20.03.2015 | 22:19

Adam Haertle

Pozdrowienia od Thomasa, czyli nowy złośnik który odwiedza z3s.pl

W poniedziałek rano w nasze ręce trafił niecodzienny plik. Było to złośliwe oprogramowanie rozsyłane przez pocztę elektroniczną, które w kodzie zawierało odwołanie do naszej strony. Czy była to forma pozdrowień od słynnego Thomasa?

Nasze pierwsze, wtedy jeszcze nieświadome spotkanie z Thomasem miało miejsce równo rok temu, kiedy opisaliśmy ciekawy atak na pracowników polskich samorządów. Już w maju tego samego roku doczekaliśmy się nawet ataku, który wyglądał na wymierzony w naszych Czytelników. Opisywaliśmy także atak na użytkowników Allegro oraz kampanię wykorzystującą wizerunek Krajowego Rejestru Długów a także rzekomy wyciek danych z serwisu Chomikuj.pl. Historia działań Thomasa sięga nawet kilka lat wstecz – jednym z ciekawszych jego produktów jest także VBKlip podmieniający numery rachunku bankowego.

Wezwanie do zapłaty

W niedzielę wieczorem do skrzynek zaczęły trafiać wiadomości wyglądające jak wezwanie do zapłaty, rozsyłane rzekomo przez jedną z kancelarii prawnych.

Wiadomość

Wiadomość

Do wiadomości załączony był plik

Przedsadowe Wezwanie do zaplaty z dnia 13-03-2015.PDF.zip

zawierający

Przedsadowe Wezwanie do zaplaty z dnia 13-03-2015.PDF.zip.PIF
MD5: 436a4bd21509eabfc7f5e2f3c626d19f
SHA256: 5ad94b14268ef0cbb7f3f88702574f40a371e0457483977501a313135bfcebaf

Trzeba przyznać, że sztuczka z plikiem PIF to rzadko wykorzystywany, a bardzo skuteczny numer. Rozszerzenie PIF nie jest widoczne w systemie Windows nawet wtedy, gdy wyłączone jest ukrywanie znanych rozszerzeń plików, a jednocześnie oznacza plik wykonywalny.

Analiza załączonego pliku: VirusTotal, Malwr.

Funkcje droppera

Dzięki świetnej analizie zespołu CERT Polska wiemy, że plik ten to stworzony w technologii .NET dropper, którego zadaniem jest pobranie pliku właściwego. Z naszego punktu widzenia najciekawsze jest jednak to, że swoje działanie zaczyna od próby otwarcia aliasu naszej strony, http://z3s.pl, za pośrednictwem serwisu DStats.net. Usługa ta pozwala na zliczanie ilości prób otwarcia poszczególnych linków. Pod tym linkiem możemy dzięki temu zobaczyć niektóre statystyki ataku.

Statystyki ataku

Statystyki ataku

Dowiadujemy się z nich, że link został odwiedzony prawie 700 razy (niekoniecznie oznacza to liczbę infekcji – trzeba odjąć maszyny badaczy), z czego ponad 500 razy 17 marca. Wartości te pasują do danych CERT Polska, który zanotował ok. 500 zainfekowanych adresów. Możemy poznać także listę ostatnich 90 adresów IP, które odwiedziły tę stronę – dominują usługi polskich ISP, pojawia się też NFZ czy Lasy Państwowe.

Po nieudanej próbie odwiedzenia z3s.pl przez proxy program odwiedza z3s.pl bezpośrednio a następnie pobiera z sieci kolejny plik. Odwiedza link

http://brubet.pl/templates/kee2/tWVRdWUp.exe
MD5: f901e0f7e0aed50cf0db071f6d6a8e06
SHA256: edcf9b87bc7a87a4f85a385eb3e9eea3295828edf05617a2d6e43d095517cfd8

a w razie niepowodzenia sięga po plik

http://updo.nl/file/d9c12a94.exe

W obu przypadkach jest to identyczny plik. Po raz kolejny z pomocą przychodzi analiza CERT Polska. Plik wykonywalny o nazwie tWVRdWUp.exe jest skompilowanym skryptem AutoIt, zawierającym zaszyfrowany plik z Betabotem. Plik jest odszyfrowywany, wstrzykiwany do pamięci i zapisywany do klucza rejestru zapewniającego uruchomienie wraz z systemem operacyjnym. Sam Betabot posiada standardowe złośliwe funkcje.

Analiza pobieranego pliku: VirusTotal, Malwr.

Betabot korzysta z serwera C&C pod adresem

http://emicrosoft.eu/wp-config/js/order.php

do którego wysyła żądania HTTP POST. Na stronie CERT Polska znajdziecie wiele ciekawych informacji o tym, jak bot utrudnia analizę swojego kodu. Sama domena jest obecnie przejęta przez CERT, natomiast w trakcie gdy jeszcze działała, wyświetlała taki oto śmieszny obrazek:

Fałszywa witryna

Fałszywa witryna

Kto za tym stoi i czemu Thomas

Jesteśmy przekonani, ze za atakiem stoi wspomniany wcześniej Thomas lub ktoś, kto z nim blisko współpracuje. Świadczy o tym co najmniej kilka faktów:

  1. W kodzie droppera znajduje się następująca ścieżka: C:\Users\Thomas\[…]\Kolejny Downloader\[..]\AdminService.pdb (użytkownik Thomas znajdował się w większości plików DOC używanych w atakach przypisywanych Thomasowi).
  2. Technika używania droppera napisanego w .NET a następnie wykonywalnego skryptu AutoIt jest charakterystyczna dla części ataków Thomasa.
  3. Serwer updo.nl oraz zhakowane polskie serwery były wcześniej wykorzystywane przez Thomasa.
  4. Serwer C&C, choć ukryty za Cloudflare, można było łatwo zlokalizować dzięki rekordom MX lub SPF jako znajdujący się w firmie ProSerwer.pl w której można za hosting płacić SMSem – a to ulubiona forma płatności Thomasa.
  5. Spam, od którego zaczął się atak, wysłany był z serwerów Nazwa.pl, podobnie jak we wcześniejszych atakach.
  6. Z tym samym serwerem C&C (emicrosoft.eu) już od 29 stycznia 2015 kontaktowała się inna wersja bota, która pobierana była z serwerów hostingowych w domenie blutu.pl, używanej wcześniej przez Thomasa.

Wygląda zatem na to, że albo to Thomas, albo ktoś, kto bardzo chciał wyglądać jak on. Na deser zostawiliśmy jeszcze ostatni, 7 argument. Ostatni z naszych artykułów na jego temat zakończyliśmy słowami

Pozdrawiamy Thomasa i prosimy o kontakt w mniej natarczywej formie niż tysiące różnych żądań do serwera.

Nawiązywaliśmy tym zdaniem do mających miejsce w przeszłości ataków DDoS na nasze serwery, prowadzonych przez osoby, którym nie spodobały się nasze artykuły na ich temat. Czyżby Thomas z przekory dopisał adres naszej witryny do statystyk działania swojego bota? Jeśli tak, to prosimy, nie udzielaj nam wywiadu!

Powrót

Komentarze

  • 2015.03.21 02:34 RNG

    „W kodzie droppera znajduje się następująca ścieżka: C:\Users\Thomas..” aaa popłakałem się ..

    GG Thomas :D

    Odpowiedz
  • 2015.03.21 04:31 mit

    chcielibyście :)

    Odpowiedz
  • 2015.03.21 08:31 Michal

    Dostajecie statystyki z każdego połączenia = wczesniej zaniżyliście je ;) albo jest poprostu Waszym wielkim fanem!

    Odpowiedz
  • 2015.03.21 09:05 jp3gmd

    To z3s jeszcze nie wie, że dla polskiej sceny szanowej powoli stają się nowym wykopem?

    Pewnie niedługo na żydrurze będą filmiki „Jan Paweł II gwałci dzieci [zaufanatrzeciastrona.pl]”.

    Odpowiedz
    • 2015.03.21 10:39 moro

      Wykop to obecnie strona dla dzieciaków. Kiedyś można tam było znaleźć dużo wartościowych rzeczy a teraz to bym porównał go raczej do pudelka dla dzieciaków.

      Odpowiedz
    • 2015.03.21 10:58 maslan

      sceny szanowej :D To teraz klasy gimnazjum mają już nazwy jak kiedyś te z przedszkola?

      Odpowiedz
  • 2015.03.21 15:13 Thomas

    Witam!
    Chciałem też w ten sposób pozdrowić szanownych czytelników z3s.

    Pozdrawiam!
    Thomas

    Odpowiedz
    • 2015.03.21 23:44 Grek Zorba

      Przez ciebie cipasie straciłem 4 godziny mojego cennego czasu.

      Odpowiedz
  • 2015.03.22 16:27 steppe

    A ja o nim słyszę pierwszy raz. Chyba przespałem tą sławę ;)

    Odpowiedz
    • 2015.03.22 18:56 Kacper

      @steppe skontaktuj się ze mną via e-mail. na fb zostawiłem Ci maila.

      Odpowiedz
  • 2015.03.22 23:37 wytrzeszcz

    Słuchajcie może pokusicie się o analize nie ataków a samego Thomasa ?
    sam raz na popłudniową lekture na niedzielę 

    Odpowiedz
    • 2015.03.22 23:45 Adam

      Z przyjemnością, tylko na jakiej podstawie? Równie dobrze możemy analizować Fantomasa…

      Odpowiedz
  • 2015.03.23 08:21 Artur

    Tak z ciekawosci, czy w ramach analizy kodu i dzialania tego zlosnika, cert.pl lub organy scigania nie prosily Was o oficjalne stanowisko dotyczace faktu umieszczenia waszego aliasu w tym kodzie? Tak formalnie? Nie mieliscie z tego tytulu zadnych nieprzyjemnosci?

    Odpowiedz
    • 2015.03.23 08:38 maslan

      też się od razu zacząłem zastanawiać czy czasem się nie kontaktowali w cert z z3s. Choć nie oszukujmy się – nie spodziewałbym się żeby klokolwiek robił jakieś „nieprzyjemności”, trzeba być nieogarniętym żeby posądzać z3s i Adama o coś :D

      Odpowiedz
      • 2015.03.23 09:53 Adam

        CERT jako pierwszy dał znać ;)

        Odpowiedz
    • 2015.03.23 09:52 Adam

      Nie, tylko kilka osób podesłało jako ciekawostkę :)

      Odpowiedz
  • 2015.03.23 12:05 Viktor

    Ja obstawiam ze ten caly Thomas to ktoś z Torepublic. Moze mbank, moze TVI lub moze Gonzobonanza? A moze z Victorii Zdzislaw Dyrma…

    Odpowiedz
  • 2015.03.24 12:57 rev0

    Ten caly Thomas to jakis totalny skid.

    Nie potrafi nawet napisac wlasnego malware tylko caly czas korzysta z gotowych, publicznie dostepnych botow, ktore przepuszcza przez razorcrypta.

    To jest wrecz zalosne…

    Odpowiedz
    • 2015.03.25 18:15 S

      Ale skuteczne.

      Odpowiedz
      • 2015.09.15 22:01 Jakub

        Dałbym like jakby się dało :P

        „na proste umysły działają proste metody”

        Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Pozdrowienia od Thomasa, czyli nowy złośnik który odwiedza z3s.pl

Komentarze