Компания
270,76
рейтинг
11 декабря 2013 в 18:53

Разное → Hesperbot нацелился на Германию и Австралию

В сентябре мы сообщали о новом банковском трояне, который называется Hesperbot (обнаруживается как Win32/Spy.Hesperbot). Киберпреступники, использующие этот инструмент, по-прежнему активны, в ноябре были зафиксированы новые случаи использования этого вредоносного ПО.

Мы уже показывали, что географическое распределение заражений этой вредоносной программы достаточно локализовано в нескольких конкретных странах. Для заражений пользователей использовались спам-кампании с фишинговыми сообщениями на родном для пользователей этих стран языке. Как и ожидалось, злоумышленникам не понадобилось много времени на то, чтобы начать ориентироваться на новые страны. В дополнение к тем четырем, которые мы уже указывали (Турция, Чехия, Португалия, Великобритания), в прошедшем месяце были зафиксированы новые версии вредоносного кода для пользователей Германии и Австралии.

За прошлый месяц были зафиксированы крупные случаи заражений в Чехии, также злоумышленники добавили скрипты веб-инъекций (web injection) в файлы конфигураций для чешского ботнета. Ниже на диаграмме показано распределение заражений Hesperbot по странам, которое мы зафиксировали в ноябре с помощью ESET LiveGrid.



Hesperbot имеет модульную архитектуру и через файлы конфигурации позволяет злоумышленникам ориентировать вредоносный код на новые системы онлайн-банкинга. С использованием этого файла конфигурации вредоносному коду отдаются определенные инструкции, например, какие URL-адреса модуль снятия данных с форм (form grabber) должен игнорировать. Т. е. при встрече такого URL в HTTP POST запросе, этот модуль не будет выполнять специальные действия по краже вводимых в веб-формы пользователем данных с целью получения информации об аккаунтах онлайн-банкинга/кредитных картах и передаче их злоумышленникам. Другой список адресов используется для определения ситуаций срабатывания модуля захвата видео (может использоваться как средство обхода виртуальных клавиатур и помогает оператору ботнета наблюдать за балансом банковского счета жертвы без необходимости входа в аккаунт онлайн-банкинга). Конфигурационный файл также содержит веб-инъекции, в схожем с Zeus и SpyEye формате.

В таблице ниже показаны URL-адреса систем онлайн-банкинга, которые были обнаружены в одном из последних конфигурационных файлов.



Ниже представлен макет веб-формы, с помощью которой злоумышленники пытаются заманить жертву на установку мобильного компонента.





Далее пользователю нужно выполнить соответствующие инструкции по установке.







Ниже представлен настоящий случай веб-инъекции на веб-сайте чешского банка.



Заметьте, что в случае с Hesperbot пользователь продолжает наблюдать значок https соединения в строке адреса браузера. Более подробную информацию об используемых им для этого методах можно прочитать в нашем детальном анализе.

Мы уже описывали различные модули Hesperbot в нашем предыдущем анализе. Последняя версия вредоносного кода теперь использует два новых модуля. Первый называется gbitcoin и пытается красть следующие файлы:

— %APPDATA%\Bitcoin\wallet.dat
— %APPDATA%\MultiBit\multibit.wallet

Эти файлы используются как хранилища средств Bitcoin и хранят секретные ключи для клиентов Bitcoin и MultiBit. При нынешней высокой стоимости валюты Bitcoin, такое решение по добавлению подобного модуля является вполне понятным. Несколько советов по тому как безопасно использовать биткоины можно найти на нашем англоязычном блоге, а также на Bitcoin wiki.

Второй добавленный злоумышленниками модуль даже более интересен чем первый. Активность этого модуля определяется конфигурационным файлом Hesperbot. Если в нем присутствуют соответствующие записи, то модуль может выполнять следующие действия:

  • Останавливать все потоки в необходимом процессе, а также скрывать все его видимые окна.
  • Показывать пользователю специальные сообщения с использованием функции MessageBox.
  • Блокировать сетевое взаимодействие через перехват функций recv, WSARecv, send, WSASend из библиотеки ws2_32.dll на определенное время.



Рис. Перехватываемые Hesperbot сетевые функции.


Рис. Перехватываемые Hesperbot сетевые функции.

В таком случае перехватываемые функции будут возвращать ошибку WSAEACCESS. Для реализации перехватов Hesperbot использует вспомогательный модуль sch_mod.

Пока мы не смогли обнаружить конфигурационных файлов, которые активируют эту новую функциональность. Возможная цель использования таких обработчиков заключается в блокировании работы отдельных банковских приложений, над которыми троянская программа не может получить управление. Такая практика может подтолкнуть пользователя к использованию веб-интерфейса браузера, который уже скомпрометирован вредоносным кодом.

Нам удалось обнаружить панель управления C&C Hesperbot.



Скриншот выше показывает различные банки для стран, на которые нацелен Hesperbot, и количество успешных установок мобильного компонента. Как упоминалось ранее, злоумышленники заманивают жертв на страницу установки мобильного компонента через веб-инъекции на сайты систем онлайн-банкинга. Панель управления, показанная выше, может предоставить статистику по турецким, австралийским и немецким ботнетам.

Заключение

Злоумышленники, использующие Hesperbot, были очень активны в последнее время, поэтому можно ожидать соответствующих финансовых потерь для клиентов банков. Мы продолжаем отслеживание активности Hesperbot и будем держать вас в курсе дальнейших событий.
Автор: @esetnod32
ESET NOD32
рейтинг 270,76

Комментарии (1)

  • 0
    Насчет хранения Bitcoin, я рекомендую держать суммы, которые превышают стоимость компьютера, на отдельном специально для этого выделенном компьютере, который более ни для чего не используется. Если же такой возможности нет, то вот статья, как можно более-менее безопасно держать кошелек Bitcoin на виртуальной машине. Статья еще в 2011 году написана, но до сих пор актуальности не потеряла

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное