1 Февраля, 2018

SecurityWeek 2: армия клонов, Google охотится на привидений, Blizzard патчится

Лаборатория Касперского
 
Новость
Судьба зловреда Exobot, с помощью которого злоумышленники добывали данные банковских карт пользователей еще с 2013 года, сложилась интереснее, чем у большинства подобных троянов — но весьма проблематично для экспертов безопасности. Авторы бота охотно сдавали его в аренду на любой срок, причем сервис оказался столь успешен коммерчески, что появилась даже вторая версия, переработанная практически с нуля. Что характерно, заказчики могли по своему желанию модифицировать троян с помощью контрольной панели, выбирая нужные им функции. Практически фабрика клонов со спецификациями на любой вкус.

А в прошедшем декабре организаторы этого центра клонирования во всеуслышание заявили, что собираются продать исходный код ограниченному кругу покупателей. Якобы они уже срубили с Exobot достаточно и выходят из бизнеса. Заявление звучит не очень логично, но может быть отчасти правдой: если им удалось сорвать большой куш, теперь добыча и собственная свобода перевешивают возможные выгоды. Но скорее всего, операторы Exobot постарались таким образом замаскировать желание уйти в тень и скрыться от пристального внимания. Как бы то ни было, после первых же продаж неприятности не заставили себя ждать: зловред пошел в серию.

Менее чем через месяц были запущены новые масштабные кампании с использованием Exobot в Австрии, Англии, Нидерландах и Турции — очевидно, счастливые владельцы поспешили использовать своих «клонов» по назначению. Сильнее всего пострадали турецкие пользователи: за счет особенно удачных дропперов на Google Play только один турецкий ботнет довел счет зараженных устройств почти до 4,5 тысяч.

Вполне можно ожидать, что в ближайшее время кто-нибудь из новых владельцев сольет код зловреда в свободный доступ. Так уже неоднократно случалось с банковскими троянами. Это значит, что свежеопубликованный код попытаются использовать все кому не лень, в том числе грубо и неумело. По всей видимости, вскоре мы сможем полюбоваться на коллекцию вариаций Exobot разной степени глючности.
 
 
Who you gonna call? Ghostbusters!
 
Новость
Google продолжает героически расчищать свой магазин от угроз разного рода: недавно оттуда удалили еще 53 вредоносных приложения. В них был встроен зловред, показывавший несанкционированную рекламу, чтобы заработать своим создателям денюжку за счет кликов, а на закуску крал у пользователей пароли Facebook. Псевдоним его создатели взяли себе достаточно громкий — GhostTeam. По крайней мере, именно такое словосочетание обнаружилось в коде зловреда.

Для загрузки зловред использовал мэйнстримовскую технику с трояном-дроппером и фальшивыми уведомлениями безопасности для установки дополнительного приложения с админскими привилегиями. А вот дальше начиналось интересное. Правда, к основной рекламной функции это интересное не относится — она как раз тоже была реализована самым обычным образом. Зато добыча логинов и паролей производилась изящно. Как правило, такого рода зловреды демонстрируют поверх приложения соцсети фальшивый экран с полями для логина. Но GhostTeam поступал иначе: засекал, когда пользователь входит в Facebook, и открывал настоящую веб-страницу для ввода учетных данных, но не через браузер, а через встроенный в операционную систему компонент для просмотра веб-страниц, например WebView или WebChromeClient. Разумеется, с определенными модификациями, которые заодно со страницей загружали вредоносные Java-скрипты, которые и крали учетные данные.

Поскольку операция выполняется на настоящей странице Facebook настоящими компонентами Android, большая часть защитного ПО ничего криминального не засекает.

Из Google Play уже удалили большинство приложений, которые загружались с GhostTeam в довесок. Большинство из них — фонарики, сканеры QR-кода, чистящие утилиты и тому подобное барахло. Как показала статистика, больше всего вредоносных загрузок было сделано индийскими пользователями, хотя происходит зловред, скорее всего, из солнечного Вьетнама.
 
 
DNS-косплей

 
Новость на русском , подробности на английском
Как выяснили в декабре исследователи безопасности, в агенте обновлений для всех близардовских игрушек была уязвимость, которая при должной изобретательности позволяла отдавать ему приказы по загрузке и установке библиотек, файлов данных и т. д. Учитывая, что пользователей у Blizzard 500 миллионов, а без агента невозможно установить обновления игрушек, в случае чего полыхнуть могло неслабо. К счастью, брешь нашли ИБ-эксперты, а не киберпреступники: по крайней мере, информации о том, что кто-то реально ее использовал, на данный момент нет.

Агент был уязвим к атакам типа DNS Rebinding из-за несовершенства механизма аутентификации: грубо говоря, вредоносный сервер мог прикинуться мостом между клиентом и сервером обновлений. В целом инженеры Blizzard достаточно быстро разобрались с проблемой и выкатили эффективное решение, а также заверили всех в том, что пользователям делать ничего не надо, обновление их агентов установится автоматически.
 
 
Древности
 
Yale
Очень опасный вирус. Инфицирует диски только при «теплой» перезагрузке, записывая себя в Вооt-сектор диска А:. Первоначальный Boot-ceктop сохраняет в секторе 0/39/8 (сторона/трек/сектор). Никаких проверок при этом не делает. Перехватывает int 9 и int 13h.3.4









 
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.