Ho tloha bofelong ba selemo se fetileng, re ile ra qala ho latela letšolo le lecha le lonya la ho aba Trojan ea banka. Bahlaseli ba ne ba tsepamisitse maikutlo ho sekisetsa lik'hamphani tsa Russia, ke hore basebelisi ba lik'hamphani. Letšolo le lonya le ne le sebetsa bonyane selemo mme, ntle le Trojan ea banka, bahlaseli ba ile ba sebelisa lisebelisoa tse ling tse fapaneng tsa software. Tsena li kenyelletsa sephutheloana se khethehileng se pakiloeng ka ho sebelisoa , le spyware, e ipatileng e le software e tsebahalang ea molao ea Yandex Punto. Hang ha bahlaseli ba khonne ho senya k'homphieutha ea motho ea hlasetsoeng, ba kenya ntlo e ka morao ebe banka Trojan.
Bakeng sa malware a bona, bahlaseli ba ile ba sebelisa litifikeiti tse 'maloa tse nepahetseng (ka nako eo) tsa dijithale le mekhoa e ikhethang ho feta lihlahisoa tsa AV. Letšolo le kotsi le ne le lebisitse palo e kholo ea libanka tsa Russia 'me le thahasella ka ho khetheha hobane bahlaseli ba ne ba sebelisa mekhoa e atisang ho sebelisoa litlhaselong tse lebisitsoeng, ke hore, litlhaselo tse sa susumetsoang feela ke bomenemene ba lichelete. Re ka hlokomela ho tšoana ho itseng pakeng tsa phutuho ena e lonya le ketsahalo e khōlō e ileng ea phatlalatsoa haholo pejana. Re bua ka sehlopha sa cybercriminal se sebelisitseng Trojan ea banka /.
Bahlaseli ba kentse malware feela lik'homphieutheng tse neng li sebelisa puo ea Serussia ho Windows (localization) ka ho feletseng. Vector e ka sehloohong ea kabo ea Trojan e ne e le tokomane ea Lentsoe e nang le ts'ebetso. , e ileng ea romeloa e le sehokelo tokomaneng eo. Litšoantšo tse ka tlase li bontša ponahalo ea litokomane tse joalo tsa bohata. Tokomane ea pele e na le sehlooho se reng "Invoice No. 522375-FLORL-14-115.doc", 'me ea bobeli "kontrakt87.doc", ke kopi ea konteraka ea ho fana ka lits'ebeletso tsa lits'ebeletso tsa thelefono ke mochine oa mohala oa Megafon.
Raese. 1. Tokomane ea phishing.
Raese. 2. Phetoho e 'ngoe ea tokomane ea phishing.
Lintlha tse latelang li bontša hore bahlaseli ba ne ba shebile likhoebo tsa Russia:
- ho ajoa ha malware ho sebelisa litokomane tsa bohata ka sehlooho se boletsoeng;
- maqheka a bahlaseli le lisebelisoa tse lonya tseo ba li sebelisang;
- likhokahano tsa lits'ebetso tsa khoebo ho li-module tse ling tse sebetsang;
- mabitso a libaka tse mpe tse sebelisitsoeng letšolong lena.
Lisebelisoa tse khethehileng tsa software tseo bahlaseli ba li kenyang tsamaisong e senyehileng li ba lumella ho fumana taolo e hole ea sistimi le ho beha leihlo tšebetso ea mosebelisi. Ho etsa mesebetsi ena, ba kenya backdoor mme ba leka ho fumana password ea akhaonto ea Windows kapa ho theha ak'haonte e ncha. Bahlaseli ba boetse ba sebelisa lits'ebeletso tsa keylogger (keylogger), mochini o utsoang liboto tsa Windows, le software e khethehileng ea ho sebetsa ka likarete tse bohlale. Sehlopha sena se ile sa leka ho sekisetsa lik'homphieutha tse ling tse neng li le marang-rang a sebaka se tšoanang le k'homphieutha ea mohlaseluoa.
Sistimi ea rona ea telemetry ea ESET LiveGrid, e re lumellang ho latela lipalo-palo tsa kabo ea malware kapele, e re file lipalo-palo tse khahlisang tsa sebaka mabapi le kabo ea malware e sebelisoang ke bahlaseli lets'olo le boletsoeng.
Raese. 3. Lipalopalo mabapi le kabo ea sebaka sa malware e sebelisitsoeng letšolong lena le kotsi.
Ho kenya malware
Kamora hore mosebelisi a bule tokomane e mpe ka tšebeliso e mpe ea sistimi e tlokotsing, downloader e khethehileng e kentsoeng ka NSIS e tla kopitsoa le ho phethoa moo. Qalong ea mosebetsi oa eona, lenaneo le hlahloba tikoloho ea Windows bakeng sa boteng ba li-debuggers moo kapa bakeng sa ho sebetsa ho latela mochine oa sebele. E boetse e lekola ho fumaneha ha Windows le hore na mosebelisi o etetse li-URL tse thathamisitsoeng ka tlase tafoleng ea sebatli. Li-API li sebelisetsoa sena FumanaFirst/NextUrlCacheEntry le konopo ea ho ngolisa ea SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader e lekola boteng ba lits'ebetso tse latelang ho sistimi.
Lethathamo la lits'ebetso le khahla e le kannete, joalo ka ha u bona, ha le akarelletse likopo tsa banka feela. Ka mohlala, faele e sebetsang e bitsoang "scardsvr.exe" e bolela software bakeng sa ho sebetsa ka likarete tse bohlale (Microsoft SmartCard reader). Trojan ea banka ka boeona e kenyelletsa bokhoni ba ho sebetsa ka likarete tse bohlale.
Raese. 4. Setšoantšo se akaretsang sa ts'ebetso ea ho kenya malware.
Haeba licheke tsohle li phethiloe ka katleho, mojaro o khoasolla faele e ikhethileng (archive) ho tsoa ho seva e hole, e nang le li-module tsohle tse mpe tse sebetsang tse sebelisoang ke bahlaseli. Hoa thahasellisa ho hlokomela hore ho latela ts'ebetso ea licheke tse kaholimo, li-archives tse jarollotsoeng ho tsoa ho seva e hole ea C&C li ka fapana. Sebaka sa polokelo ea lintho tsa khale se ka 'na sa e-ba kotsi kapa ha se kotsi. Haeba e se lonya, e kenya Windows Live Toolbar bakeng sa mosebedisi. Ho ka etsahala hore ebe bahlaseli ba ile ba sebelisa maqheka a tšoanang ho thetsa litsamaiso tsa tlhahlobo ea lifaele tse ikemetseng le metjhini e hlakileng eo lifaele tse belaetsang li etsoang ho eona.
Faele e jarollotsoeng ke downloader ea NSIS ke polokelo ea 7z e nang le li-module tse fapaneng tsa malware. Setšoantšo se ka tlase se bonts'a ts'ebetso eohle ea ho kenya malware ena le li-module tsa eona tse fapaneng.
Raese. 5. Leano le akaretsang la kamoo malware a sebetsang kateng.
Leha li-module tse laetsoeng li sebeletsa merero e fapaneng bakeng sa bahlaseli, li pakiloe ka mokhoa o ts'oanang 'me tse ngata tsa tsona li saennoe ka litifikeiti tse sebetsang tsa dijithale. Re fumane mangolo a joalo a mane ao bahlaseli ba a sebelisitseng ho tloha qalong ea letšolo. Ka mor'a tletlebo ea rona, litifikeiti tsena li ile tsa hlakoloa. Hoa thahasellisa ho hlokomela hore litifikeiti tsohle li ile tsa fuoa lik'hamphani tse ngolisitsoeng Moscow.
Raese. 6. Setifikeiti sa dijithale se sebelisitsoeng ho saena malware.
Lethathamo le latelang le bontša litifikeiti tsa dijithale tseo bahlaseli ba li sebelisitseng letšolong lena le kotsi.
Hoo e ka bang li-module tsohle tse kotsi tse sebelisoang ke bahlaseli li na le mokhoa o ts'oanang oa ho kenya. Ke li-archives tsa 7zip tse ikemetseng tse sirelelitsoeng ka password.
Raese. 7. Sekhechana sa faele ea batch ea install.cmd.
Faele ea batch .cmd e ikarabella ho kenya malware tsamaisong le ho qala lisebelisoa tse sa tšoaneng tsa bahlaseli. Haeba ts'ebetso e hloka litokelo tsa tsamaiso tse sieo, khoutu e lonya e sebelisa mekhoa e mengata ho e fumana (ho feta UAC). Ho kenya ts'ebetsong mokhoa oa pele, ho sebelisoa lifaele tse peli tse ka phethoang tse bitsoang l1.exe le cc1.exe, tse sebetsanang le ho feta UAC li sebelisa Carberp mohloli khoutu. Mokhoa o mong o ipapisitse le ho sebelisa hampe CVE-2013-3660 tlokotsing. Mojule o mong le o mong oa malware o hlokang ho eketseha ha monyetla o na le mofuta oa 32-bit le 64-bit oa ts'ebeliso.
Ha re ntse re sala morao lets'olo lena, re ile ra hlahlobisisa li-archive tse 'maloa tse kentsoeng ke mohatisi. Likahare tsa li-archives li ne li fapane, ho bolelang hore bahlaseli ba ne ba ka fetola li-module tse kotsi bakeng sa merero e fapaneng.
Ho lumellana ha basebelisi
Joalokaha re boletse ka holimo, bahlaseli ba sebelisa lisebelisoa tse khethehileng ho sekisetsa lik'homphieutha tsa basebelisi. Lisebelisoa tsena li kenyelletsa mananeo a nang le mabitso a lifaele tse sebetsang mimi.exe le xtm.exe. Ba thusa bahlaseli ho laola k'homphieutha ea mohlaseluoa le ho ikhethela ho etsa mesebetsi e latelang: ho fumana / ho fumana li-passwords bakeng sa li-account tsa Windows, ho nolofalletsa tšebeletso ea RDP, ho theha akhaonto e ncha ho OS.
The mimi.exe e ka phethisoang e kenyelletsa mofuta o fetotsoeng oa sesebelisoa se tsebahalang sa mohloli o bulehileng . Sesebelisoa sena se u lumella ho fumana li-password tsa akhaonto ea mosebelisi ea Windows. Bahlaseli ba tlositse karolo ho Mimikatz e ikarabellang bakeng sa ho sebelisana ha basebelisi. Khoutu e sebetsang e boetse e fetotsoe hore ha e qala, Mimikatz e tsamaise ka tokelo::debug le sekurlsa:logonPasswords ditaelo.
Faele e 'ngoe e ka phethahatsoang, xtm.exe, e qala mangolo a khethehileng a nolofalletsang tšebeletso ea RDP tsamaisong, leka ho theha akhaonto e ncha ho OS, le ho fetola litlhophiso tsa tsamaiso ho lumella basebelisi ba' maloa hore ba kopane ka nako e le 'ngoe khomphuteng e senyehileng ka RDP. Ho hlakile hore mehato ena ea hlokahala ho fumana taolo e felletseng ea sistimi e senyehileng.
Raese. 8. Litaelo tse entsoeng ke xtm.exe tsamaisong.
Bahlaseli ba sebelisa faele e 'ngoe e ka phethoang e bitsoang impack.exe, e sebelisetsoang ho kenya software e khethehileng tsamaisong. Software ena e bitsoa LiteManager mme e sebelisoa ke bahlaseli joalo ka mokokotlo.
Raese. 9. Litemanager segokanyimmediamentsi sa sebolokigolo.
Ha e se e kentsoe sistimi ea mosebelisi, LiteManager e lumella bahlaseli ho hokela sistimi eo ka kotloloho le ho e laola ba le hole. Software ena e na le li-parameter tse khethehileng tsa taelo bakeng sa ho kenngoa ha eona ho patiloeng, ho thehoa ha melao e khethehileng ea firewall, le ho qala mojule oa eona. Litekanyetso tsohle li sebelisoa ke bahlaseli.
Mojule oa ho qetela oa sephutheloana sa malware se sebelisoang ke bahlaseli ke lenaneo la malware la banka (banka) le nang le lebitso la faele le sebetsang pn_pack.exe. O ipabola mosebetsing oa ho hloela mosebelisi 'me o ikarabella ho sebelisana le seva sa C&C. Rabanka e qalisoa ka ho sebelisa software e molaong ea Yandex Punto. Punto e sebelisoa ke bahlaseli ho qala lilaeborari tse kotsi tsa DLL (mokhoa oa DLL Side-Loading). Malware ka boeona e ka etsa mesebetsi e latelang:
- lekola likonopo tsa keyboard le likahare tsa clipboard bakeng sa phetiso ea tsona e latelang ho seva e hole;
- thathamisa likarete tsohle tse bohlale tse teng tsamaisong;
- sebelisana le seva e hole ea C&C.
Mojule oa malware, o ikarabellang bakeng sa ho etsa mesebetsi ena kaofela, ke laebrari ea DLL e patiloeng. E hlakoloa ebe e kenngoa mohopolong nakong ea ts'ebetso ea Punto. Ho etsa mesebetsi e kaholimo, khoutu e sebetsang ea DLL e qala likhoele tse tharo.
Taba ea hore bahlaseli ba khethile software ea Punto bakeng sa merero ea bona ha e makatse: liforamu tse ling tsa Russia li fana ka lintlha tse qaqileng ka litaba tse kang ho sebelisa liphoso ho software e nepahetseng ho sekisetsa basebelisi.
Laeborari e kotsi e sebelisa algorithm ea RC4 ho koala likhoele tsa eona, hammoho le nakong ea litšebelisano tsa marang-rang le seva sa C&C. E ikopanya le seva metsotso e meng le e meng e 'meli ebe e fetisetsa moo data eohle e neng e bokelloa tsamaisong e senyehileng nakong ena ea nako.
Raese. 10. Sekhechana sa khokahano ea marang-rang pakeng tsa bot le seva.
Ka tlase ke tse ling tsa litaelo tsa seva sa C&C tseo laebrari e ka li fumanang.
Karabelo ea ho amohela litaelo ho tsoa ho seva sa C&C, malware e arabela ka khoutu ea boemo. Hoa thahasellisa ho hlokomela hore li-module tsohle tsa banka tseo re li hlahlobileng (ea morao-rao e nang le letsatsi la ho bokella la 18 January) li na le khoele "TEST_BOTNET", e rometsoeng molaetsa o mong le o mong ho seva sa C & C.
fihlela qeto e
Ho sekisetsa basebelisi ba likhoebo, bahlaseli boemong ba pele ba sekisetsa mosebeletsi a le mong oa k'hamphani ka ho romella molaetsa oa phishing ka bolotsana. E latelang, hang ha malware e kentsoe tsamaisong, ba tla sebelisa lisebelisoa tsa software tse tla ba thusa ho atolosa matla a bona tsamaisong le ho etsa mesebetsi e eketsehileng ho eona: ho senya lik'homphieutha tse ling ho marang-rang a khoebo le ho hloela mosebedisi, hammoho le litšebelisano tsa banka tseo a li etsang.
Source: www.habr.com