Nanomboka tamin'ny faran'ny taona lasa, nanomboka nanara-maso fanentanana ratsy vaovao izahay mba hizarana Trojan banky. Ireo mpanafika dia nifantoka tamin'ny fandeferana ireo orinasa Rosiana, izany hoe ireo mpampiasa orinasa. Navitrika nandritra ny herintaona farafahakeliny ny fampielezan-kevitra ratsy ary, ankoatry ny Trojan banky, dia nampiasa fitaovana rindrambaiko hafa ireo mpanafika. Anisan'izany ny loader manokana ampiasaina , sy ny spyware, izay misandoka ho toy ny rindrambaiko Yandex Punto malaza malaza. Raha vantany vao nahavita nanimba ny solosain'ilay niharam-boina ireo mpanafika, dia nametraka varavarana ambadika izy ireo ary avy eo Trojan banky.
Ho an'ny malware-n'izy ireo dia nampiasa taratasy fanamarinana nomerika maromaro manan-kery (tamin'izany fotoana izany) sy fomba manokana ireo mpanafika mba hialana amin'ny vokatra AV. Ny fampielezan-kevitra ratsy dia nikendry banky Rosiana marobe ary mahaliana manokana satria ireo mpanafika dia nampiasa fomba izay matetika ampiasaina amin'ny fanafihana lasibatra, izany hoe fanafihana izay tsy entanin'ny hosoka ara-bola fotsiny. Azontsika atao ny manamarika fa misy fitoviana misy eo amin'ity fampielezan-kevitra feno habibiana ity sy ny trangan-javatra lehibe iray izay nalaza be teo aloha. Miresaka momba ny vondrona cybercriminal izay nampiasa Trojan banky izahay /.
Ireo mpanafika ihany no nametraka malware tamin'ireo solosaina nampiasa ny teny rosiana amin'ny Windows (localization) ho default. Ny vector fizarana lehibe amin'ny Trojan dia antontan-taratasy Word misy fanararaotana. , izay nalefa ho apetaka amin'ny antontan-taratasy. Ny pikantsary etsy ambany dia mampiseho ny endriky ny antontan-taratasy sandoka toy izany. Ny antontan-taratasy voalohany dia mitondra ny lohateny hoe βInvoice No. 522375-FLORL-14-115.docβ, ary ny faharoa βkontrakt87.docβ, dia dika mitovy amin'ny fifanarahana amin'ny fanomezana tolotra fifandraisan-davitra nataon'ny mpandraharaha finday Megafon.
vary. 1. Taratasy phishing.
vary. 2. Fanovana hafa amin'ny antontan-taratasy phishing.
Ireto zava-misy manaraka ireto dia manondro fa nikendry orinasa Rosiana ireo mpanafika:
- fizarana ny malware mampiasa antontan-taratasy sandoka amin'ny lohahevitra voafaritra;
- ny paikadin'ny mpanafika sy ny fitaovana ratsy ampiasainy;
- rohy mankany amin'ny rindranasa fandraharahana amin'ny maodely azo tanterahana sasany;
- anaran'ireo sehatra maloto izay nampiasaina tamin'ity fanentanana ity.
Ny fitaovana rindrambaiko manokana napetraky ny mpanafika amin'ny rafitra simba dia ahafahan'izy ireo mahazo fanaraha-maso lavitra ny rafitra sy manara-maso ny asan'ny mpampiasa. Mba hanatanterahana ireo asa ireo dia mametraka varavarana ambadika izy ireo ary manandrana mahazo ny tenimiafina kaonty Windows na mamorona kaonty vaovao. Ny mpanafika ihany koa dia mampiasa ny serivisy keylogger (keylogger), mpangalatra takelaka Windows, ary rindrambaiko manokana amin'ny fiasana amin'ny karatra hendry. Ity vondrona ity dia nanandrana nanimba ny solosaina hafa izay ao amin'ny tambajotra eo an-toerana mitovy amin'ny solosain'ilay niharam-boina.
Ny rafitra telemetry ESET LiveGrid, izay ahafahantsika manara-maso haingana ny antontan'isa fizarana malware, dia nanome antsika antontan'isa ara-jeografika mahaliana momba ny fizarana malware ampiasain'ny mpanafika ao amin'ny fanentanana voalaza.
vary. 3. Ny antontan'isa momba ny fizarana ara-jeografika ny malware ampiasaina amin'ity fanentanana maloto ity.
Fametrahana malware
Rehefa manokatra antontan-taratasy maloto miaraka amin'ny fanararaotana amin'ny rafitra marefo ny mpampiasa iray, dia alaina sy hovonoina ao ny downloader manokana voafono mampiasa NSIS. Eo am-piandohan'ny asany, ny programa dia manamarina ny tontolo Windows amin'ny fisian'ny debugger ao na amin'ny fandehanana amin'ny tontolon'ny milina virtoaly. Izy io koa dia manamarina ny toerana misy ny Windows ary raha nitsidika ireo URL voatanisa etsy ambany eo amin'ny tabilao ao amin'ny navigateur ny mpampiasa. API no ampiasaina amin'izany FindFirst/NextUrlCacheEntry ary ny lakilen'ny fisoratana anarana SoftwareMicrosoftInternet ExplorerTypedURLs.
Ny bootloader dia manamarina ny fisian'ireto fampiharana manaraka ireto ao amin'ny rafitra.
Ny lisitr'ireo dingana dia tena mahavariana ary, araka ny hitanao, dia tsy ny fampiharana banky ihany no ahitana azy. Ohatra, ny rakitra azo tanterahana antsoina hoe "scardsvr.exe" dia manondro rindrambaiko miasa amin'ny karatra hendry (Microsoft SmartCard reader). Ny banky Trojan mihitsy dia ahitana ny fahafahana miasa amin'ny karatra hendry.
vary. 4. Diagram ankapoben'ny fizotry ny fametrahana malware.
Raha vita soa aman-tsara ny fisavana rehetra, dia maka rakitra manokana (archive) avy amin'ny mpizara lavitra ny loader, izay misy ireo maodely azo ampiasaina ratsy rehetra ampiasain'ny mpanafika. Mahaliana ny manamarika fa miankina amin'ny fanatanterahana ireo fisavana etsy ambony dia mety tsy hitovy ny arisiva alaina avy amin'ny mpizara C&C lavitra. Ny arisiva dia mety ho ratsy na tsy mety. Raha tsy ratsy dia mametraka ny Windows Live Toolbar ho an'ny mpampiasa. Azo inoana fa nanao tetika mitovy amin'izany ireo mpanafika mba hamitahana ireo rafitra famakafakana rakitra mandeha ho azy sy milina virtoaly izay famonoana ireo rakitra mampiahiahy.
Ny rakitra alaina avy amin'ny NSIS downloader dia arisiva 7z izay misy mody malware isan-karazany. Ny sary etsy ambany dia mampiseho ny fizotry ny fametrahana an'ity malware ity sy ny maody isan-karazany.
vary. 5. Tetika ankapobeny momba ny fiasan'ny malware.
Na dia samy manana tanjona samihafa ho an'ny mpanafika aza ireo maody feno entana, dia mitovitovy ny fonony ary maro amin'izy ireo no nosoniavina tamin'ny mari-pankasitrahana nomerika manan-kery. Nahita mari-pankasitrahana efatra toy izany izahay izay nampiasain'ireo mpanafika hatrany am-piandohan'ny fampielezan-kevitra. Taorian'ny fitarainanay dia nofoanana ireo taratasy fanamarinana ireo. Mahaliana ny manamarika fa ny taratasy fanamarinana rehetra dia navoaka ho an'ny orinasa voasoratra anarana ao Moskoa.
vary. 6. Taratasy nomerika izay nampiasaina hanasoniavana ny malware.
Ity tabilao manaraka ity dia mamaritra ny mari-pankasitrahana nomerika nampiasain'ireo mpanafika tamin'ity fampielezan-kevitra ratsy ity.
Saika ny maody ratsy rehetra ampiasain'ny mpanafika dia manana fomba fametrahana mitovy. Izy ireo dia maka arsiva 7zip izay voaaro amin'ny tenimiafina.
vary. 7. Sombin'ny rakitra install.cmd batch.
Ny rakitra .cmd batch dia tompon'andraikitra amin'ny fametrahana malware amin'ny rafitra sy ny fandefasana fitaovana mpanafika isan-karazany. Raha toa ka mitaky zo ara-pitantanana tsy hita ny famonoana, dia mampiasa fomba maro hahazoana azy ireo ny kaody ratsy (miala ny UAC). Mba hampiharana ny fomba voalohany dia ampiasaina ny rakitra roa azo ampiasaina antsoina hoe l1.exe sy cc1.exe, izay manokana amin'ny fandalovana ny UAC amin'ny fampiasana ny Carberp source code. Ny fomba iray hafa dia mifototra amin'ny fitrandrahana ny vulnerability CVE-2013-3660. Ny maodely malware tsirairay izay mitaky fisondrotana tombontsoa dia misy dikan-teny 32-bit sy 64-bit amin'ny fitrandrahana.
Teo am-panaraha-maso an'ity fanentanana ity izahay dia nandinika arsiva maromaro nampidirin'ilay mpaka sary. Niovaova ny votoatin'ny arisiva, midika izany fa ny mpanafika dia afaka mampifanaraka ireo maody manimba ho an'ny tanjona samihafa.
Ny marimaritra iraisana amin'ny mpampiasa
Araka ny voalazanay etsy ambony, mampiasa fitaovana manokana ny mpanafika mba hampandeferana ny solosain'ny mpampiasa. Ireo fitaovana ireo dia ahitana programa miaraka amin'ny anarana rakitra azo ampiasaina mimi.exe sy xtm.exe. Manampy ireo mpanafika hifehy ny solosain'ilay niharam-boina izy ireo ary manampahaizana manokana amin'ny fanatanterahana ireto asa manaraka ireto: fahazoana/famerenana ny tenimiafina ho an'ny kaonty Windows, mamela ny serivisy RDP, mamorona kaonty vaovao ao amin'ny OS.
Ny mimi.exe azo tanterahana dia misy dikan-teny novaina amin'ny fitaovana loharano misokatra malaza . Ity fitaovana ity dia ahafahanao mahazo tenimiafina kaonty mpampiasa Windows. Nesorin'ireo mpanafika ny ampahany tamin'ny Mimikatz izay tompon'andraikitra amin'ny fifandraisan'ny mpampiasa. Ny code executable dia novana koa ka rehefa natomboka, Mimikatz dia handeha miaraka amin'ny didy::debug sy sekurlsa:logonPasswords.
Ny rakitra azo tanterahana iray hafa, xtm.exe, dia mamoaka script manokana ahafahan'ny serivisy RDP ao amin'ny rafitra, manandrana mamorona kaonty vaovao ao amin'ny OS, ary koa manova ny rafitra rafitra ahafahan'ny mpampiasa maromaro mifandray amin'ny solosaina simba amin'ny alΓ lan'ny RDP. Mazava ho azy fa ilaina ireo dingana ireo mba hahazoana fanaraha-maso tanteraka ny rafitra simba.
vary. 8. Didy tanterahan'ny xtm.exe amin'ny rafitra.
Mampiasa rakitra azo tanterahana hafa antsoina hoe impack.exe ny mpanafika, izay ampiasaina hametrahana rindrambaiko manokana amin'ny rafitra. Ity rindrambaiko ity dia antsoina hoe LiteManager ary ampiasain'ny mpanafika ho varavarana aoriana.
vary. 9. LiteManager interface tsara.
Raha vao tafapetraka amin'ny rafitry ny mpampiasa iray, LiteManager dia mamela ny mpanafika hifandray mivantana amin'io rafitra io ary hifehy azy lavitra. Ity rindrambaiko ity dia manana mari-pamantarana baiko manokana ho an'ny fametrahana miafina, famoronana fitsipika firewall manokana, ary fandefasana ny maody. Ny paramètre rehetra dia ampiasain'ny mpanafika.
Ny maody farany amin'ny fonosana malware ampiasain'ny mpanafika dia programa malware amin'ny banky (banker) miaraka amin'ny anarana rakitra azo tanterahana pn_pack.exe. Manampahaizana manokana amin'ny fitsikilovana ny mpampiasa izy ary tompon'andraikitra amin'ny fifandraisana amin'ny mpizara C&C. Ny banky dia natomboka tamin'ny fampiasana rindrambaiko Yandex Punto ara-dalΓ na. Punto dia ampiasain'ny mpanafika hanangana tranomboky DLL ratsy (fomba DLL Side-Loading). Ny malware mihitsy dia afaka manao ireto asa manaraka ireto:
- araho ny fanendry fitendry fitendry sy ny atiny amin'ny solaitrabe ho an'ny fampitana azy ireo any amin'ny mpizara lavitra;
- Tanisao ny karatra maranitra rehetra misy ao amin'ny rafitra;
- mifandray amin'ny mpizara C&C lavitra.
Ny maody malware, izay tompon'andraikitra amin'ny fanatanterahana ireo asa rehetra ireo, dia tranomboky DLL misy miafina. Izy io dia voahidy ary ampidirina ao anaty fitadidiana mandritra ny famonoana an'i Punto. Mba hanatanterahana ireo asa etsy ambony dia manomboka kofehy telo ny code executable DLL.
Tsy mahagaga raha nisafidy ny rindrambaiko Punto ho an'ny tanjony ireo mpanafika: manome ampahibemaso ny fampahalalana amin'ny antsipiriany momba ny lohahevitra toy ny fampiasana lesoka amin'ny rindrambaiko ara-dalΓ na ny forum Rosiana sasany mba hampandeferana ny mpampiasa.
Ny tranomboky maloto dia mampiasa ny algorithm RC4 mba hanafenana ny tadiny, ary koa mandritra ny fifandraisan'ny tambajotra amin'ny mpizara C&C. Mifandray amin'ny mpizara isaky ny roa minitra izy ary mampita any ny angon-drakitra rehetra voaangona tao amin'ny rafitra simba nandritra io vanim-potoana io.
vary. 10. Sombim-pifandraisana amin'ny tambajotra eo amin'ny bot sy ny mpizara.
Ireto ambany ireto ny sasany amin'ireo toromarika mpizara C&C azon'ny tranomboky.
Ho setrin'ny fandraisana toromarika avy amin'ny mpizara C&C dia mamaly amin'ny fehezan-dalΓ na ny malware. Mahaliana ny manamarika fa ny maody banky rehetra izay nodinihinay (ny farany indrindra miaraka amin'ny daty fanangonana ny 18 Janoary) dia misy ny tady "TEST_BOTNET", izay alefa amin'ny hafatra tsirairay mankany amin'ny mpizara C&C.
famaranana
Mba hampandefitra ireo mpampiasa orinasa, ireo mpanafika amin'ny dingana voalohany dia mampandefitra mpiasa iray ao amin'ny orinasa amin'ny fandefasana hafatra phishing miaraka amin'ny fanararaotana. Manaraka, rehefa tafapetraka ao amin'ny rafitra ny malware, dia hampiasa fitaovana rindrambaiko izy ireo izay hanampy azy ireo hanitarana ny fahefany amin'ny rafitra ary hanao asa fanampiny amin'izany: mampandefitra ny solosaina hafa ao amin'ny tambajotra orinasa ary mitsikilo ny mpampiasa, ary koa ny fifampiraharahana aminβny banky izay ataony.
Source: www.habr.com