Uwaga, atak skierowany na czytelników naszego serwisu z BTC w tle

dodał 4 maja 2014 o 14:21 w kategorii Złośniki  z tagami:
Uwaga, atak skierowany na czytelników naszego serwisu z BTC w tle

Wczoraj wieczorem na naszym profilu na Facebooku pojawił się link do sensacyjnej informacji o ponownym włamaniu do Bitcurexa. Plik, na który wskazywał link, miał za zadanie zainfekować komputery ciekawskich czytelników.

Po kilkunastu minutach zauważyliśmy zagrożenie i zablokowaliśmy widoczność wiadomości atakującego. Wykorzystane w ataku pliki pobraliśmy i poddaliśmy wstępnej analizie – wiele wskazuje na duże podobieństwo do niedawno przez nas opisywanego ataku na polskie samorządy.

Atak socjotechniczny z Bitcurexem w tle

3 maja o 23:50 pod naszym wpisem w serwisie Facebook pojawił się komentarz, którego treść zachęcała do lektury.

Komentarz na Facebooku

Komentarz na Facebooku

W komentarzu miniaturka obrazka była prawie niewidoczna, ale po jego otwarciu naszym oczom ukazywał się taki oto widok:

Powiększenie obrazka

Powiększenie obrazka

Brzmi sensacyjnie, prawda? Jakby tego było mało, 16 minut po północy komentarz otrzymał „lajka” oraz komentarz z innego konta o treści:

Moje konto jest puste straciłam prawie 1,8BTC

Wygląda na to, że oba konta, użyte do opublikowania komentarzy, należą do prawdziwych osób, lecz zostały przejęte przez atakującego. Kilka minut później zablokowaliśmy wyświetlanie obu komentarzy (dalej widoczne są dla ich autorów oraz ich znajomych). Oczywiście takiej informacji warto się przyjrzeć.

Kroki do infekcji

Link z pierwszego komentarza prowadził do holenderskiego serwisu hostingowego za pośrednictwem otwartego przekierowania z domeny wp.pl.

Jak widać, atakujący skorzystał z możliwości przekierowania do zewnętrznego adresu, działającej w jednej z subdomen serwisu wp.pl. Zapewne chciał dodać wiarygodności swojemu linkowi, jednak w naszym przypadku osiągnął efekt przeciwny do zamierzonego – tak wyglądający link był dla nas już z góry podejrzany.

Po otwarciu linka w przeglądarce otrzymujemy plik o nazwie „Kradzież 1390BTC Z Bitcurex 03052014.doc”. Jest to dokument Microsoft Word. Szybki podgląd w notatniku pokazuje, że zawiera on macro VBA oraz plik graficzny. Sięgamy zatem do podręcznego narzędzia do analizy złośliwych plików MS Office czyli OfficeMalScanner i po uruchomieniu analizy otrzymujemy kod VBA.

Wynik analizy pliku

Wynik analizy pliku

Kluczowy jego fragment wygląda tak:

Jak więc widzicie, skrypt po uruchomieniu pobiera kolejny plik (tym razem .exe) z tego samego serwera, zapisuje go na dysku i wykonuje. Sam plik DOC był – według metadanych – stworzony wczoraj ok. godziny 17 przez użytkownika „Thomas”. W swojej treści zawiera plik graficzny udający „brak obrazka”, który zapewne ma zachęcić do wyrażenia zgody na uruchomienie kodu macro.

Wygląd pliku po otwarciu

Wygląd pliku po otwarciu

Plik „Kradzież 1390BTC Z Bitcurex 03052014.doc” jeszcze o północy był wykrywany jako złośliwy według serwisu VirusTotal przez 5 antywirusów, obecnie ta liczba wzrosła do 6.

 Z kolei plik exe, pobierany pod nazwą modemup.exe, o północy wykrywany był przez 5 antywirusów, a obecnie wykrywa go już 12. Co istotne, wykrywalność badana w serwisie VirusTotal nie oddaje w pełni realnej reakcji oprogramowania antywirusowego – na przykład wg VT Avast uznawał plik za niegroźny, a już sam Avast, korzystając z innych wskaźników niż sama sygnatura, blokował jego pobieranie. Plik był również już o północy wykrywany jako złośliwy przez przeglądarkę Chrome.

Sam plik jest spakowanym za pomocą UPX wynikiem komplikacji skryptów AutoIt, wykazując tym samym duże podobieństwo do ataku na pracowników polskich samorządów sprzed ponad miesiąca. Niestety nie mieliśmy wystarczająco dużo czasu, by przyjrzeć mu się bliżej. Z analizy Malwr wiemy, że:

  • dodaje się do rejestru, by uruchamiać się po restarcie systemu
  • C&C prawdopodobnie znajduje się pod adresem facebook.blutu.pl (176.9.151.164) – tam, do pliku http://facebook.blutu.pl/rekrutacja/image.php trafiają żądania HTTP POST
  • pobiera z holenderskiego serwera jeszcze jeden plik wykonywalny: http://updo.nl/file/72b44ca5.exe (Cyk32.exe, VT, Malwr)

Jeśli ktoś z Was chciałby rzucić okiem, to na końcu artykułu znajdziecie odpowiedni link.

Kto był celem ataku

Jak do tej pory przez kilkanaście godzin po wykryciu przez nas próby ataku nikt oprócz nas nie wysłał tych samych plików do serwisu VirusTotal. To pozwala nam sądzić, że były one dystrybuowane do dość wąskiego grona odbiorców – możliwe, że link do nich znalazł się tylko na naszym profilu FB. Sposób umieszczenia linka także jest ciekawy – trafił on jako komentarz do naszego ostatniego, dość już starego wpisu, który nie cieszył się wielką popularnością. Spowodowało to, że w zasadzie tylko administrator strony mógł na niego zwrócić uwagę – pozostali użytkownicy raczej by go nie zauważyli. Czy zatem był to atak na administratorów serwisu? Jeśli tak, to pozdrawiamy atakującego i prosimy o kontakt w celu udzielenia wywiadu dla naszych Czytelników.

Swoją drogą mamy tutaj do czynienia z ciekawym zbiegiem okoliczności. Pliki użyte w ataku są przechowywane w dość niszowym holenderskim serwisie. Z kolei „exploit” z pliku DOC, identyfikowany przez TrendMicro jako O97M_BOGAVERT.A, wg Google pojawiał się do tej pory bardzo rzadko (w zasadzie dwa trafienia), z czego 21 kwietnia tego roku użyty był w ataku na Holendrów (załącznik z fałszywą fakturą w pliku .doc). Może nasz atakujący miał coś wspólnego również z tamtą sprawą?

Jeśli macie chwilę na przeprowadzenie własnej analizy złośliwych plików – oto cała paczka (hasło infected). Prosimy tylko o podzielenie się jej wynikami.