Pull to refresh
0
Rating

Hesperbot нацелился на Германию и Австралию

ESET NOD32 corporate blog
В сентябре мы сообщали о новом банковском трояне, который называется Hesperbot (обнаруживается как Win32/Spy.Hesperbot). Киберпреступники, использующие этот инструмент, по-прежнему активны, в ноябре были зафиксированы новые случаи использования этого вредоносного ПО.

Мы уже показывали, что географическое распределение заражений этой вредоносной программы достаточно локализовано в нескольких конкретных странах. Для заражений пользователей использовались спам-кампании с фишинговыми сообщениями на родном для пользователей этих стран языке. Как и ожидалось, злоумышленникам не понадобилось много времени на то, чтобы начать ориентироваться на новые страны. В дополнение к тем четырем, которые мы уже указывали (Турция, Чехия, Португалия, Великобритания), в прошедшем месяце были зафиксированы новые версии вредоносного кода для пользователей Германии и Австралии.

За прошлый месяц были зафиксированы крупные случаи заражений в Чехии, также злоумышленники добавили скрипты веб-инъекций (web injection) в файлы конфигураций для чешского ботнета. Ниже на диаграмме показано распределение заражений Hesperbot по странам, которое мы зафиксировали в ноябре с помощью ESET LiveGrid.



Hesperbot имеет модульную архитектуру и через файлы конфигурации позволяет злоумышленникам ориентировать вредоносный код на новые системы онлайн-банкинга. С использованием этого файла конфигурации вредоносному коду отдаются определенные инструкции, например, какие URL-адреса модуль снятия данных с форм (form grabber) должен игнорировать. Т. е. при встрече такого URL в HTTP POST запросе, этот модуль не будет выполнять специальные действия по краже вводимых в веб-формы пользователем данных с целью получения информации об аккаунтах онлайн-банкинга/кредитных картах и передаче их злоумышленникам. Другой список адресов используется для определения ситуаций срабатывания модуля захвата видео (может использоваться как средство обхода виртуальных клавиатур и помогает оператору ботнета наблюдать за балансом банковского счета жертвы без необходимости входа в аккаунт онлайн-банкинга). Конфигурационный файл также содержит веб-инъекции, в схожем с Zeus и SpyEye формате.

В таблице ниже показаны URL-адреса систем онлайн-банкинга, которые были обнаружены в одном из последних конфигурационных файлов.



Ниже представлен макет веб-формы, с помощью которой злоумышленники пытаются заманить жертву на установку мобильного компонента.





Далее пользователю нужно выполнить соответствующие инструкции по установке.







Ниже представлен настоящий случай веб-инъекции на веб-сайте чешского банка.



Заметьте, что в случае с Hesperbot пользователь продолжает наблюдать значок https соединения в строке адреса браузера. Более подробную информацию об используемых им для этого методах можно прочитать в нашем детальном анализе.

Мы уже описывали различные модули Hesperbot в нашем предыдущем анализе. Последняя версия вредоносного кода теперь использует два новых модуля. Первый называется gbitcoin и пытается красть следующие файлы:

— %APPDATA%\Bitcoin\wallet.dat
— %APPDATA%\MultiBit\multibit.wallet

Эти файлы используются как хранилища средств Bitcoin и хранят секретные ключи для клиентов Bitcoin и MultiBit. При нынешней высокой стоимости валюты Bitcoin, такое решение по добавлению подобного модуля является вполне понятным. Несколько советов по тому как безопасно использовать биткоины можно найти на нашем англоязычном блоге, а также на Bitcoin wiki.

Второй добавленный злоумышленниками модуль даже более интересен чем первый. Активность этого модуля определяется конфигурационным файлом Hesperbot. Если в нем присутствуют соответствующие записи, то модуль может выполнять следующие действия:

  • Останавливать все потоки в необходимом процессе, а также скрывать все его видимые окна.
  • Показывать пользователю специальные сообщения с использованием функции MessageBox.
  • Блокировать сетевое взаимодействие через перехват функций recv, WSARecv, send, WSASend из библиотеки ws2_32.dll на определенное время.



Рис. Перехватываемые Hesperbot сетевые функции.


Рис. Перехватываемые Hesperbot сетевые функции.

В таком случае перехватываемые функции будут возвращать ошибку WSAEACCESS. Для реализации перехватов Hesperbot использует вспомогательный модуль sch_mod.

Пока мы не смогли обнаружить конфигурационных файлов, которые активируют эту новую функциональность. Возможная цель использования таких обработчиков заключается в блокировании работы отдельных банковских приложений, над которыми троянская программа не может получить управление. Такая практика может подтолкнуть пользователя к использованию веб-интерфейса браузера, который уже скомпрометирован вредоносным кодом.

Нам удалось обнаружить панель управления C&C Hesperbot.



Скриншот выше показывает различные банки для стран, на которые нацелен Hesperbot, и количество успешных установок мобильного компонента. Как упоминалось ранее, злоумышленники заманивают жертв на страницу установки мобильного компонента через веб-инъекции на сайты систем онлайн-банкинга. Панель управления, показанная выше, может предоставить статистику по турецким, австралийским и немецким ботнетам.

Заключение

Злоумышленники, использующие Hesperbot, были очень активны в последнее время, поэтому можно ожидать соответствующих финансовых потерь для клиентов банков. Мы продолжаем отслеживание активности Hesperbot и будем держать вас в курсе дальнейших событий.
Tags:
Hubs:
Total votes 8: ↑8 and ↓0 +8
Views 3.4K
Comments Comments 1

Information

Founded
Location
Словакия
Website
www.esetnod32.ru
Employees
1,001–5,000 employees
Registered