»ΠΈ Π½Π° Π²Π·Π»ΠΎΠΌΠ°Π½Π½Ρ‹Ρ… e-commerce-сайтах.

ΠŸΡ€ΠΈΠΌΠ΅Ρ€ структуры страницы для распространСния врСдоносного ПО

Π§Π΅Ρ€Π΅Π· спам ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Π°Ρ ΠΆΠ΅Ρ€Ρ‚Π²Π° ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ ссылку Π½Π° HTML-Ρ„Π°ΠΉΠ», ΠΊ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρƒ, hxxps://www.healthcare4all[.]co[.]uk/manuals/Statement00534521[.]html. HTML-Ρ„Π°ΠΉΠ» ΠΏΠΎ ссылкС содСрТит элСмСнт iframe со ссылкой Π½Π° основноС содСрТимоС страницы; Π² Π΄Π°Π½Π½ΠΎΠΌ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚ страницы располоТСн ΠΏΠΎ адрСсу hxxps://alloaypparel[.]com/view/public/Statement00534521/PDF/Statement001854[.]pdf. Как ΠΌΡ‹ Π²ΠΈΠ΄ΠΈΠΌ ΠΈΠ· Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π°, для размСщСния ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚Π° страницы Π² этом случаС Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ использовали зарСгистрированный Π΄ΠΎΠΌΠ΅Π½, Π° Π½Π΅ Π²Π·Π»ΠΎΠΌΠ°Π½Π½Ρ‹ΠΉ сайт. Π’ интСрфСйсС, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ отобраТаСтся ΠΏΠΎ этой ссылкС, присутствуСт ΠΊΠ½ΠΎΠΏΠΊΠ° Download plugin. Если ΠΆΠ΅Ρ€Ρ‚Π²Π° Π½Π°ΠΆΠΌΠ΅Ρ‚ эту ΠΊΠ½ΠΎΠΏΠΊΡƒ, ΠΏΡ€ΠΎΠΈΠ·ΠΎΠΉΠ΄Π΅Ρ‚ скачиваниС исполняСмого Ρ„Π°ΠΉΠ»Π° ΠΏΠΎ ссылкС, ΡƒΠΊΠ°Π·Π°Π½Π½ΠΎΠΉ Π² ΠΊΠΎΠ΄Π΅ страницы; Π² Π΄Π°Π½Π½ΠΎΠΌ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ исполняСмый Ρ„Π°ΠΉΠ» скачиваСтся ΠΏΠΎ ссылкС hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe, Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ сам врСдоносный Ρ„Π°ΠΉΠ» хранится Π½Π° Π²Π·Π»ΠΎΠΌΠ°Π½Π½ΠΎΠΌ сайтС.

Β«ΠœΠ΅Ρ„ΠΈΡΡ‚ΠΎΡ„Π΅Π»ΡŒΒ» нашСго Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ

Анализ Π΄ΠΎΠΌΠ΅Π½Π° alloaypparel[.]com выявил, Ρ‡Ρ‚ΠΎ для распространСния врСдоносного ПО использовался Ρ„ΠΈΡˆΠΈΠ½Π³-ΠΊΠΈΡ‚ Mephistophilus, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΠΉ ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ ΠΈ Ρ€Π°Π·Π²ΠΎΡ€Π°Ρ‡ΠΈΠ²Π°Ρ‚ΡŒ Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Π΅ страницы для распространСния врСдоносного ПО: Mephistophilus ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ нСсколько Ρ‚ΠΈΠΏΠΎΠ² Π»Π΅Π½Π΄ΠΈΠ½Π³ΠΎΠ², ΠΏΠΎΠ±ΡƒΠΆΠ΄Π°ΡŽΡ‰ΠΈΡ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ якобы Π½Π΅Π΄ΠΎΡΡ‚Π°ΡŽΡ‰ΠΈΠΉ ΠΏΠ»Π°Π³ΠΈΠ½, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ΠΉ для Ρ€Π°Π±ΠΎΡ‚Ρ‹ прилоТСния. На самом ΠΆΠ΅ Π΄Π΅Π»Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŽ Π±ΡƒΠ΄Π΅Ρ‚ установлСно врСдоносноС ПО, ссылку Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€ добавляСт Ρ‡Π΅Ρ€Π΅Π· Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ панСль Mephistophilus.

БистСма для Ρ†Π΅Π»Π΅Π²Ρ‹Ρ… Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Ρ… Π°Ρ‚Π°ΠΊ Mephistophilus появилась Π² ΠΏΡ€ΠΎΠ΄Π°ΠΆΠ΅ Π½Π° ΠΏΠΎΠ΄ΠΏΠΎΠ»ΡŒΠ½Ρ‹Ρ… Ρ„ΠΎΡ€ΡƒΠΌΠ°Ρ… Π² августС 2016 Π³ΠΎΠ΄Π°. Π­Ρ‚ΠΎ стандартный Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹ΠΉ Π½Π°Π±ΠΎΡ€ с использованиСм Π²Π΅Π±-Ρ„Π΅ΠΉΠΊΠΎΠ², ΠΏΡ€Π΅Π΄Π»Π°Π³Π°ΡŽΡ‰ΠΈΡ… Π·Π°Π³Ρ€ΡƒΠ·ΠΊΡƒ врСдоносного ПО ΠΏΠΎΠ΄ Π²ΠΈΠ΄ΠΎΠΌ обновлСния ΠΏΠ»Π°Π³ΠΈΠ½Π° (MS Word, MS Excel, PDF, YouTube) для просмотра содСрТимого Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π° ΠΈΠ»ΠΈ страницы. Mephistophilus Π±Ρ‹Π» Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½ ΠΈ Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½ Π² ΠΏΡ€ΠΎΠ΄Π°ΠΆΡƒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ Π°Π½Π΄Π΅Π³Ρ€Π°ΡƒΠ½Π΄Π½Ρ‹Ρ… Ρ„ΠΎΡ€ΡƒΠΌΠΎΠ² ΠΏΠΎΠ΄ Π½ΠΈΠΊΠΎΠΌ Kokain. Для ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠ³ΠΎ зараТСния с использованиСм Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²ΠΎΠ³ΠΎ Π½Π°Π±ΠΎΡ€Π° Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΠΎΠ±ΡƒΠ΄ΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ ΠΏΠ΅Ρ€Π΅ΠΉΡ‚ΠΈ ΠΏΠΎ ссылкС, Π²Π΅Π΄ΡƒΡ‰Π΅ΠΉ Π½Π° страницу, ΡΠ³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ Mephistophilus. Π’Π½Π΅ зависимости ΠΎΡ‚ Ρ‚Π΅ΠΌΠ°Ρ‚ΠΈΠΊΠΈ Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²ΠΎΠΉ страницы появится сообщСниС, Ρ‡Ρ‚ΠΎ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ Π½Π΅Π΄ΠΎΡΡ‚Π°ΡŽΡ‰ΠΈΠΉ ΠΏΠ»Π°Π³ΠΈΠ½ для ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠ³ΠΎ отобраТСния ΠΎΠ½Π»Π°ΠΉΠ½-Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π° ΠΈΠ»ΠΈ YouTube-Π²ΠΈΠ΄Π΅ΠΎ. Для этого Π² Mephistophilus Π΅ΡΡ‚ΡŒ нСсколько Π²ΠΈΠ΄ΠΎΠ² Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²Ρ‹Ρ… страниц, ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΡ… Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Π΅ сСрвисы:

  • Онлайн-просмотрщик Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΎΠ² Microsoft Office365 Word ΠΈΠ»ΠΈ Excel
  • Онлайн-просмотрщик PDF-Ρ„Π°ΠΉΠ»ΠΎΠ²
  • Π‘Ρ‚Ρ€Π°Π½ΠΈΡ†Π°-ΠΊΠ»ΠΎΠ½ сСрвиса YouTube

Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ смогли: ΠΊΠ°ΠΊ сСмСйство FakeSecurity Π·Π°Ρ€Π°Π·ΠΈΠ»ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹

ΠŸΠΎΡΡ‚Ρ€Π°Π΄Π°Π²ΡˆΠΈΠ΅

Π’ Ρ€Π°ΠΌΠΊΠ°Ρ… врСдоносной ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ прСступная Π³Ρ€ΡƒΠΏΠΏΠ° Π½Π΅ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡ΠΈΠ»Π°ΡΡŒ использованиСм ΡΠ°ΠΌΠΎΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΠ½ΠΎ зарСгистрированных Π΄ΠΎΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½: для хранСния сСмплов распространяСмых врСдоносных Ρ„Π°ΠΉΠ»ΠΎΠ² Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ Ρ‚Π°ΠΊΠΆΠ΅ использовали нСсколько сайтов ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ², ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Ρ€Π°Π½Π΅Π΅ Π±Ρ‹Π»ΠΈ Π·Π°Ρ€Π°ΠΆΠ΅Π½Ρ‹ сниффСром FakeSecurity.

ВсСго Π±Ρ‹Π»ΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΎ 5 ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹Ρ… ссылок Π½Π° 5 ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½Ρ‹Ρ… сСмплов врСдоносного ПО, 4 ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡΡŒ Π½Π° Π²Π·Π»ΠΎΠΌΠ°Π½Π½Ρ‹Ρ… сайтах ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ CMS Magento:

  • hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
  • hxxps://www.genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxps://firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
  • hxxp://e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • hxxp://thepinetree[.]net/docs/msw070619.exe

РаспространяСмыС Π² Π΄Π°Π½Π½ΠΎΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ ΠΎΠ±Ρ€Π°Π·Ρ†Ρ‹ врСдоносного ПО ΡΠ²Π»ΡΡŽΡ‚ΡΡ сСмплами стилСра Vidar, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½ΠΎΠ³ΠΎ для ΠΊΡ€Π°ΠΆΠΈ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΈΠ· Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ² ΠΈ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Π’Π°ΠΊΠΆΠ΅ ΠΎΠ½ ΡƒΠΌΠ΅Π΅Ρ‚ ΡΠΎΠ±ΠΈΡ€Π°Ρ‚ΡŒ Ρ„Π°ΠΉΠ»Ρ‹ ΠΏΠΎ Π·Π°Π΄Π°Π½Π½Ρ‹ΠΌ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Π°ΠΌ ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Ρ‚ΡŒ ΠΈΡ… Π² Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ панСль, Ρ‡Ρ‚ΠΎ ΠΎΠ±Π»Π΅Π³Ρ‡Π°Π΅Ρ‚, ΠΊ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρƒ, ΠΊΡ€Π°ΠΆΡƒ Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΊΡ€ΠΈΠΏΡ‚ΠΎΠ²Π°Π»ΡŽΡ‚Π½Ρ‹Ρ… кошСльков. Vidar прСдставляСт malware-as-a-service: всС собранныС Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΠ΅Ρ€Π΅Π΄Π°ΡŽΡ‚ΡΡ Π½Π° Π³Π΅ΠΉΡ‚, Π° Π·Π°Ρ‚Π΅ΠΌ ΠΎΡ‚ΠΏΡ€Π°Π²Π»ΡΡŽΡ‚ΡΡ Π² Ρ†Π΅Π½Ρ‚Ρ€Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π½ΡƒΡŽ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ панСль, Π³Π΄Π΅ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ ΠΏΠΎΠΊΡƒΠΏΠ°Ρ‚Π΅Π»ΡŒ стилСра ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΎΡΠΌΠ°Ρ‚Ρ€ΠΈΠ²Π°Ρ‚ΡŒ Π»ΠΎΠ³ΠΈ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΡ€ΠΈΡˆΠ»ΠΈ с Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½Ρ‹Ρ… ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ΠΎΠ².

Бпособный Π²ΠΎΡ€

Π‘Ρ‚ΠΈΠ»Π΅Ρ€ Vidar появился Π² ноябрС 2018 Π³ΠΎΠ΄Π°. Π•Π³ΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π» ΠΈ выпустил Π² ΠΏΡ€ΠΎΠ΄Π°ΠΆΡƒ Π½Π° ΠΏΠΎΠ΄ΠΏΠΎΠ»ΡŒΠ½Ρ‹Ρ… Ρ„ΠΎΡ€ΡƒΠΌΠ°Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ ΠΏΠΎΠ΄ псСвдонимом Loadbaks. Богласно описанию Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°, Vidar ΡƒΠΌΠ΅Π΅Ρ‚ ΠΏΠΎΡ…ΠΈΡ‰Π°Ρ‚ΡŒ ΠΏΠ°Ρ€ΠΎΠ»ΠΈ ΠΈΠ· Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ², Ρ„Π°ΠΉΠ»Ρ‹ ΠΏΠΎ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹ΠΌ путям ΠΈ маскам, Π΄Π°Π½Π½Ρ‹Π΅ банковских ΠΊΠ°Ρ€Ρ‚, Ρ„Π°ΠΉΠ»Ρ‹ Ρ…ΠΎΠ»ΠΎΠ΄Π½Ρ‹Ρ… кошСльков, пСрСписку Telegram ΠΈ Skype, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΈΡΡ‚ΠΎΡ€ΠΈΡŽ посСщСния сайтов ΠΈΠ· Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ΠΎΠ². Π¦Π΅Π½Π° Π°Ρ€Π΅Π½Π΄Ρ‹ стилСра ΠΎΡ‚ $250 Π΄ΠΎ $300 Π·Π° мСсяц. Административная панСль стилСра ΠΈ Π΄ΠΎΠΌΠ΅Π½Ρ‹, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ Π² качСствС Π³Π΅ΠΉΡ‚ΠΎΠ², располоТСны Π½Π° сСрвСрах Π°Π²Ρ‚ΠΎΡ€ΠΎΠ² Vidar, Ρ‡Ρ‚ΠΎ сокращаСт для ΠΏΠΎΠΊΡƒΠΏΠ°Ρ‚Π΅Π»Π΅ΠΉ Π·Π°Ρ‚Ρ€Π°Ρ‚Ρ‹ Π½Π° инфраструктуру.

Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ смогли: ΠΊΠ°ΠΊ сСмСйство FakeSecurity Π·Π°Ρ€Π°Π·ΠΈΠ»ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹
Π’ случаС врСдоносного Ρ„Π°ΠΉΠ»Π° msw070619.exe, ΠΏΠΎΠΌΠΈΠΌΠΎ распространСния ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Π»Π΅Π½Π΄ΠΈΠ½Π³Π° Mephistophilus, Π±Ρ‹Π» Ρ‚Π°ΠΊΠΆΠ΅ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ врСдоносный DOC-Ρ„Π°ΠΉΠ» BankStatement0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π΄Ρ€ΠΎΠΏΠ°Π» Π΄Π°Π½Π½Ρ‹ΠΉ исполняСмый Ρ„Π°ΠΉΠ» Π½Π° диск ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ макросов. DOC-Ρ„Π°ΠΉΠ» BankStatement0040918404.doc прикрСплялся Π² качСствС влоТСния Π²ΠΎ врСдоносныС письма, рассылка ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π±Ρ‹Π»Π° Ρ‡Π°ΡΡ‚ΡŒΡŽ врСдоносной ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ.

Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ смогли: ΠΊΠ°ΠΊ сСмСйство FakeSecurity Π·Π°Ρ€Π°Π·ΠΈΠ»ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹

ΠŸΡ€Π΅ΠΏΠ°Ρ€ΠΈΡ€ΡƒΠ΅ΠΌ Π°Ρ‚Π°ΠΊΡƒ

ΠžΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½ΠΎΠ΅ письмо (MD5: 53554192ca888cccbb5747e71825facd) Π±Ρ‹Π»ΠΎ ΠΎΡ‚ΠΏΡ€Π°Π²Π»Π΅Π½ΠΎ Π½Π° ΠΊΠΎΠ½Ρ‚Π°ΠΊΡ‚Π½Ρ‹ΠΉ адрСс сайта ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ CMS Magento, ΠΈΠ· Ρ‡Π΅Π³ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ Π²Ρ‹Π²ΠΎΠ΄, Ρ‡Ρ‚ΠΎ ΠΎΠ΄Π½ΠΎΠΉ ΠΈΠ· мишСнСй врСдоносной ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ Π±Ρ‹Π»ΠΈ администраторы ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ², Π° Ρ†Π΅Π»ΡŒ зараТСния β€” доступ Π² Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ панСль Magento ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… e-commerce-ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌ для ΠΏΠΎΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ установки сниффСра ΠΈ ΠΊΡ€Π°ΠΆΠΈ Π΄Π°Π½Π½Ρ‹Ρ… ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½Ρ‹Ρ… ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ².

Π‘Π½ΠΈΡ„Ρ„Π΅Ρ€Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ смогли: ΠΊΠ°ΠΊ сСмСйство FakeSecurity Π·Π°Ρ€Π°Π·ΠΈΠ»ΠΎ ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Ρ‹

Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, схСма зараТСния Π² Ρ†Π΅Π»ΠΎΠΌ состояла ΠΈΠ· ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΡ… шагов:

  1. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΠ»ΠΈ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ панСль Mephistophilus Phishing Kit Π½Π° хостС alloaypparel[.]com.
  2. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ размСстили Π½Π° Π²Π·Π»ΠΎΠΌΠ°Π½Π½Ρ‹Ρ… Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Ρ… сайтах ΠΈ Π½Π° собствСнных сайтах врСдоносноС ПО для похищСния ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ.
  3. ΠŸΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Ρ„ΠΈΡˆΠΈΠ½Π³ΠΎΠ²ΠΎΠ³ΠΎ Π½Π°Π±ΠΎΡ€Π° Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΠ»ΠΈ нСсколько Π»Π΅Π½Π΄ΠΈΠ½Π³ΠΎΠ² для распространСния врСдоносного ПО, Π° Ρ‚Π°ΠΊΠΆΠ΅ создали врСдоносныС Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Ρ‹ с макросом, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π·Π°Π³Ρ€ΡƒΠΆΠ°Π»ΠΈ врСдоносноС ПО Π½Π° ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.
  4. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΡ€ΠΎΠ²Π΅Π»ΠΈ спам-кампанию ΠΏΠΎ рассылкС писСм с врСдоносными влоТСниями, Π° Ρ‚Π°ΠΊΠΆΠ΅ со ссылками Π½Π° Π»Π΅Π½Π΄ΠΈΠ½Π³ΠΈ для установки врСдоносного ПО. Как ΠΌΠΈΠ½ΠΈΠΌΡƒΠΌ Ρ‡Π°ΡΡ‚ΡŒ Ρ†Π΅Π»Π΅ΠΉ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ… β€” администраторы сайтов ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½ΠΎΠ².
  5. ΠŸΡ€ΠΈ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π° администратора ΠΎΠ½Π»Π°ΠΉΠ½-ΠΌΠ°Π³Π°Π·ΠΈΠ½Π° ΠΏΠΎΡ…ΠΈΡ‰Π΅Π½Π½Ρ‹Π΅ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ использовались для доступа Π² Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ панСль ΠΌΠ°Π³Π°Π·ΠΈΠ½Π° ΠΈ установки JS-сниффСра для ΠΊΡ€Π°ΠΆΠΈ банковских ΠΊΠ°Ρ€Ρ‚ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡŽΡ‰ΠΈΡ… ΠΎΠΏΠ»Π°Ρ‚Ρƒ Π½Π° Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½ΠΎΠΌ сайтС.

Бвязь с Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ Π°Ρ‚Π°ΠΊΠ°ΠΌΠΈ

Π˜Π½Ρ„Ρ€Π°ΡΡ‚Ρ€ΡƒΠΊΡ‚ΡƒΡ€Π° Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ… Π±Ρ‹Π»Π° Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΡ‚Π° Π½Π° сСрвСрС с IP-адрСсом 200.63.40.2, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΡ€ΠΈΠ½Π°Π΄Π»Π΅ΠΆΠΈΡ‚ сСрвису ΠΏΠΎ Π°Ρ€Π΅Π½Π΄Π΅ сСрвСров Panamaservers[.]com. Π”ΠΎ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ FakeSecurity Π΄Π°Π½Π½Ρ‹ΠΉ сСрвСр Π±Ρ‹Π» использован для Ρ„ΠΈΡˆΠΈΠ½Π³Π°, Π° Ρ‚Π°ΠΊΠΆΠ΅ для размСщСния административных ΠΏΠ°Π½Π΅Π»Π΅ΠΉ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… врСдоносных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ для ΠΊΡ€Π°ΠΆΠΈ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ.

Π˜ΡΡ…ΠΎΠ΄Ρ ΠΈΠ· спСцифики ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ FakeSecurity ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ административныС ΠΏΠ°Π½Π΅Π»ΠΈ стилСров Lokibot ΠΈ AZORUlt, Ρ€Π°Π·ΠΌΠ΅Ρ‰Π°Π²ΡˆΠΈΠ΅ΡΡ Π½Π° этом сСрвСрС, ΠΌΠΎΠ³Π»ΠΈ Π±Ρ‹Ρ‚ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Π½Ρ‹ Π² ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰ΠΈΡ… Π°Ρ‚Π°ΠΊΠ°Ρ… этой ΠΆΠ΅ Π³Ρ€ΡƒΠΏΠΏΡ‹ Π² январС 2019 Π³ΠΎΠ΄Π°. Богласно этой ΡΡ‚Π°Ρ‚ΡŒΠ΅, 14 января 2019 Π³ΠΎΠ΄Π° нСизвСстныС Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ распространяли врСдоносноС ПО Lokibot ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ массовой рассылки писСм с врСдоносным DOC-Ρ„Π°ΠΉΠ»ΠΎΠΌ Π²ΠΎ Π²Π»ΠΎΠΆΠ΅Π½ΠΈΠΈ. 18 января 2019 Π³ΠΎΠ΄Π° Ρ‚Π°ΠΊΠΆΠ΅ Π±Ρ‹Π»Π° ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½Π° рассылка врСдоносных Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΎΠ², ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ устанавливали врСдоносноС ПО AZORUlt. Анализ Π΄Π°Π½Π½ΠΎΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ выявил ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ административныС ΠΏΠ°Π½Π΅Π»ΠΈ, Ρ€Π°ΡΠΏΠΎΠ»Π°Π³Π°Π²ΡˆΠΈΠ΅ΡΡ Π½Π° сСрвСрС с IP-адрСсом 200.63.40.2:

  • http[:]//chuxagama[.]com/web-obtain/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http[:]//umbra-diego[.]com/wp/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
  • http[:]//chuxagama[.]com/web-obtain/Panel/five/index.php (AZORUlt)

Π”ΠΎΠΌΠ΅Π½Π½Ρ‹Π΅ ΠΈΠΌΠ΅Π½Π° chuxagama[.]com ΠΈ umbra-diego[.]com Π±Ρ‹Π»ΠΈ зарСгистрированы ΠΎΠ΄Π½ΠΈΠΌ ΠΈ Ρ‚Π΅ΠΌ ΠΆΠ΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ с адрСсом элСктронной ΠΏΠΎΡ‡Ρ‚Ρ‹ [email protected]. Π­Ρ‚ΠΎΡ‚ ΠΆΠ΅ адрСс Π±Ρ‹Π» использован для рСгистрации Π΄ΠΎΠΌΠ΅Π½Π½ΠΎΠ³ΠΎ ΠΈΠΌΠ΅Π½ΠΈ worldcourrierservices[.]com Π² ΠΌΠ°Π΅ 2016 Π³ΠΎΠ΄Π°, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ Π·Π°Ρ‚Π΅ΠΌ Π±Ρ‹Π»ΠΎ использовано Π² качСствС сайта для ΠΌΠΎΡˆΠ΅Π½Π½ΠΈΡ‡Π΅ΡΠΊΠΎΠΉ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ World Courier Service.

Π˜ΡΡ…ΠΎΠ΄Ρ ΠΈΠ· Ρ‚ΠΎΠ³ΠΎ Ρ„Π°ΠΊΡ‚Π°, Ρ‡Ρ‚ΠΎ Π² Ρ€Π°ΠΌΠΊΠ°Ρ… врСдоносной ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ FakeSecurity Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ использовали врСдоносноС ПО для ΠΊΡ€Π°ΠΆΠΈ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΈ распространяли Π΅Π³ΠΎ Ρ‡Π΅Ρ€Π΅Π· спам ΠΏΠΎ элСктронной ΠΏΠΎΡ‡Ρ‚Π΅, Π° Ρ‚Π°ΠΊΠΆΠ΅ пользовались сСрвСром с IP-адрСсом 200.63.40.2, ΠΌΠΎΠΆΠ½ΠΎ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ врСдоносная кампания января 2019 Π³ΠΎΠ΄Π° Π±Ρ‹Π»Π° ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½Π° Ρ‚ΠΎΠΉ ΠΆΠ΅ прСступной Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ.

Π˜Π½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€Ρ‹

File name Adobe-Reader-PDF-Plugin-2.37.2.exe

  • MD5 3ec1ac0be981ce6d3f83f4a776e37622
  • SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
  • SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
  • Size 615984

File name Adobe-Reader-PDF-Plugin-2.31.4.exe

  • MD5 58476e1923de46cd4b8bee4cdeed0911
  • SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
  • SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
  • Size 578048

File name Adobe-Reader-PDF-Plugin-2.35.8.exe

  • MD5 286096c7e3452aad4acdc9baf897fd0c
  • SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
  • SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
  • Size 1069056

File name Adobe-Reader-PDF-Plugin-2.31.4.exe

  • MD5 fd0e11372a4931b262f0dd21cdc69c01
  • SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
  • SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
  • Size 856576

File name msw070619.exe

  • MD5 772db176ff61e9addbffbb7e08d8b613
  • SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
  • SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
  • Size 934448
  • fiswedbesign[.]com
  • alloaypparel[.]com
  • firstofbanks[.]com
  • magento-security[.]org
  • mage-security[.]org
  • https[:]//www[.]healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
  • https[:]//www[.]genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • https[:]//firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
  • http[:]//e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
  • http[:]//thepinetree[.]net/docs/msw070619.exe

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com