szukaj

20.03.2015 | 22:19

avatar

Adam Haertle

Pozdrowienia od Thomasa, czyli nowy złośnik który odwiedza z3s.pl

W poniedziałek rano w nasze ręce trafił niecodzienny plik. Było to złośliwe oprogramowanie rozsyłane przez pocztę elektroniczną, które w kodzie zawierało odwołanie do naszej strony. Czy była to forma pozdrowień od słynnego Thomasa?

Nasze pierwsze, wtedy jeszcze nieświadome spotkanie z Thomasem miało miejsce równo rok temu, kiedy opisaliśmy ciekawy atak na pracowników polskich samorządów. Już w maju tego samego roku doczekaliśmy się nawet ataku, który wyglądał na wymierzony w naszych Czytelników. Opisywaliśmy także atak na użytkowników Allegro oraz kampanię wykorzystującą wizerunek Krajowego Rejestru Długów a także rzekomy wyciek danych z serwisu Chomikuj.pl. Historia działań Thomasa sięga nawet kilka lat wstecz – jednym z ciekawszych jego produktów jest także VBKlip podmieniający numery rachunku bankowego.

Wezwanie do zapłaty

W niedzielę wieczorem do skrzynek zaczęły trafiać wiadomości wyglądające jak wezwanie do zapłaty, rozsyłane rzekomo przez jedną z kancelarii prawnych.

Wiadomość

Wiadomość

Do wiadomości załączony był plik

Przedsadowe Wezwanie do zaplaty z dnia 13-03-2015.PDF.zip

zawierający

Przedsadowe Wezwanie do zaplaty z dnia 13-03-2015.PDF.zip.PIF
MD5: 436a4bd21509eabfc7f5e2f3c626d19f
SHA256: 5ad94b14268ef0cbb7f3f88702574f40a371e0457483977501a313135bfcebaf

Trzeba przyznać, że sztuczka z plikiem PIF to rzadko wykorzystywany, a bardzo skuteczny numer. Rozszerzenie PIF nie jest widoczne w systemie Windows nawet wtedy, gdy wyłączone jest ukrywanie znanych rozszerzeń plików, a jednocześnie oznacza plik wykonywalny.

Analiza załączonego pliku: VirusTotal, Malwr.

Funkcje droppera

Dzięki świetnej analizie zespołu CERT Polska wiemy, że plik ten to stworzony w technologii .NET dropper, którego zadaniem jest pobranie pliku właściwego. Z naszego punktu widzenia najciekawsze jest jednak to, że swoje działanie zaczyna od próby otwarcia aliasu naszej strony, http://z3s.pl, za pośrednictwem serwisu DStats.net. Usługa ta pozwala na zliczanie ilości prób otwarcia poszczególnych linków. Pod tym linkiem możemy dzięki temu zobaczyć niektóre statystyki ataku.

Statystyki ataku

Statystyki ataku

Dowiadujemy się z nich, że link został odwiedzony prawie 700 razy (niekoniecznie oznacza to liczbę infekcji – trzeba odjąć maszyny badaczy), z czego ponad 500 razy 17 marca. Wartości te pasują do danych CERT Polska, który zanotował ok. 500 zainfekowanych adresów. Możemy poznać także listę ostatnich 90 adresów IP, które odwiedziły tę stronę – dominują usługi polskich ISP, pojawia się też NFZ czy Lasy Państwowe.

Po nieudanej próbie odwiedzenia z3s.pl przez proxy program odwiedza z3s.pl bezpośrednio a następnie pobiera z sieci kolejny plik. Odwiedza link

http://brubet.pl/templates/kee2/tWVRdWUp.exe
MD5: f901e0f7e0aed50cf0db071f6d6a8e06
SHA256: edcf9b87bc7a87a4f85a385eb3e9eea3295828edf05617a2d6e43d095517cfd8

a w razie niepowodzenia sięga po plik

http://updo.nl/file/d9c12a94.exe

W obu przypadkach jest to identyczny plik. Po raz kolejny z pomocą przychodzi analiza CERT Polska. Plik wykonywalny o nazwie tWVRdWUp.exe jest skompilowanym skryptem AutoIt, zawierającym zaszyfrowany plik z Betabotem. Plik jest odszyfrowywany, wstrzykiwany do pamięci i zapisywany do klucza rejestru zapewniającego uruchomienie wraz z systemem operacyjnym. Sam Betabot posiada standardowe złośliwe funkcje.

Analiza pobieranego pliku: VirusTotal, Malwr.

Betabot korzysta z serwera C&C pod adresem

http://emicrosoft.eu/wp-config/js/order.php

do którego wysyła żądania HTTP POST. Na stronie CERT Polska znajdziecie wiele ciekawych informacji o tym, jak bot utrudnia analizę swojego kodu. Sama domena jest obecnie przejęta przez CERT, natomiast w trakcie gdy jeszcze działała, wyświetlała taki oto śmieszny obrazek:

Fałszywa witryna

Fałszywa witryna

Kto za tym stoi i czemu Thomas

Jesteśmy przekonani, ze za atakiem stoi wspomniany wcześniej Thomas lub ktoś, kto z nim blisko współpracuje. Świadczy o tym co najmniej kilka faktów:

  1. W kodzie droppera znajduje się następująca ścieżka: C:\Users\Thomas\[…]\Kolejny Downloader\[..]\AdminService.pdb (użytkownik Thomas znajdował się w większości plików DOC używanych w atakach przypisywanych Thomasowi).
  2. Technika używania droppera napisanego w .NET a następnie wykonywalnego skryptu AutoIt jest charakterystyczna dla części ataków Thomasa.
  3. Serwer updo.nl oraz zhakowane polskie serwery były wcześniej wykorzystywane przez Thomasa.
  4. Serwer C&C, choć ukryty za Cloudflare, można było łatwo zlokalizować dzięki rekordom MX lub SPF jako znajdujący się w firmie ProSerwer.pl w której można za hosting płacić SMSem – a to ulubiona forma płatności Thomasa.
  5. Spam, od którego zaczął się atak, wysłany był z serwerów Nazwa.pl, podobnie jak we wcześniejszych atakach.
  6. Z tym samym serwerem C&C (emicrosoft.eu) już od 29 stycznia 2015 kontaktowała się inna wersja bota, która pobierana była z serwerów hostingowych w domenie blutu.pl, używanej wcześniej przez Thomasa.

Wygląda zatem na to, że albo to Thomas, albo ktoś, kto bardzo chciał wyglądać jak on. Na deser zostawiliśmy jeszcze ostatni, 7 argument. Ostatni z naszych artykułów na jego temat zakończyliśmy słowami

Pozdrawiamy Thomasa i prosimy o kontakt w mniej natarczywej formie niż tysiące różnych żądań do serwera.

Nawiązywaliśmy tym zdaniem do mających miejsce w przeszłości ataków DDoS na nasze serwery, prowadzonych przez osoby, którym nie spodobały się nasze artykuły na ich temat. Czyżby Thomas z przekory dopisał adres naszej witryny do statystyk działania swojego bota? Jeśli tak, to prosimy, nie udzielaj nam wywiadu!

Powrót

Komentarze

  • avatar
    2015.03.21 02:34 RNG

    „W kodzie droppera znajduje się następująca ścieżka: C:\Users\Thomas..” aaa popłakałem się ..

    GG Thomas :D

    Odpowiedz
  • avatar
    2015.03.21 04:31 mit

    chcielibyście :)

    Odpowiedz
  • avatar
    2015.03.21 08:31 Michal

    Dostajecie statystyki z każdego połączenia = wczesniej zaniżyliście je ;) albo jest poprostu Waszym wielkim fanem!

    Odpowiedz
  • avatar
    2015.03.21 09:05 jp3gmd

    To z3s jeszcze nie wie, że dla polskiej sceny szanowej powoli stają się nowym wykopem?

    Pewnie niedługo na żydrurze będą filmiki „Jan Paweł II gwałci dzieci [zaufanatrzeciastrona.pl]”.

    Odpowiedz
    • avatar
      2015.03.21 10:39 moro

      Wykop to obecnie strona dla dzieciaków. Kiedyś można tam było znaleźć dużo wartościowych rzeczy a teraz to bym porównał go raczej do pudelka dla dzieciaków.

      Odpowiedz
    • avatar
      2015.03.21 10:58 maslan

      sceny szanowej :D To teraz klasy gimnazjum mają już nazwy jak kiedyś te z przedszkola?

      Odpowiedz
  • avatar
    2015.03.21 15:13 Thomas

    Witam!
    Chciałem też w ten sposób pozdrowić szanownych czytelników z3s.

    Pozdrawiam!
    Thomas

    Odpowiedz
    • avatar
      2015.03.21 23:44 Grek Zorba

      Przez ciebie cipasie straciłem 4 godziny mojego cennego czasu.

      Odpowiedz
  • avatar
    2015.03.22 16:27 steppe

    A ja o nim słyszę pierwszy raz. Chyba przespałem tą sławę ;)

    Odpowiedz
    • avatar
      2015.03.22 18:56 Kacper

      @steppe skontaktuj się ze mną via e-mail. na fb zostawiłem Ci maila.

      Odpowiedz
  • avatar
    2015.03.22 23:37 wytrzeszcz

    Słuchajcie może pokusicie się o analize nie ataków a samego Thomasa ?
    sam raz na popłudniową lekture na niedzielę 

    Odpowiedz
    • avatar
      2015.03.22 23:45 Adam

      Z przyjemnością, tylko na jakiej podstawie? Równie dobrze możemy analizować Fantomasa…

      Odpowiedz
  • avatar
    2015.03.23 08:21 Artur

    Tak z ciekawosci, czy w ramach analizy kodu i dzialania tego zlosnika, cert.pl lub organy scigania nie prosily Was o oficjalne stanowisko dotyczace faktu umieszczenia waszego aliasu w tym kodzie? Tak formalnie? Nie mieliscie z tego tytulu zadnych nieprzyjemnosci?

    Odpowiedz
    • avatar
      2015.03.23 08:38 maslan

      też się od razu zacząłem zastanawiać czy czasem się nie kontaktowali w cert z z3s. Choć nie oszukujmy się – nie spodziewałbym się żeby klokolwiek robił jakieś „nieprzyjemności”, trzeba być nieogarniętym żeby posądzać z3s i Adama o coś :D

      Odpowiedz
      • avatar
        2015.03.23 09:53 Adam

        CERT jako pierwszy dał znać ;)

        Odpowiedz
    • avatar
      2015.03.23 09:52 Adam

      Nie, tylko kilka osób podesłało jako ciekawostkę :)

      Odpowiedz
  • avatar
    2015.03.23 12:05 Viktor

    Ja obstawiam ze ten caly Thomas to ktoś z Torepublic. Moze mbank, moze TVI lub moze Gonzobonanza? A moze z Victorii Zdzislaw Dyrma…

    Odpowiedz
  • avatar
    2015.03.24 12:57 rev0

    Ten caly Thomas to jakis totalny skid.

    Nie potrafi nawet napisac wlasnego malware tylko caly czas korzysta z gotowych, publicznie dostepnych botow, ktore przepuszcza przez razorcrypta.

    To jest wrecz zalosne…

    Odpowiedz
    • avatar
      2015.03.25 18:15 S

      Ale skuteczne.

      Odpowiedz
      • avatar
        2015.09.15 22:01 Jakub

        Dałbym like jakby się dało :P

        „na proste umysły działają proste metody”

        Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Pozdrowienia od Thomasa, czyli nowy złośnik który odwiedza z3s.pl

Komentarze