20 Февраля, 2018

Security Week 4: Боты для фанатов GTA, вредоносные аддоны для Chrome с технологиями Яндекса

Лаборатория Касперского
 
Недавно был обнаружен новый IoT-ботнет, созданный, по всей видимости, большим фанатом GTA: командный сервер размещен в домене фанатских мультиплеерных модов для GTA San Andreas. Помимо хостинга самопальных серверов «Сан-Андреаса», на сайте можно заказать DDoS-атаку за умеренную плату (от 20 долларов). Прозвали новый ботнет JenX, из-за рабочего бинарного файла с нежным девичьим именем Jennifer.

Заводчик JenX не стал изобретать велосипед, скорее уж наоборот, наскреб по сусекам. Для вербовки новых ботов зловред пользуется уязвимостями в маршрутизаторах Realtek и Huawei (код соответствующих эксплойтов был выложен автором печально известного BrickerBot в свободный доступ). Кроме того, в JenX используется обфускация кода через логическую функцию XOR с тем же ключом, что и в PureMasuta, — исходники этого зловреда в свободный доступ не попадали, но были опубликованы на дарк-форуме с доступом только по приглашениям. Вдобавок реверс-инжиниринг вскрыл еще и преемственность с Mirai.

Однако, в отличие от перечисленных аналогов, в боевой нагрузке JenX нет кода сканирования сети и эксплуатации уязвимостей. Все уязвимые устройства ищет сервер, и он же осуществляет RCE-атаки.

С одной стороны, это не позволяет ботнету расти в геометрической прогрессии, как растет большинство других. С другой — убрав функции сканирования и эксплойты из распространяемого зловреда, хакеры могут сделать сами эти функции более изощренными, а также частично или полностью автоматизировать их с помощью языков более высокого уровня и системы библиотек. Плюс централизованные командные серверы производят меньше «шума», чем экспоненциальное распространение; такой ботнет сложнее обнаружить. А если все же кто-то поднимет шум (вот как сейчас) и лавочку придется временно прикрыть, то централизованные серверы проще перенести и спрятать.

Хозяева ботнета пытаются заработать прежде всего на недовольных пользователях мультиплеерных модов, у которых руки чешутся заказать DDoS-атаку на сервер, где их обидели (например, забанили). По крайней мере, уже были замечены такие атаки на фанатские серверы, в проведении которых игроки подозревают именно JenX. Такие вот «гангстерские войны».

Но ботнет можно с равным успехом перенацелить и на что-нибудь другое, более прибыльное. Мощность мусорного трафика предлагается не то чтобы грандиозная — всего 290 Гб/с. Но для сервера небольшой компании хватит с лихвой, а за двадцать-то долларов почему бы и не заняться любительским кибертерроризмом?
 
 
Шок! Расширения для Chrome следят за каждым шагом пользователей… с помощью технологий Яндекса
 

Не надо быть системным аналитиком, чтобы понимать: если вполне добропорядочные аналитические веб-инструменты для записи сеанса пользователя фиксируют абсолютно каждый клик, который пользователь совершает на сайте, и отправляют эти данные на вполне добропорядочные серверы для вполне добропорядочной цели (например, маркетингового анализа), в этой сияющей цепочке рано или поздно заведется кто-нибудь не такой белый и пушистый. И легитимные инструменты по сбору статистики начнут использовать во зло.

Именно это и произошло с сервисом «Яндекс.Метрика», одну из библиотек которого злоумышленники применили во вредоносных аддонах для Google Chrome. Яндексовский инструмент не сохраняет вводимые пароли, но на них, как известно, свет клином не сошелся: все равно, записывая сеанс, можно получить много интересного — например, все данные кредитной карточки пользователя. Надо только дождаться, пока он зайдет на сайт интернет-магазина.

Как выяснили исследователи, аддоны распространялись централизованно. Хакерская группа, которая этим занималась, получила название Droidclub, по имени одного из командных серверов. Неизвестно, продавали ли злоумышленники украденную информацию о действиях пользователей, но вряд ли они собирались просто поиграть с юзерами в «Я знаю, что вы сделали прошлым летом». Коммерческая жилка у этих киберпреступников точно есть — те же расширения они использовали для показа рекламы, а более ранние аддоны группы исподтишка устанавливали майнеры Monero.

Всего ИБ-исследователи нашли 89 вариантов таких аддонов, буквально на любой вкус. Названия и описания расширений генерировались случайно — и тем удивительнее, что их скачали и установили в общей сложности 423 тыс. раз, притом что команда Google удаляла их так быстро, что многие не продержались и дня. Нет, «свежий запах для белья», конечно, дело хорошее, но использовать в качестве дезодоранта дополнение к браузеру — это что-то из позднего киберпанка.
 
 
Древности
 
Stone -а, -b, -с, -d
При загрузке с зараженного флоппи-диска с вероятностью 1/8 на экране появляется сообщение: «Your PC is now Stoned!». Помимо указанной, содержат строку: «LEGALISE MARIJUANA!». Вирус «Stone-с» при заражении MBR винчестера уничтожает таблицу разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска. «Stone-d» 1-го октября уничтожает информацию на винчестере.







 
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.