2014-06-23 22:39:05
Ο Έλληνας ερευνητής ασφάλειας κ. Ανδρέας Βενιέρης, αναγνώστης του SecNews, εντόπισε μια νέα εκδοχή του γνωστού ιού της Αστυνομίας, που... καταλαμβάνει υπολογιστές ανυποψίαστων χρηστών ζητώντας μάλιστα ως λύτρα για την “απελευθέρωσή τους” το ποσό των 1500€ !!!
Ο ερευνητής, ανέλυσε το κακόβουλο λογισμικό, προσδιορίζοντας την προέλευσή του και τα αποτελέσματα της μελέτης δημοσιοποιούνται σε ΑΠΟΚΛΕΙΣΤΙΚΟΤΗΤΑ στο SecNews.
Προέλευση & εντοπισμός επίθεσης
Η νέα εκδοχή του “ιού της αστυνομίας” αναγνωρίστηκε σε εξυπηρετητή (server) του εξωτερικού από τον κ. Βενιέρη. Στο εξυπηρετητή είναι εγκατεστημένο λογισμικό που εξαπολύει επιθέσεις για κλοπή χρηματικών ποσών από “ανυποψίαστους χρήστες μέσω απειλής και ψυχολογικής βίας”, όπως αναφέρει χαρακτηριστικά ο ερευνητής.
Η επίθεση “εξαπολύεται” από τα παρακάτω domains και υπερσυνδέσμους:
http://id953561182-8812263942.u82f47.com/?flow_id=83338&202447=51533/case_id=4509
http://id891180584-261909387.y58h56.com/
http://id106788480-7157832757.p16n42.com/
http://id546061150-1474475308.y58h56.com/
http://p16n42.com/processing.php?step=1
http://p16n42.com/processing.php?step=2
http://p16n42.com/processing.php?step=3
Οι ανωτέρω σύνδεσμοι αποστέλλονται στα ανυποψίαστα θύματα είτε μέσω ηλεκτρονικού μηνύματος e-mail (phishing attack) είτε βρίσκονται εντός ιστοσελίδων αμφιβόλου περιεχομένου (ιστοσελίδες πορνογραφίας, στοιχηματισμού κλπ).
Χώρα προέλευσης/στοιχεία εξυπηρετητή
Η νέα εκδοχή του “ιου της αστυνομίας” βρίσκεται τοποθετημένη στον εξυπηρετητή με IP 146.185.220.194. Το ηλεκτρονικό ίχνος υποδεικνύει ότι η εν λόγω IP ανήκει στο domain hosted-by.mdsnet.org. Ο τομέας τοποθετείται στην Ρωσία και συγκεκριμένα στην Αγία Πετρούπολη στον πάροχο υπηρεσιών InternetPetersburg Internet Network Ltd. Η γεωγραφική απεικόνιση είναι η κάτωθι:
H αναζήτηση με χρήση reverse IP έδωσε επιπλέον τα domains:
h821g5.com
n5gg87.com
s21d68.com
αλλά και επιπλέον 12 domains που επίσης διακινούν malware!
Ανάλυση κακόβουλου λογισμικού
Με μια γρήγορη μελέτη στο κακόβουλο πρόγραμμα από τον κ. Βενιέρη εντοπίστηκε ένα ιδιαίτερα ενδιαφέρον χαρακτηριστικό:
Σε αυτό το σημείο εντοπίζεται η βασική λειτουργικότητα της νέας εκδοχής του ιού.
Βλέπουμε πως μόλις ο χρήστης κάνει Submit την σελίδα καλείται πρώτα η javascriptfunctioncheck();
H function αυτή κάνει έναν πρώτο έλεγχο αν ο χρήστης έχει συμπληρώσει σωστά τις τιμές της paysafecard. Αν αυτό έχει συμβεί τότε πραγματοποιεί ανακατεύθυνση στον χρήστη.
Παρατηρείστε την γραμμή:
http://p16n42.com/processing.php?step=1
Hπαραπάνω γραμμή οδήγησε τον ερευνητή, στην υπόθεση ότι πιθανόν να υπάρχουν κι άλλα… βήματα! Και πράγματι!
Όταν step=1 ζητούνται 300€.
Προφανώς μετά το κακόβουλο πρόγραμμα οδηγείται στο Step 2 (http://p16n42.com/processing.php?step=2) οπού εκεί ζητούνται 500€ και τέλος υπάρχει και το step 3, οπού εκεί ζητούνται 700€.
Σύνολο 1500€ για τους ηλεκτρονικούς απατεώνες ανά ανυποψίαστο χρήστη!
Το πρόγραμμα όπως αναφέρθηκε, διαθέτει μια κάποιου τύπου “νοημοσύνη” αναφορικά με τον τρόπο συμπεριφοράς που παρουσιάζει ανάλογα με την χώρα προέλευσης του θύματος:
Όταν καλείτε από χώρες που υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ελλάδα, Ιταλία κλπ) τότε μπαίνει σε λειτουργία το malware και απαιτεί από τον χρήστη χρηματικό ποσό σε 3 στάδια συνολικού ύψους 1500€
Όταν καλείτε από χώρες που δεν υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ρουμανία) τότε κάνει ανακατεύθυνση του χρήστη σε ιστοσελίδες πορνογραφικού περιεχομένου.
Την διαπίστωση αυτή έκανε ο ερευνητής με χρήση Proxies από διαφορετικές χώρες.
Εικόνες του κακόβουλου λογισμικού
Η Επίθεση είναι στο στάδιο 3. Ζητούνται από τον χρήστη 700€. Παρατηρείστε το banner που άλλαξε χρώμα κι έγινε… πλέον πράσινο και καθόλου απειλητικό. Αναφέρεται η πρόταση «Η υπόθεση σας έχει λήξει». Ψυχολογικά εδώ ο χρήστης θεωρεί ότι γλύτωσε πλέον με την καταβολή των 700€ !
Αξίζει να παρατηρήσουμε ότι εμφανίζονται τα logos από γνωστές Ελληνικές εταιρείες ως σημεία πώλησης των Paysafe καρτών. Τα Logos αντλούνται από την επίσημη σελίδα της Paysafe. Αν παρατηρήσουμε το αντίστοιχο μήνυμα μέσω Ιταλίας τα σημεία πώλησης αλλάζουν (πάλι μέσα από την επίσημη ιστοσελίδα της Paysafe).
Και το στάδιο 1 από… Ιταλία!
Σε αυτό το σημείο αξίζει να σημειώσουμε οτι η ανάλυση που παρέθεσε ο Security expert, έχει περιοριστεί στο επίπεδο του χρήστη και όχι του ειδικού ασφαλείας. Δεν αποτελεί δηλαδή εκτεταμένη ανάλυση του κώδικα του Ransomware ούτε και εκτεταμένη ανάλυση των δεδομένων του server.
O ερευνητής πραγματοποίησε εκτεταμένη ανάλυση στο συγκεκριμένο malware και εντόπισε διαφορετική συμπεριφορά του λογισμικού (σε επίπεδο κώδικα υλοποίησης) ανάλογα με τον web browser του θύματος και την διεύθυνση προέλευσης (Source IP).Επιπλέον σε εκτενή ανάλυση που πραγματοποιήθηκε με εργαλεία ελέγχου αδυναμιών σε υπηρεσίες web, προέκυψαν συγκεκριμένα ευρήματα τα οποία ίσως δεν ενδιαφέρουν και τόσο.
Τα ανωτέρω οφείλουμε να τα αναφέρουμε ώστε να μην υπάρξουν κρίσεις της αναφοράς του ερευνητή ως “απλοϊκή”. Ο στόχος του ερευνητή είναι η ενημέρωση του αναγνωστικού κοινού για να προστατευθεί σε περίπτωση μόλυνσης με το malware και σε καμία περίπτωση η τεχνική υπερανάλυση αυτού.
Σύμφωνα με πληροφορίες έχει ενημερωθεί ήδη η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και οι αρχές ερευνούν τα ηλεκτρονικά ίχνη προέλευσης, αν δηλαδή έχει ξεκινήσει η διασπορά της νέας εκδοχής του κακόβουλου λογισμικού ή πρόκειται για μεμονωμένα περιστατικά.
secnews.gr
Ο ερευνητής, ανέλυσε το κακόβουλο λογισμικό, προσδιορίζοντας την προέλευσή του και τα αποτελέσματα της μελέτης δημοσιοποιούνται σε ΑΠΟΚΛΕΙΣΤΙΚΟΤΗΤΑ στο SecNews.
Προέλευση & εντοπισμός επίθεσης
Η νέα εκδοχή του “ιού της αστυνομίας” αναγνωρίστηκε σε εξυπηρετητή (server) του εξωτερικού από τον κ. Βενιέρη. Στο εξυπηρετητή είναι εγκατεστημένο λογισμικό που εξαπολύει επιθέσεις για κλοπή χρηματικών ποσών από “ανυποψίαστους χρήστες μέσω απειλής και ψυχολογικής βίας”, όπως αναφέρει χαρακτηριστικά ο ερευνητής.
Η επίθεση “εξαπολύεται” από τα παρακάτω domains και υπερσυνδέσμους:
http://id953561182-8812263942.u82f47.com/?flow_id=83338&202447=51533/case_id=4509
http://id891180584-261909387.y58h56.com/
http://id106788480-7157832757.p16n42.com/
http://id546061150-1474475308.y58h56.com/
http://p16n42.com/processing.php?step=1
http://p16n42.com/processing.php?step=2
http://p16n42.com/processing.php?step=3
Οι ανωτέρω σύνδεσμοι αποστέλλονται στα ανυποψίαστα θύματα είτε μέσω ηλεκτρονικού μηνύματος e-mail (phishing attack) είτε βρίσκονται εντός ιστοσελίδων αμφιβόλου περιεχομένου (ιστοσελίδες πορνογραφίας, στοιχηματισμού κλπ).
Χώρα προέλευσης/στοιχεία εξυπηρετητή
Η νέα εκδοχή του “ιου της αστυνομίας” βρίσκεται τοποθετημένη στον εξυπηρετητή με IP 146.185.220.194. Το ηλεκτρονικό ίχνος υποδεικνύει ότι η εν λόγω IP ανήκει στο domain hosted-by.mdsnet.org. Ο τομέας τοποθετείται στην Ρωσία και συγκεκριμένα στην Αγία Πετρούπολη στον πάροχο υπηρεσιών InternetPetersburg Internet Network Ltd. Η γεωγραφική απεικόνιση είναι η κάτωθι:
H αναζήτηση με χρήση reverse IP έδωσε επιπλέον τα domains:
h821g5.com
n5gg87.com
s21d68.com
αλλά και επιπλέον 12 domains που επίσης διακινούν malware!
Ανάλυση κακόβουλου λογισμικού
Με μια γρήγορη μελέτη στο κακόβουλο πρόγραμμα από τον κ. Βενιέρη εντοπίστηκε ένα ιδιαίτερα ενδιαφέρον χαρακτηριστικό:
Σε αυτό το σημείο εντοπίζεται η βασική λειτουργικότητα της νέας εκδοχής του ιού.
Βλέπουμε πως μόλις ο χρήστης κάνει Submit την σελίδα καλείται πρώτα η javascriptfunctioncheck();
H function αυτή κάνει έναν πρώτο έλεγχο αν ο χρήστης έχει συμπληρώσει σωστά τις τιμές της paysafecard. Αν αυτό έχει συμβεί τότε πραγματοποιεί ανακατεύθυνση στον χρήστη.
Παρατηρείστε την γραμμή:
http://p16n42.com/processing.php?step=1
Hπαραπάνω γραμμή οδήγησε τον ερευνητή, στην υπόθεση ότι πιθανόν να υπάρχουν κι άλλα… βήματα! Και πράγματι!
Όταν step=1 ζητούνται 300€.
Προφανώς μετά το κακόβουλο πρόγραμμα οδηγείται στο Step 2 (http://p16n42.com/processing.php?step=2) οπού εκεί ζητούνται 500€ και τέλος υπάρχει και το step 3, οπού εκεί ζητούνται 700€.
Σύνολο 1500€ για τους ηλεκτρονικούς απατεώνες ανά ανυποψίαστο χρήστη!
Το πρόγραμμα όπως αναφέρθηκε, διαθέτει μια κάποιου τύπου “νοημοσύνη” αναφορικά με τον τρόπο συμπεριφοράς που παρουσιάζει ανάλογα με την χώρα προέλευσης του θύματος:
Όταν καλείτε από χώρες που υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ελλάδα, Ιταλία κλπ) τότε μπαίνει σε λειτουργία το malware και απαιτεί από τον χρήστη χρηματικό ποσό σε 3 στάδια συνολικού ύψους 1500€
Όταν καλείτε από χώρες που δεν υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ρουμανία) τότε κάνει ανακατεύθυνση του χρήστη σε ιστοσελίδες πορνογραφικού περιεχομένου.
Την διαπίστωση αυτή έκανε ο ερευνητής με χρήση Proxies από διαφορετικές χώρες.
Εικόνες του κακόβουλου λογισμικού
Η Επίθεση είναι στο στάδιο 3. Ζητούνται από τον χρήστη 700€. Παρατηρείστε το banner που άλλαξε χρώμα κι έγινε… πλέον πράσινο και καθόλου απειλητικό. Αναφέρεται η πρόταση «Η υπόθεση σας έχει λήξει». Ψυχολογικά εδώ ο χρήστης θεωρεί ότι γλύτωσε πλέον με την καταβολή των 700€ !
Αξίζει να παρατηρήσουμε ότι εμφανίζονται τα logos από γνωστές Ελληνικές εταιρείες ως σημεία πώλησης των Paysafe καρτών. Τα Logos αντλούνται από την επίσημη σελίδα της Paysafe. Αν παρατηρήσουμε το αντίστοιχο μήνυμα μέσω Ιταλίας τα σημεία πώλησης αλλάζουν (πάλι μέσα από την επίσημη ιστοσελίδα της Paysafe).
Και το στάδιο 1 από… Ιταλία!
Σε αυτό το σημείο αξίζει να σημειώσουμε οτι η ανάλυση που παρέθεσε ο Security expert, έχει περιοριστεί στο επίπεδο του χρήστη και όχι του ειδικού ασφαλείας. Δεν αποτελεί δηλαδή εκτεταμένη ανάλυση του κώδικα του Ransomware ούτε και εκτεταμένη ανάλυση των δεδομένων του server.
O ερευνητής πραγματοποίησε εκτεταμένη ανάλυση στο συγκεκριμένο malware και εντόπισε διαφορετική συμπεριφορά του λογισμικού (σε επίπεδο κώδικα υλοποίησης) ανάλογα με τον web browser του θύματος και την διεύθυνση προέλευσης (Source IP).Επιπλέον σε εκτενή ανάλυση που πραγματοποιήθηκε με εργαλεία ελέγχου αδυναμιών σε υπηρεσίες web, προέκυψαν συγκεκριμένα ευρήματα τα οποία ίσως δεν ενδιαφέρουν και τόσο.
Τα ανωτέρω οφείλουμε να τα αναφέρουμε ώστε να μην υπάρξουν κρίσεις της αναφοράς του ερευνητή ως “απλοϊκή”. Ο στόχος του ερευνητή είναι η ενημέρωση του αναγνωστικού κοινού για να προστατευθεί σε περίπτωση μόλυνσης με το malware και σε καμία περίπτωση η τεχνική υπερανάλυση αυτού.
Σύμφωνα με πληροφορίες έχει ενημερωθεί ήδη η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και οι αρχές ερευνούν τα ηλεκτρονικά ίχνη προέλευσης, αν δηλαδή έχει ξεκινήσει η διασπορά της νέας εκδοχής του κακόβουλου λογισμικού ή πρόκειται για μεμονωμένα περιστατικά.
secnews.gr
ΦΩΤΟΓΡΑΦΙΕΣ
ΜΟΙΡΑΣΤΕΙΤΕ
ΔΕΙΤΕ ΑΚΟΜΑ
ΠΡΟΗΓΟΥΜΕΝΟ ΑΡΘΡΟ
«ΠΗΡΕ ΤΟΝ ΛΑΦΑΓΙΕΤ... ΔΕΝ ΝΟΜΙΖΩ ΚΑΙ ΤΟΝ ΝΤΙΛΕΪΝΙ»
ΣΧΟΛΙΑΣΤΕ