09.08.2014 | 00:16

Adam Haertle

Fałszywy wyciek prawdziwych danych użytkowników Chomikuj.pl

W połowie lipca w sieci pojawił się plik zawierający loginy i hasła kilkudziesięciu użytkowników Chomikuj.pl, wskazujące na wyciek z tego serwisu. Choć dane były prawdziwe, to wycieku nie było, a za incydentem prawdopodobnie stał nam znany „Thomas”.

Od pewnego czasu obserwujemy i opisujemy ataki na polskich internautów, prowadzone przez osobę ukrywająca się pod pseudonimem Thomas. Część z nich opiera się o rozsyłane pliki DOC, wyposażone w makro infekujące czytelników oraz odpowiedni przekaz socjotechniczny, mający nakłonić do uruchomienia makra. Tym razem przynętą była lista haseł użytkowników Chomikuj.pl.

Wyciek, którego nie było

Około 18 lipca w sieci pojawił się plik pod nazwą

chomikuj.pl Database Part 1 1-15000 Users.doc

Zawartość pliku wyglądała następująco:

Plik po otwarciu

Plik po otwarciu

Treść dokumentu sugerowała, że na początku maja doszło do włamania do Chomikuj.pl, a za incydentem stoi ktoś powiązany z serwisem devilteam.pl. Co ciekawe, lista 40 par email:hasło prawdopodobnie była prawdziwa (ich hasła zostały już zresetowane przez serwis). Co więcej, oryginalny plik był również umieszczony w serwisie Chomikuj.pl.

Ten sam plik w chomikuj.pl

Ten sam plik w chomikuj.pl

W oparciu o dwa niezależne źródła ustaliliśmy, że w rzeczywistości do włamania nie doszło, „kierownictwo” devilteam.pl o sprawie nie ma pojęcia, zaś loginy i hasła prawdopodobnie zostały wykradzione z zainfekowanych komputerów. Po co zatem ktoś opublikował taki dokument?

Przynęta do infekcji

Plik DOC zawierał kod makro, które po uruchomieniu pobierało z sieci i wykonywało plik ze złośliwym oprogramowaniem. Widzieliśmy już wiele prawie identycznych przypadków – zmieniała się tylko metoda zachęcania użytkowników do uruchomienia makro. Tak jak we wcześniejszych opisywanych przez nas incydentach autorem pliku DOC jest tajemniczy „Thomas”. Plik wykonywalny był pobierany z adresu

http://bogumil.webd.pl/msword.exe

Ten sam adres był już wykorzystywany do serwowania chociażby także nam znanych „raportów z Krajowego Rejestru Dłużników”. Wygląda zatem na to, że ten sam atakujący ciągle szuka nowych ścieżek pozyskiwania swoich ofiar. [Uwaga! Nie zalecamy odwiedzania strony bogumil.webd.pl, ponieważ próbuje poprzez aplet Javy infekować użytkowników]

Nie jest do końca jasne, czyj komputer miał w tym wypadku wpaść w ręce włamywacza. Mogła to być zarówno próba zachęcenia do pobrania pliku przez większą rzeszę użytkowników jak i atak wycelowany w bardzo wąską ich grupę. Za tą pierwszą teorią przemawia fakt umieszczenia pliku w Chomikuj.pl, jednak został stamtąd dość szybko usunięty, a nie znaleźliśmy śladów jego dalszej dystrybucji. Jeśli widzieliście powyższy dokument zanim zajrzeliście do naszego serwisu, to dajcie proszę znać.

Z pomoc w opracowaniu artykułu dziękujemy zespołowi CERT Polska.

PS. Pozdrawiamy Thomasa i prosimy o kontakt w mniej natarczywej formie niż tysiące różnych żądań do serwera.

Powrót

Komentarze

  • 2014.08.09 00:31 FORMOZA

    Dobrze, że otworzyłem ten plik na Linuksie uff :)

    Ahh, ta ciekawość mnie kiedyś dobije…

    Odpowiedz
    • 2014.08.09 00:45 Adam

      A który plik? Ten o którym piszemy? Widziałeś go wcześniej?

      Odpowiedz
      • 2014.08.09 07:45 Duży Pies

        Do mnie Adamie przedwczoraj znów przyszła emailem rzekoma faktura. Już chyba 3 lub 4 w okresie pół roku. Oczywiście email zawierał 2 załączniki ze złośliwym oprogramowaniem. Chciałem wysłać go do Niebezpiecznika, ale serwer odrzucił, nie wiem czemu. Usunąłem już ten shit ze skrzynki. Następnym razem prześlę do Ciebie jak chcesz albo do CERT. Wiem że CERT i ABW mają rozproszony system ARAKIS http://www.cert.gov.pl/cer/system-arakis-gov/310,System-ARAKIS-GOV.html do wykrywania zagrożeń sieciowych i mogą dodawać sygnatury złośliwego kodu żeby szybciej reagować nań. Każdy może dołączyć do ARAKIS jeśli jest jednostką budżetową, nieważne czy to Komenda Wojewódzka Policji, Sąd Okręgowy albo Inspekcja Transportu Drogowego. Namawiam do przyłączania się do ARAKIS-a. Trzeba wypełnić formularz zgłoszeniowy i przyjdą panowie z ABW i zainstalują sondę (taki mały nettop) na styku intranetu i internetu w danej jednostce.

        Ze strony CERT: „Podmioty zainteresowane dołączeniem do projektu proszone są o przesłanie stosownej informacji na adres [email protected] . Udział w projekcie ARAKIS-GOV jest bezpłatny.”

        Pozdrawiam
        Duży Pies

        Odpowiedz
      • 2014.08.09 09:40 FORMOZA

        Dodany jako 'Gosc’ dnia 4 maja – http://pastebin.com/TX2uSmPe

        Nawet z linkiem do mediafire http://www.mediafire.com/view/c1z59ea44eoba1w/chomikuj.pl_Database_Part_1_1-15000_Users.doc

        A tu analiza z virustotal -https://www.virustotal.com/pl/file/21da6c7a7cd59932f494ca0c9ec403de4666e580a7b5976575a40b1902f44f7c/analysis/1407569549/

        Odpowiedz
  • 2014.08.09 00:51 dsz

    Zajrzałem nieco głębiej w tą sprawę i doszedłem do prawdopodobnej tożsamości „Thomasa” oraz jego kontaktów „hakerskich”, a także tych realnych. W poniedziałek przekażę sprawę policji, więc można się spodziewać jego aresztowania w następnym tygodniu. To był jego (mam nadzieję) ostatni wybryk. Pozdrawiam. Dawid Sz.

    Odpowiedz
    • 2014.08.11 14:02 v

      @dsz … jesli udalo Tobie sie dotrzec do niej, to juz wiesz, ze w nastepnym tygodniu to nie nastapi.

      Odpowiedz
  • 2014.08.09 08:33 Kaboo

    Może to zbieg okoliczności, ale z tego co pamiętam to niesławny alladyn2 rownież korzystał z pliku o nazwie msword.exe, ma ktoś dostęp do analizy tego pliku?

    Odpowiedz
  • 2014.08.09 11:55 jan

    Czy w sieci są w ogóle zagraniczne serwisy takie jak chomikuj? Chodzi mi o nieograniczoną powierzchnię na swoje pliki które nie są usuwane po kilku tygodniach nielogowania się na konto?

    Pytam, bo ten serwis wydaje się dosłownie światowym ewenementem. Nawet chinole czegoś takiego nie mają…

    Odpowiedz
  • 2014.08.09 12:13 _0x00

    Smiać mi się chce jak widzę co wyprawia ten script kiddie.

    Czy naprawdę tak cięzko nauczyć sie chociaż jednego jezyka programowania a nie wykorzystawać non-stop gotowy kod?

    Odpowiedz
  • 2014.08.09 17:43 Robert

    Zobaczę tą stronę & plik na VMie (Win XP), może się „uda coś zdziałać” :P

    Odpowiedz
    • 2014.08.09 17:50 Robert

      1. To strona sklepu z zabawkami
      2. Nie ma tam żadnego apletu Java
      3. Nie ma pliku msword.exe (ale może webarchive uchwyciło)

      Odpowiedz
      • 2014.08.11 14:05 v

        Sa to zwykle konta przejete w wyniku infekcji ich wlascicieli przez Andromede

        Odpowiedz

Zostaw odpowiedź do Robert

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Fałszywy wyciek prawdziwych danych użytkowników Chomikuj.pl

Komentarze