Ji dawiya sala borî ve, me dest bi şopandina kampanyayek nû ya xerab kir da ku Trojanek bankingê belav bike. Êrîşkaran bal kişandin ser tawîzkirina pargîdaniyên rûsî, ango bikarhênerên pargîdanî. Kampanyaya xerab bi kêmî ve salek çalak bû û, ji bilî Trojanê bankingê, êrîşkaran bi karanîna cûrbecûr amûrên nermalavê yên din jî bikar anîn. Di nav wan de barkerek taybetî ya ku bi karanîna pakkirî tê de heye , û spyware, ku wekî nermalava rewa ya naskirî ya Yandex Punto tê veşartin. Dema ku êrîşkaran karibe komputera mexdûr tawîz bike, ew dergehek paşde û dûv re jî Trojanek bankingê saz dikin.
Ji bo malwareya xwe, êrîşkaran gelek sertîfîkayên dîjîtal ên derbasdar (wê demê) û rêbazên taybetî bikar anîn da ku hilberên AV-ê derbas bikin. Kampanyaya xerab hejmareke mezin ji bankên Rûsî kir armanc û balkêş e ji ber ku êrîşkaran rêbazên ku pir caran di êrîşên armanckirî de têne bikar anîn bikar anîn, ango êrîşên ku ne tenê ji ber sextekariya darayî ne. Em dikarin di navbera vê kampanyaya xerab û bûyerek mezin a ku berê belavokek mezin girtibû de hin hevsengiyên xwe destnîşan bikin. Em behsa komek sûcdar a sîber dikin ku Trojanek banking bikar anî /.
Êrîşkeran malware tenê li ser wan komputerên ku zimanê rûsî di Windows-ê de (herêmîkirin) bikar tînin saz kirin. Vektora belavkirina sereke ya Trojan belgeyek Word-ê bi kargêr bû. , ku wekî pêveka belgeyê hate şandin. Dîmenên jêrîn xuyangiya van belgeyên sexte nîşan didin. Belgeya yekem bi sernavê "Fatureya Hejmar 522375-FLORL-14-115.doc", û ya duyemîn "kontrakt87.doc" ye, ew kopiyek ji peymana peydakirina karûbarên têlefonê ji hêla operatorê mobîl Megafon ve ye.
Birinc. 1. Belgeya Phishing.
Birinc. 2. Guhertinek din a belgeya phishing.
Rastiyên jêrîn destnîşan dikin ku êrîşkaran karsaziyên rûsî kirine armanc:
- belavkirina malware bi karanîna belgeyên sexte li ser mijara diyarkirî;
- taktîkên êrîşkaran û amûrên xerab ên ku ew bikar tînin;
- girêdanên serîlêdanên karsaziyê yên di hin modulên îcrakar de;
- navên domainên xerab ên ku di vê kampanyayê de hatine bikar anîn.
Amûrên nermalava taybetî yên ku êrîşkar li ser pergalek lihevhatî saz dikin dihêlin ku ew pergalê ji dûr ve kontrol bikin û çalakiya bikarhêner bişopînin. Ji bo pêkanîna van fonksiyonan, ew derîyek paşde saz dikin û her weha hewl didin ku şîfreya hesabê Windows-ê bistînin an hesabek nû biafirînin. Di heman demê de êrîşkar serî li karûbarên keylogger (keylogger), dizkerek clipboard ya Windows-ê û nermalava taybetî ya ji bo xebata bi qertên jîr dikin. Vê komê hewl da ku komputerên din ên ku li ser heman tora herêmî ya wekî komputera mexdûr bûn, tawîz bide.
Pergala meya telemetrî ya ESET LiveGrid, ku destûrê dide me ku em zû statîstîkên belavkirina malware bişopînin, ji me re statîstîkên coxrafî yên balkêş ên li ser belavkirina malware ku ji hêla êrîşkaran ve di kampanyaya navborî de hatî bikar anîn peyda kir.
Birinc. 3. Statîstîkên li ser belavkirina erdnîgarî ya malware ku di vê kampanyaya xirab de hatî bikar anîn.
Sazkirina malware
Piştî ku bikarhênerek belgeyek xirab bi îstismarek li ser pergalek xedar veke, dakêşkerek taybetî ya ku bi karanîna NSIS-ê hatî pakêt kirin dê li wir were dakêşandin û darve kirin. Di destpêka xebata xwe de, bername hawîrdora Windows-ê ji bo hebûna debuggeran li wir an ji bo xebitandina di çarçoweya makîneyek virtual de kontrol dike. Di heman demê de ew cîhkirina Windows-ê jî kontrol dike û gelo bikarhêner serdana URL-yên ku li jêr di tabloya gerokê de hatine destnîşan kirin an na. API ji bo vê yekê têne bikar anîn FindFirst/NextUrlCacheEntry û mifteya qeydê ya SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader hebûna sepanên jêrîn li ser pergalê kontrol dike.
Navnîşa pêvajoyan bi rastî balkêş e û, wekî ku hûn dibînin, ew ne tenê serîlêdanên bankingê vedihewîne. Mînakî, pelek îcrakar a bi navê "scardsvr.exe" ji nermalava ji bo xebitandina bi qertên jîr re (xwendekarê Microsoft SmartCard) vedibêje. Trojanê bankingê bixwe şiyana ku bi kartên jîr re bixebite dihewîne.
Birinc. 4. Diyagrama giştî ya pêvajoya sazkirina malware.
Heke hemî kontrol bi serfirazî qediyan, barker pelek taybetî (arşîv) ji pêşkêşkara dûr dadixe, ku tê de hemî modulên darveker ên xerab ên ku ji hêla êrîşkaran ve têne bikar anîn vedihewîne. Balkêş e ku meriv li gorî pêkanîna kontrolên jorîn ve girêdayî ye, arşîvên ku ji servera C&C ya dûr ve hatine dakêşandin cûda dibe. Dibe ku arşîv xerab be yan jî nebe. Heke ne xirab be, ew ji bo bikarhênerê Toolbara Windows Live saz dike. Bi îhtimaleke mezin, êrîşkaran serî li hîleyên bi vî rengî dane da ku pergalên analîzkirina pelê otomatîk û makîneyên virtual yên ku pelên gumanbar li ser têne darve kirin bixapînin.
Pelê ku ji hêla dakêşkera NSIS ve hatî dakêşandin arşîvek 7z e ku modulên cûrbecûr yên malware dihewîne. Wêneya jêrîn tevahiya pêvajoya sazkirinê ya vê malware û modulên wê yên cihêreng nîşan dide.
Birinc. 5. Plana giştî ya çawa malware dixebite.
Her çend modulên barkirî ji bo êrîşkaran armancên cihêreng xizmet dikin, ew bi heman rengî têne pak kirin û gelek ji wan bi sertîfîkayên dîjîtal ên derbasdar hatine îmzekirin. Me çar sertîfîkayên wisa dîtin ku êrîşkaran ji destpêka kampanyayê ve bikar anîn. Piştî giliya me ev sertîfîka hatin betalkirin. Balkêş e ku hemî sertîfîka ji bo pargîdaniyên ku li Moskowê qeydkirî hatine dayîn.
Birinc. 6. Sertîfîkaya dîjîtal a ku ji bo îmzekirina malware hate bikar anîn.
Tabloya jêrîn sertîfîkayên dîjîtal ên ku êrîşkaran di vê kampanyaya xerab de bikar anîne destnîşan dike.
Hema hema hemî modulên xerab ên ku ji hêla êrîşkaran ve têne bikar anîn pêvajoyek sazkirinê ya yekane heye. Ew bi xwe arşîvên 7zip-ê yên ku bi şîfre têne parastin derdixin.
Birinc. 7. Parçeyek pelê pelê install.cmd.
Dosya .cmd ya batch berpirsiyar e ji bo sazkirina malware li ser pergalê û destpêkirina amûrên cûda yên êrîşkar. Ger darvekirin hewceyê mafên îdarî yên wenda bike, koda xirab çend rêbazan bikar tîne da ku wan bi dest bixe (ji UAC re derbas dibe). Ji bo bicihanîna rêbaza yekem, du pelên îcrakar ên bi navê l1.exe û cc1.exe têne bikar anîn, ku pispor in ku UAC-ê bi kar tînin. Koda çavkaniyê ya Carberp. Rêbazek din li ser îstismarkirina xirapbûna CVE-2013-3660-ê ye. Her modulek malware ya ku pêdivî bi zêdekirina îmtiyazê heye hem guhertoyek 32-bit û hem jî 64-bit îstismar heye.
Dema şopandina vê kampanyayê, me gelek arşîvên ku ji hêla dakêşker ve hatine barkirin analîz kirin. Naveroka arşîvan cihêreng bû, tê vê wateyê ku êrîşkar dikarin modulên xerab ji bo mebestên cihêreng biguncînin.
Lihevhatina bikarhêner
Wekî ku me li jor behs kir, êrîşkar amûrên taybetî bikar tînin da ku komputerên bikarhêneran tawîz bikin. Van amûran bernameyên bi navên pelên îcrakar mimi.exe û xtm.exe hene. Ew ji êrîşkaran re dibin alîkar ku kontrola komputera mexdûr bigirin û di pêkanîna karên jêrîn de pispor bibin: bidestxistina/vegerandina şîfreyên ji bo hesabên Windows-ê, çalakkirina karûbarê RDP, afirandina hesabek nû di OS-ê de.
Bersaziya mimi.exe guhertoyek guhezbar a amûrek çavkaniya vekirî ya naskirî vedihewîne . Ev amûr dihêle hûn şîfreyên hesabê bikarhênerê Windows-ê bistînin. Êrîşkaran beşek ji Mimikatz derxistin ku berpirsiyariya danûstendina bikarhêner e. Koda îcrakar jî hate guherandin da ku gava were destpêkirin, Mimikatz dê bi îmtiyaz::debug û fermanên sekurlsa:logonPasswords bixebite.
Pelek din a darvekirî, xtm.exe, skrîptên taybetî dide destpêkirin ku karûbarê RDP di pergalê de çalak dike, hewl dide ku di OS-ê de hesabek nû biafirîne, û her weha mîhengên pergalê biguhezîne da ku bihêle çend bikarhêner bi hevdemî bi RDP ve bi komputerek têkçûyî ve girêdayî bin. Eşkere ye ku ev gav ji bo bidestxistina kontrola tam a pergala lihevhatî hewce ne.
Birinc. 8. Fermanên ku ji hêla xtm.exe ve li ser pergalê têne darve kirin.
Êrîşkar dosyayek din a îcrakar a bi navê impack.exe bikar tînin, ku ji bo sazkirina nermalava taybetî li ser pergalê tê bikar anîn. Navê vê nermalavê LiteManager e û ji hêla êrîşkaran ve wekî deriyek paşde tê bikar anîn.
Birinc. 9. Têkiliya LiteManager.
Piştî ku li ser pergala bikarhênerek hate saz kirin, LiteManager dihêle êrîşker rasterast bi wê pergalê ve girêbidin û wê ji dûr ve kontrol bikin. Vê nermalavê ji bo sazkirina wê ya veşartî, afirandina qaîdeyên taybetî yên dîwarê agir, û destpêkirina modulê xwedan pîvanên rêza fermanê yên taybetî ye. Hemî pîvan ji hêla êrîşkaran ve têne bikar anîn.
Modula paşîn a pakêta malware ya ku ji hêla êrîşkaran ve hatî bikar anîn bernameyek malwareya bankingê (banker) e ku bi navê pelê ya darvekirî pn_pack.exe ye. Ew di sîxuriya bikarhêner de pispor e û berpirsiyar e ku bi servera C&C re têkilî daynin. Banker bi karanîna nermalava rewa ya Yandex Punto tê destpêkirin. Punto ji hêla êrîşkaran ve tê bikar anîn da ku pirtûkxaneyên DLL-yên xerab (rêbaza Barkirina Aliyê DLL) bidin destpêkirin. Malware bixwe dikare fonksiyonên jêrîn pêk bîne:
- ji bo veguheztina wan a paşîn a serverek dûr, pêlên klavyeyê û naveroka pabloyê bişopîne;
- navnîşa hemî kartên jîr ên ku di pergalê de hene;
- bi serverek C&C ya dûr re têkilî daynin.
Modula malware, ku ji pêkanîna van hemî karan berpirsiyar e, pirtûkxaneyek DLL ya şîfrekirî ye. Ew di dema darvekirina Punto de tê deşîfrekirin û di bîranînê de tê barkirin. Ji bo pêkanîna peywirên jorîn, koda darvekirî ya DLL sê mijaran dest pê dike.
Rastiya ku êrîşkaran ji bo mebestên xwe nermalava Punto hilbijartiye, ne surprîz e: hin forumên rûsî bi eşkere agahdariya berfireh li ser mijarên weha peyda dikin wekî karanîna xeletiyên di nermalava rewa de ji bo tawîzkirina bikarhêneran.
Pirtûkxaneya xerab algorîtmaya RC4 bikar tîne da ku rêzikên xwe şîfre bike, û hem jî di dema danûstendinên torê yên bi servera C&C re. Ew her du hûrdeman bi serverê re têkilî dike û hemî daneyên ku di vê heyamê de li ser pergala lihevhatî hatine berhev kirin li wir vediguhezîne.
Birinc. 10. Parçeyek danûstendina torê ya di navbera bot û serverê de.
Li jêr hin rêwerzên servera C&C hene ku pirtûkxane dikare bistîne.
Di bersiva wergirtina rêwerzan de ji servera C&C, malware bi kodek statûyê bersiv dide. Balkêş e ku em bala xwe bidinê ku hemî modulên banker ên ku me analîz kirin (ya herî dawî ya bi tarîxa berhevkirinê ya 18-ê Rêbendanê) rêzika "TEST_BOTNET" dihewîne, ku di her peyamê de ji servera C&C re tê şandin.
encamê
Ji bo tawîzkirina bikarhênerên pargîdanî, êrîşkar di qonaxa yekem de bi şandina peyamek fîşekirinê ya bi îstîsmarê ve yek xebatkarek pargîdaniyê tawîz didin. Dûv re, gava ku malware li ser pergalê were saz kirin, ew ê amûrên nermalavê bikar bînin ku dê ji wan re bibin alîkar ku desthilatdariya xwe li ser pergalê bi girîngî berfireh bikin û li ser wê peywirên din pêk bînin: kompîturên din ên li ser tora pargîdanî tawîz bidin û bikarhêner bişopînin, û her weha danûstendinên bankî yên ku ew dike.
Source: www.habr.com