Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Перенаправление трафика на вредоносные площадки пресечено подменой ключевого сервера в сети взломанных сайтов.
Совместные усилия Proofpoint, Abuse.ch и канадского исследователя V1rgul3 (@Secu013) увенчались успехом: инфраструктура EITest, которая долгое время использовалась для распространения зловредов через эксплойт и загрузки drive-by, нейтрализована.
Исследователям удалось подменить ключевой сервер в обширной сети скомпрометированных сайтов и эффективно пресечь внедрение редиректоров, перенаправляющих пользователей на вредоносные площадки в объеме до 2 млн событий в сутки.
Известная как EITest мошенническая схема, аналогичная Darkleech и псевдо-Darkleech, активно использовалась с целью привлечения трафика на вредоносные страницы в течение нескольких лет. В Proofpoint также обнаружили свидетельства существования этой инфраструктуры еще в 2011 году — на тот момент внедренные на сайты вредоносные скрипты перенаправляли посетителей только на лендинг-страницы набора эксплойтов Glazunov, которым эксклюзивно пользовались операторы EITest.
В 2014 году они начали продавать трафик, и эта услуга вошла в обиход операций Angler, а затем и других эксплойт-паков. Таким образом, EITest неоднократно оказывалась причастной к распространению вымогательского ПО, программ, предназначенных для хищения информации, и других зловредов. Когда эксплойт-паки стали терять популярность, инфраструктура EITest перешла на обслуживание мошеннических схем, основанных на социальной инженерии, а также команд ложной техподдержки.
Новый всплеск вредоносной активности, связанной с EITest, был зафиксирован в середине января. При отработке JavaScript в браузере Chrome стали появляться всплывающие уведомления с призывом установить якобы отсутствующий шрифт HoeflerText. Тестирование, проведенное V1rgul3, показало: если пользователь согласится на обновление, на его машину загрузится троян-кликер CliCool (в Symantec его называют Fleercivet).
Как впоследствии выяснилось, это не единственная полезная нагрузка, раздававшаяся в рамках новой киберкампании с помощью EITest: в зависимости от используемого жертвой браузера ей могли также через эксплойт загрузить шифровальщик (Cerber, CryptoMix, Spora) или DDoS-бот Madness.
Последний, согласно рекламе на подпольных форумах, совместим со всеми Windows NT (32 и 64 бит) и умеет проводить атаки семи разных типов, в том числе Slow GET и Slow POST. Продавцы также отмечают, что Madness способен отправлять более1,5 тыс. HTTP-запросов и свыше 30 тыс UDP-запросов в минуту, одновременно атакуя до 10 мишеней.
Вредоносные php-коды, с которых начинается цепочка заражения, на тот момент были обнаружены на 5,7 тыс сайтов; более половины этих ресурсов использовали CMS-систему WordPress. Каким образом осуществлялся взлом, остается только догадываться.
V1rgul3 склонен считать, что в случае с WordPress злоумышленники применяли брутфорс или использовали уязвимости в плагинах. Некоторые сайты Joomla использовали устаревшую версию CMS и, по всей видимости, были необитаемы. На таких ресурсах все файлы .php оказались зараженными.
По свидетельству V1rgul3, внедряемый в сайты вредоносный php-скрипт защищен восемью слоями обфускации, и администратору зараженного ресурса трудно его обнаружить, если зловред никак себя не проявляет. При заходе потенциальной жертвы на сайт он регистрирует данные (используемый браузер, HTTP-реферер, HTTP-хост, IP-адрес) и отсылает их на шлюз EITest, который должен дать отмашку на продолжение атаки.
Если вход осуществлен через Internet Explorer, Firefox, или Chrome в десктопной либо Android-версии, в HTML-страницу контролируемого злоумышленниками сайта внедряется загруженный со шлюзового сервера контент — скрипт, создающий iframe-редиректор.
В том случае, когда жертва использует Chrome, эти манипуляции влекут скрытую загрузку CliCool. Браузер IE перенаправляется на лендинг-страницы эксплойт-пака RIG, использующие уязвимость CVE-2013-2551 или CVE-2015-5122 для доставки вымогателя (или DDoS-зловреда).
Примечательно, что запросы к шлюзам EITest осуществляются с использованием имени, сгенерированного по алгоритму DGA. Некоторые из DGA-доменов, зафиксированных в январе, оказались уже зарегистрированными японскими исследователями, которые контролировали их, совершив подмену по методу sinkhole.
В марте команде борцов с EITest удалось определить зерно этого DGA, сгенерировать четыре новых домена и перенаправить все запросы к ключевому серверу EITest на подставной, выделенный для этих целей Abuse.ch. За три недели sinkhole-шлюз получил около 44 млн запросов с 52 тыс. серверов США, Австралии и Юго-Восточной Азии.
Расшифровка запросов позволила исследователям составить список скомпрометированных сайтов и IP-адресов посетителей. Согласно статистике, представленной в блоге Proofpoint, наибольшее количество обращений поступило из США (порядка 7,3 млн), Украины (более 4,7 млн) и Китая (свыше 3,7 млн). Россия заняла в этом рейтинге шестое место с показателем 2 млн. Подавляющее большинство забэкдоренных сайтов используют CMS-систему WordPress.
Операторы EITest никаких ответных мер пока не приняли. Чтобы они не попытались восстановить контроль над частью взломанных сайтов, собранная информация была передана заинтересованным CERT, и те уже запустили кампанию по очистке.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |