Хватит это терпеть?

20 мар. правоохранительные органы РФ сообщили о задержании группы киберпреступников, которые похищали деньги с помощью троянской утилиты Carberp. Это на самом деле неплохая весть, хотя, к несчастью, она не обозначает конец истории Carberp.

По видимости, задержана была лишь 1 из преступных групп, использующих этого троянца. При этом на свободе остаются непосредственные создатели Carberp, которые продолжают открытую продажу троянца на форумах киберпреступников.

Вот очередное предложение купить «многофункциональный банкобот» Carberp, появившееся 21 мар.:

Объявление о продаже Carberp

Более того, по-прежнему функционируют «партнерки», которые раньше были замечены в распространении Carberp, — прежде всего «traffbiz.ru».

Следующий инцидент с распространением Carberp был зафиксирован нами 21 мар.. Заражение инициировалось на веб-сайте radio-moswar.ru, посвящённом браузерной он-лайн-игре MOSWAR.

Важнейшая страница сайта radio-moswar.ru

На одной из страницы сайта есть скрипт, который незаметно перенаправляет посетителей на интернет-страницу, расположенную на домене 3-го ур..

Скрипт, производящий редирект с сайта radio-moswar.ru



Домен II-го ур. принадлежит компании DYNDNS, которая предоставляет бесплатные услуги по созданию доменных имен 3-го ур. вида *.dyndns.TLD. Услугами подобного рода нередко пользуются злоумышленники, так как это избавляет их от потребности регистрировать новый домен.

Сайт dyndns.tv

Серия редиректов на домены на DYNDNS в конечном счете ведет на скрипт партнёрской утилиты traffbiz. Официально эта партнёрка выступает в качестве посредника м/у вебмастерами и скупщиками трафика, однако по нашим данным в большей части случаев применяется злоумышленниками для распространения вредоносных программ.

Сайт traffbiz.ru

Скрипт рисует картинку со счётчиком показов, которую видит пользователь. Более того, скрипт содержит 2 iframe, которые незаметно выполняют редирект по 2-м ссылкам.

Код счётчика traffbiz.ru

По одной из ссылок при помощи Java- (CVE-2011-3544) и PDF- (CVE-2010-0188) эксплойтов производится загрузка на компьютер и запуск Trojan-Spy.Win32.Carberp.epm.

Троянец пробует подключиться к серверу управления, обращаясь к 3-м доменам:

****case-now.com
****ssunrise.com
****owfood-cord.com

Примечательно, что по данным whois эти домены были зарегистрированы 20 мар.:

Все 3 домена находятся на одном немецком IP-адресе.

Сервер управления, к которому подключается Carberp, работает и дает команду на скачивание файлов конфигурации, в которых указано, какую именно информацию и как нужно украсть боту. В процессе этой атаки Carberp перехватывает на пользовательской системе содержимое веб-страницы банков Citibank и Raiffeisen Bank, и страницы, использующие ПО компании BSS. Эта компания занимается разработкой и внедрением автоматизированных систем дистанционного банковского обслуживания.

По II-й ссылке располагается небезызвестный эксплойт-пак BLACKHOLE. Он загружает на компьютер и запускает тут же 2 вредоносные утилиты: одну из версий Carberp (Trojan-Spy.Win32.Carberp.epl) и троянца, ворующего пароли (Trojan-PSW.Win32.Agent.acne).

Carberp к тому же подключается к серверу, расположенному в Германии, однако иначе IP-адресу. Доменное имя ****ltd.info было зарегистрировано 21 мар.:

Командный центр работает, однако команд пока не даёт — с него троянец получает перечень плагинов.

II-й зловред, выдаваемый BLACKHOLE Exploit Pack, предназначен для кражи конфиденциальной информации пользователей, такой как пароли от FTP. За исключением того, троянец модифицирует файл hosts для перенаправления пользователей с сайтов vkontakte.ru и narod.ru на вредоносные сервера.

Итак, на свободе остаются непосредственные создатели Carberp, а группировки, использующие Carberp, продолжают собственную активную деятельность. А это означает, что до окончательной победы еще далеко.

Оригинал статьи: http://Securelist.com

купить energetix



Пинг не поддерживается.

Оставить комментарий