Pozdrowienia od Thomasa, czyli nowy złośnik który odwiedza z3s.pl

dodał 20 marca 2015 o 22:19 w kategorii Złośniki  z tagami:
Pozdrowienia od Thomasa, czyli nowy złośnik który odwiedza z3s.pl

W poniedziałek rano w nasze ręce trafił niecodzienny plik. Było to złośliwe oprogramowanie rozsyłane przez pocztę elektroniczną, które w kodzie zawierało odwołanie do naszej strony. Czy była to forma pozdrowień od słynnego Thomasa?

Nasze pierwsze, wtedy jeszcze nieświadome spotkanie z Thomasem miało miejsce równo rok temu, kiedy opisaliśmy ciekawy atak na pracowników polskich samorządów. Już w maju tego samego roku doczekaliśmy się nawet ataku, który wyglądał na wymierzony w naszych Czytelników. Opisywaliśmy także atak na użytkowników Allegro oraz kampanię wykorzystującą wizerunek Krajowego Rejestru Długów a także rzekomy wyciek danych z serwisu Chomikuj.pl. Historia działań Thomasa sięga nawet kilka lat wstecz – jednym z ciekawszych jego produktów jest także VBKlip podmieniający numery rachunku bankowego.

Wezwanie do zapłaty

W niedzielę wieczorem do skrzynek zaczęły trafiać wiadomości wyglądające jak wezwanie do zapłaty, rozsyłane rzekomo przez jedną z kancelarii prawnych.

Wiadomość

Wiadomość

Do wiadomości załączony był plik

zawierający

Trzeba przyznać, że sztuczka z plikiem PIF to rzadko wykorzystywany, a bardzo skuteczny numer. Rozszerzenie PIF nie jest widoczne w systemie Windows nawet wtedy, gdy wyłączone jest ukrywanie znanych rozszerzeń plików, a jednocześnie oznacza plik wykonywalny.

Analiza załączonego pliku: VirusTotal, Malwr.

Funkcje droppera

Dzięki świetnej analizie zespołu CERT Polska wiemy, że plik ten to stworzony w technologii .NET dropper, którego zadaniem jest pobranie pliku właściwego. Z naszego punktu widzenia najciekawsze jest jednak to, że swoje działanie zaczyna od próby otwarcia aliasu naszej strony, http://z3s.pl, za pośrednictwem serwisu DStats.net. Usługa ta pozwala na zliczanie ilości prób otwarcia poszczególnych linków. Pod tym linkiem możemy dzięki temu zobaczyć niektóre statystyki ataku.

Statystyki ataku

Statystyki ataku

Dowiadujemy się z nich, że link został odwiedzony prawie 700 razy (niekoniecznie oznacza to liczbę infekcji – trzeba odjąć maszyny badaczy), z czego ponad 500 razy 17 marca. Wartości te pasują do danych CERT Polska, który zanotował ok. 500 zainfekowanych adresów. Możemy poznać także listę ostatnich 90 adresów IP, które odwiedziły tę stronę – dominują usługi polskich ISP, pojawia się też NFZ czy Lasy Państwowe.

Po nieudanej próbie odwiedzenia z3s.pl przez proxy program odwiedza z3s.pl bezpośrednio a następnie pobiera z sieci kolejny plik. Odwiedza link

a w razie niepowodzenia sięga po plik

W obu przypadkach jest to identyczny plik. Po raz kolejny z pomocą przychodzi analiza CERT Polska. Plik wykonywalny o nazwie tWVRdWUp.exe jest skompilowanym skryptem AutoIt, zawierającym zaszyfrowany plik z Betabotem. Plik jest odszyfrowywany, wstrzykiwany do pamięci i zapisywany do klucza rejestru zapewniającego uruchomienie wraz z systemem operacyjnym. Sam Betabot posiada standardowe złośliwe funkcje.

Analiza pobieranego pliku: VirusTotal, Malwr.

Betabot korzysta z serwera C&C pod adresem

do którego wysyła żądania HTTP POST. Na stronie CERT Polska znajdziecie wiele ciekawych informacji o tym, jak bot utrudnia analizę swojego kodu. Sama domena jest obecnie przejęta przez CERT, natomiast w trakcie gdy jeszcze działała, wyświetlała taki oto śmieszny obrazek:

Fałszywa witryna

Fałszywa witryna

Kto za tym stoi i czemu Thomas

Jesteśmy przekonani, ze za atakiem stoi wspomniany wcześniej Thomas lub ktoś, kto z nim blisko współpracuje. Świadczy o tym co najmniej kilka faktów:

  1. W kodzie droppera znajduje się następująca ścieżka: C:\Users\Thomas\[…]\Kolejny Downloader\[..]\AdminService.pdb (użytkownik Thomas znajdował się w większości plików DOC używanych w atakach przypisywanych Thomasowi).
  2. Technika używania droppera napisanego w .NET a następnie wykonywalnego skryptu AutoIt jest charakterystyczna dla części ataków Thomasa.
  3. Serwer updo.nl oraz zhakowane polskie serwery były wcześniej wykorzystywane przez Thomasa.
  4. Serwer C&C, choć ukryty za Cloudflare, można było łatwo zlokalizować dzięki rekordom MX lub SPF jako znajdujący się w firmie ProSerwer.pl w której można za hosting płacić SMSem – a to ulubiona forma płatności Thomasa.
  5. Spam, od którego zaczął się atak, wysłany był z serwerów Nazwa.pl, podobnie jak we wcześniejszych atakach.
  6. Z tym samym serwerem C&C (emicrosoft.eu) już od 29 stycznia 2015 kontaktowała się inna wersja bota, która pobierana była z serwerów hostingowych w domenie blutu.pl, używanej wcześniej przez Thomasa.

Wygląda zatem na to, że albo to Thomas, albo ktoś, kto bardzo chciał wyglądać jak on. Na deser zostawiliśmy jeszcze ostatni, 7 argument. Ostatni z naszych artykułów na jego temat zakończyliśmy słowami

Pozdrawiamy Thomasa i prosimy o kontakt w mniej natarczywej formie niż tysiące różnych żądań do serwera.

Nawiązywaliśmy tym zdaniem do mających miejsce w przeszłości ataków DDoS na nasze serwery, prowadzonych przez osoby, którym nie spodobały się nasze artykuły na ich temat. Czyżby Thomas z przekory dopisał adres naszej witryny do statystyk działania swojego bota? Jeśli tak, to prosimy, nie udzielaj nam wywiadu!