Tajemniczy „Thomas”, czyli kto regularnie atakuje polskich internautów

dodał 20 czerwca 2014 o 13:34 w kategorii Złośniki  z tagami:
Tajemniczy „Thomas”, czyli kto regularnie atakuje polskich internautów

Wśród licznych internetowych ataków, których ofiarami padają Polacy, od czasu do czasu widać takie, których sprawcami są nasi rodacy. Analiza kilku z nich pozwala stwierdzić, że ich autorem może być jedna i ta sama osoba, ukrywająca się pod pseudonimem Thomas.

Dwa dni temu wielu użytkowników Allegro otrzymało całkiem dobrze przygotowaną wiadomość, której celem było nakłonienie ich do zainstalowania na swoich komputerach złośliwego oprogramowania. Pewne cechy tego ataku wskazują, że sprawca może mieć coś wspólnego z licznymi wcześniejszymi próbami infekowania Polaków.

Atak na użytkowników Allegro

Od środowego popołudnia (czyli tuż przed długim weekendem) osoby posiadające konta na Allegro zaczęły otrzymywać wiadomości o tytule „Blokada Twojego konta Allegro”. Atak, z pozoru przypominający banalny phishing, z phishingiem nie miał nic wspólnego i raczej nie był banalny.

Treść wiadomości wyglądała tak:

Drogi Użytkowniku!

Twoje konto allegro zostanie wkrótce zablokowane z powodu umieszczania w opisie Twojej aukcji „[tutaj nazwa prawdziwej aukcji użytkownika]”
tresci niezgodnych z regulaminem Allegro.
Szczególy na temat bledów w aukcji oraz blokady Twojego konta znajdziesz w dokumencie tekstowym Allegro-05-2014-52556.doc
Przeslanym w zalaczniku wiadomosci.

Z Powazaniem Mariusz Lichowicz
Dzial Intendentury i Monitoringu Allegro

W treści wiadomości zamieszczono nazwę faktycznie wystawionej przez danego użytkownika aukcji, a w załączniku znajdował się plik z rozszerzeniem .DOC.

Czy my skądś znamy tę metodę infekcji?

W pliku DOC nie wykorzystano żadnego błędu typu 0day, a zwykły atak socjotechniczny wsparty odrobiną technologii. Jego otwarcie powoduje wyświetlenie takiego oto „dokumentu”.

Wygląd dokumentu

Wygląd dokumentu

Widoczny na ekranie ślad po nie załadowanym pliku graficznym jest tak naprawdę grafiką o takim właśnie wyglądzie, mającą zachęcić użytkownika do aktywowania obsługi makr. W dalszej analizie przychodzi nam z pomocą niezawodny OfficeMalScanner. Pozwala on zapoznać się z treścią załączonego do pliku .DOC makro bez potrzeby jego uruchamiania. Jego najistotniejszy fragment to:

Regularni czytelnicy naszego serwisu bez trudu zauważą, że kod ten jest praktycznie identyczny z tym, który opisywaliśmy półtora miesiąca temu w analizie ataku na naszych czytelników. Zgadza się praktycznie każda linijka oprócz losowych nazw zmiennych i linku do pliku wykonywalnego, który makro pobiera i uruchamia. Identycznie, jak w poprzednim przypadku, plik DOC stworzony został przez użytkownika Thomas. Co ciekawe, podobny rodzaj ataku występuje relatywnie rzadko, a jeden z udokumentowanych przypadków pochodzi z kwietnia tego roku i dotyczył użytkowników w Holandii.

Krótka analiza pliku wykonywalnego

Plik, który – mimo iż minęły już ponad 2 dni – ciągle znajduje się na serwerach home.pl, również wygląda nam znajomo. Jego analiza wskazuje, że jest wynikiem kompilacji skryptów AutoIt, tak samo jak w ataku na czytelników z3s oraz… w ataku na pracowników polskich samorządów z marca tego roku. Co ciekawe, wg analizy serwisu malwr.com, plik ten pobiera inne złośliwe oprogramowanie z innego serwera, a także zgłasza się do swojego C&C, który również jest serwerem w infrastrukturze home.pl (i także nadal działa). Łączy się także z serwerem w infrastrukturze cba.pl, ta strona została już jednak wyłączona.

Atak identyczny jak w przypadku KRD

Praktycznie taki sam atak, jak na użytkowników Allegro, 3 tygodnie temu wykorzystywał tożsamość Krajowego Rejestru Długów. Jedyna różnica – oprócz treści wiadomości – polegała na tym, że „raport” z KRD nie był dołączony do wiadomości, a w treści był link do jego pobrania z adresu www.krd-raport.pl.tf.

Wiadomość w pliku DOC wyglądała znajomo.

Treść dokumentu DOC

Treść dokumentu DOC

Złośliwe pliki pobierane były z serwera s1.directxex.com, a C&C botnetu (prawdopodobnie Andromedy) znajdowało się w infrastrukturze Home.pl (serwer1455415.home.pl).

To nie koniec analogii

Jak już wspominaliśmy, dokumenty .DOC są bardzo podobne i oba zostały utworzone przez użytkownika Thomas. Co ciekawe, taką samą nazwę użytkownika wskazuje CERT Polska, opisując swoje ustalenia dotyczące autora oprogramowania VBKlip w wersji .NET, którego metodą ataku było podmienianie numeru rachunku bankowego w momencie kopiowania do schowka. Ze sposobem działania tamtego przestępcy zgadza się także podmienianie ikon w plikach wykonywalnych – ten pobierany w ataku na użytkowników Allegro ma również zmienioną ikonę.

Jakby tego było mało, to w treści wiadomości przestępcy pojawił się inny charakterystyczny ciąg, mianowicie „Dzial Intendentury i Monitoringu”, który pierwszy raz trafił do szerszej publiki jeszcze w październiku 2012 roku i kojarzony był z analogicznymi atakami prowadzonymi przez niejakiego Armaged0na, w tym np. phishingu na klientów iPKO.

Czy Armaged0n i Thomas to jedna i ta sama osoba? Czy stoi za wszystkimi opisanymi powyżej atakami, czy też nowi atakujący sprytnie nawiązują do sposobu działania swoich poprzedników, by pomieszać szyki osobom śledzącym ich zachowanie? Naszym zdaniem co najmniej część z opisanych powyżej kampanii ma jednego autora – i zapewne nie raz jeszcze o nim coś napiszemy. Jeśli czyta nasz artykuł  i natrafił na jakieś nieścisłości – zapraszamy do kontaktu.

Za kopię wiadomości z ataku na użytkowników Allegro dziękujemy Maćkowi.