Μην ξεχνάτε να μας επισκεφτείτε στην σελίδα μας στο Facebook πατώντας στο https://www.facebook.com/Mpes.Sto.Internet.Me.Aleksisfairo κάνοντας Like για να ενημερώνεστε εύκολα και γρήγορα για θέματα που αφορούν την ασφάλεια σας αλλά και την ασφάλεια των παιδιών σας στο διαδίκτυο αλλά και για να μαθαίνετε για τις απάτες και τα ψέματα που κυκλοφορούν στο διαδίκτυο . Συμβάλουμε όλοι στην ενημέρωση των συνανθρώπων μας , μαθαίνουμε για τα ψέματα και τις απάτες στο ίντερνετ , μαθαίνουμε να χρησιμοποιούμε σωστά το διαδίκτυο , προστατεύουμε τα παιδιά μας και εμάς . Η προστασία των χρηστών αποτελεί κοινή ευθύνη. Η χρήση των καλύτερων τεχνολογιών και τεχνικών ασφαλείας είναι προς όφελος όλων . Για οποιαδήποτε απορία μπορείτε να κάνετε αίτημα φιλίας και στο προφίλ της σελίδας αυτής στο Facebook πατώντας ΕΔΩ αλλά και να μπείτε και στην ομάδα μας στο Facebook για απορίες , διάλογο κ.α πατώντας ΕΔΩ
Το παρακάτω κείμενο αναδημοσιεύετε απο την φιλική σελίδα Www.SecNews.Gr
Ένα μεγάλο ευχαριστώ στο Www.SecNews.Gr για την βοήθεια τους .
Πριν μερικές ημέρες και πρώτοι από όλους, οι φίλοι μας στην γνωστή ιστοσελίδα www.safer-internet.gr μας απέστειλαν το δείγμα από έναν νέο ιό που κυκλοφορούσε στο Facebook και είχε περιέλθει σε γνώση τους. Συγκεκριμένα όπως ανέφερε η σχετική ενημέρωση, ο εν λόγω ιός διαδιδόταν μέσω χρηστών του Facebook,με επισυναπτόμενα αρχεία Ελληνικής ονοματοθεσίας, κάτι που μας κίνησε εξαρχής ιδιαιτέρως την περιέργεια!
Σύμφωνα με αναφορές των συνεργατών μας στο www.safer-internet.gr δεκάδες χρήστες έχουν πέσει θύματα της επίθεσης και κάνεις δεν έχει προβεί σε ενημέρωση για τον τρόπο αποπομπής του κακόβουλου λογισμικού, μη μπορώντας να γνωρίζουν τι ακριβώς κάνει! Ο ρυθμός διάδοσης του ιού, σύμφωνα με ασφαλέστατες πληροφορίες είναι 12 χρήστες εντός 5 λεπτών!!! To SecNews, με αυξημένο αίσθημα κοινωνικής ευθύνης αναφορικά με την προστασία του συνόλου των ανυποψίαστων χρηστών,πραγματοποίησε πλήρη ανάλυση του ιού, προσδιορίζοντας την ακριβή του λειτουργικότητα και τρόπους προστασίας!
Πως ξεκινά η επίθεση
Το θύμα λάμβανε ένα ή περισσότερα μηνύματα φαινομενικά προερχόμενα από φίλους του με επισυναπτόμενα αρχεία ή/και συνδέσμους link με υποτιθέμενο ενδιαφέρον περιεχόμενο. Σε διαρκή επικοινωνία που είχαμε με τους διαχειριστές της ιστοσελίδας www.safer-internet.gr έφτασε στα χέρια μας ο σχετικός σύνδεσμος της επίθεσης, Screenshots του οποίου μπορείτε να δείτε παρακάτω.
Η τεχνική ομάδα του SecNews αλλά και εξωτερικοί υποστηρικτές-ερευνητές ασφάλειας (ευχαριστούμε θερμά των ερευνητή ασφάλειας MCMC), πραγματοποιήσαν μια πολύωρη ανάλυση του κακόβουλου λογισμικού, την οποία και παραθέτουμε μαζί με τα συμπεράσματα που προέκυψαν. Σημείωση: Τα ονόματα που αναφέρουμε μπορεί να διαφέρουν μιας και παρατηρήθηκαν διαφορετικές versions του κακόβουλου λογισμικού με την ίδια όμως λειτουργικότητα!
Πρώτο επίπεδο επίθεσης (1st stage)
Μόλις ο ανυποψίαστος χρήστης πραγματοποιήσει λήψη του συμπιεσμένου αρχείου (.rar) με το “ενδιαφέρον” υποτιθέμενο περιεχόμενο, δεν παρατηρεί τίποτα το παράδοξο. Εντός αυτό βρίσκεται το αρχείο “Watch This!!!.vbs” (visual basic script). Το αρχείο έχει τις παρακάτω εντολές:
Πατώντας “klik” στο WatchThis για να δεί το υποτιθέμενο ενδιαφέρον αρχείο, πραγματοποιείτε λήψη πρόσθετου λογισμικού από ιστοσελίδα των hackers. Με αυτό τον τρόπο επιτυγχάνουν τον μη εντοπισμό του κακόβουλου λογισμικού από τα antivirus/antimalware, μιας και το VBScript είναι αρχείο κειμένου, που χρησιμοποιεί νόμιμες εντολές των Windows για λήψη αρχείων. Όλα τα πρόσθετα αρχεία τοποθετούντε στον φάκελο “MyFolderakis”, κατεβάζοντας από το flappy-facebook.com. Άρα:
- Κατεβάζει από ιστοσελίδες που διαθέτουν οι hackers ένα zip αρχείο.Όλα περιέχουν την ίδια backdoor αλλά έχουν διαφορετικά ονόματα για αποπροσανατολισμό.
- H λήψη πραγματοποιείται από μία από τις 10 τυχαίες IP διευθύνσεις ιστοσελίδων που έχουν δημιουργήσει γιαυτό το σκοπό οι hackers.
- Αποσυμπιέζει το αρχείο, ελέγχοντας αν αποσυμπιέστηκε επιτυχώς το κύριο αρχείο-malware
- Εκτελεί το run.bat
Το αρχείο που λαμβάνετε είναι το content.zip.
Έτσι η επίθεση προχωράει επιτυχώς στην δεύτερη φάση.
Δεύτερο επίπεδο επίθεσης (2nd stage)
Έχουμε περάσει στο δεύτερο στάδιο της επίθεσης όπου τα αρχεία έχουν τοποθετηθεί εν αγνοία του χρήστη στον υπολογιστή του.
Εκτελείτε το run.bat. Δείτε τι κάνει το αρχείο αυτό:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
@ECHO OFF
IFEXIST“%CommonProgramFiles(x86)%\java”gotojavaexists
IFEXIST“%CommonProgramFiles%\java”gotojavaexists
:installjava
start/w%SYSTEMDRIVE%\MyFolderakis\jre–8u5–windows–i586–iftw.exe/s
if%ERRORLEVEL%==0gotojavaexists
echo Please do not close this or windows installation will be corrupted…
echo Loading…
gotoinstalljava
:javaexists
start%SYSTEMDRIVE%\MyFolderakis\sapsalo.jar
|
To script ελέγχει αν στον υπολογιστή του χρήστη βρίσκεται εγκατεστημένη η Java. Αν βρεθεί εγκατεστημένη Java προχωρά στην εκτέλεση του sapsalo.jar (σ.σ WTF Σάψαλο????). Αν δεν βρεθεί εγκατεστημένη Java την εγκαθιστά. Η εγκατάσταση γίνεται αθόρυβα χρησιμοποιώντας την παράμετρο /s. Έτσι διασφαλίζουν ότι η εκτέλεση του κεντρικού Malware sapsalo.jar θα εκτελεστεί σίγουρα, ακόμα και στην περίπτωση που η Java δεν προϋπήρχε στον υπολογιστή.
Ανάλυση του ΣΑΨΑΛΟΥ! (sapsalo.jar)
Σάψαλο ως γνωστό σημαίνει το ερείπιο. Αναφορικά με ανθρώπους όμως η πιο κοινή χρήση της λέξης είναι για να περιγράψει κακοβούλως ανθρώπους μιας κάποιας ηλικίας. Λίγο παράδοξο δε νομίζετε, μια τόσο χαρακτηριστική και ιδιότυπη Ελληνική λέξη, χωρίς προέλευση από αντίστοιχη ξένη γλώσσα, να χρησιμοποιηθεί από hackers του εξωτερικού!
Η ανάλυση του ΣΑΨΑΛΟΥ κατέληξε ότι κύριος στόχος του ιού είναι ο browser/περιηγητής ιστοσελίδων του χρήστη.
- Το κακόβουλο λογισμικό αντιγράφει τον εαυτό του στο “Startup” φάκελο του υπολογιστή. Έτσι σε κάθε επανεκκίνηση εγκαθιστά τον εαυτό του. Ακόμα και αν το διαγράψετε θα το ξαναβρίσκετε στον browser σας.
- Τοποθετεί επίσης ένα αντίγραφο του στον φάκελο Chrome, με όνομα ext_folder.zip.
- Πραγματοποιεί λήψη του ourt.json (Παρακάτω)
Ουσιαστικά αυτό είναι και το εντυπωσιακό σημείο κώδικα της κακόβουλης εφαρμογής. Πραγματοποιεί εγκατάσταση κακόβουλου Plugin στον browser του χρήστη με την ονομασία Flash Player (που κανένας φυσικά δεν θα διέγραφε μιας και το θεωρεί απαραίτητο για την θέαση ιστοσελίδων! Η εγκατάσταση πραγματοποιείται τόσο σε Browser Chrome αλλά και σε Firefox!
Ανάλυση του “ψεύτικου” Flash Plugin
Η τεχνική ανάλυση του Plugin είναι ιδιαίτερα περίπλοκη. Θα σταθούμε μόνο στα πολύ ιδιαίτερα σημεία που υποδεικνύουν την χρήση του κακόβουλου λογισμικού.
- Αναφέρετε σαφώς συγκεκριμένο Google Analytics code, το UA-49290687-2.
- Ο κώδικας πραγματοποιεί λήψη λίστας διαφημίσεων απo URL τις οποίες και τοποθετεί στο Facebook page. Σαφώς δηλαδή γίνετε εμβολή διαφημίσεων (injection) στον browser του χρήστη εν αγνοία του μέσω του Plugin, κερδίζοντας χρήματα μέσω clicks και views. Ιδιαίτερη σημασία έχει η ελληνική ονοματοθεσία μεταβλητών! (πχ gegonos, diafimiseis sto fb) υποδηλώνοντας σαφώς ότι πρόκειται για Έλληνες εμπνευστές και εκτελεστές της συγκεκριμένης απάτης!
Σε άλλο σημείο του κώδικα, ρουτίνα λαμβάνει την λίστα φίλων του χρήστη στο Facebook και πραγματοποιεί Like σε προκαθορισμένες σελίδες. Μέσω του Google Analytics code που εντοπίσαμε παραπάνω, οι hackers γνωρίζουν σε ποιον αποστείλατε το κακόβουλο μήνυμα, που έγινε η διασπορά του λογισμικού. Επιπλέον γνωρίζει σε ποιους έχει αποσταλεί το attachment και ποιοι το εκτέλεσαν!
Το σύνολο του κώδικα προς λήψη και ανάλυση από φίλους της ιστοσελίδας είναι διαθέσιμο και όσοι το θέλουν μπορούν να επικοινωνησουν με την σελίδα στο info παπάκι safer-internet.gr
Πρόσθετα στοιχεία του SecNews – ΑΜΕΣΗ ΕΡΕΥΝΑ
Το ιδιαίτερα εντυπωσιακό είναι ότι το malware ΔΕΝ πραγματοποιεί κάποια κακόβουλη υποκλοπή κωδικών. Σύμφωνα με τα στοιχεία που έχουμε στην διάθεσή μας η δημιουργία του έγινε ΑΠΟΚΛΕΙΣΤΙΚΑ από Έλληνες προγραμματιστές/hackers με σκοπό τα κέρδη μέσω διασποράς διαφημίσεων. Πρέπει να διερευνηθεί ΑΜΕΣΑ από τις αρχές αν η συγκεκριμένη ανάπτυξη λογισμικού έγινε από μεμονωμένα πρόσωπα για προσωπικό όφελος ή από ιδιοκτήτες ιστοσελίδων με σκοπό την μαζική αποκομιδή κερδών.
Ο τρόπος ανάπτυξης του κώδικα υποδηλώνει υψηλή γνώστη προγραμματισμού με χαρακτηριστικά διασποράς ιου, απόκρυψης από Antivirus και γενικότερα εξαιρετικά χαρακτηριστικά που δεν έχουμε συναντήσει ξανά. Δεν είναι σαφές αν έχει αναπτυχθεί από ένα ή περισσότερα άτομα.
Ο ερευνητής-φίλος της ιστοσελίδας MCMC εντόπισε επιπλέον κάποια domains που πραγματοποιούν διασπορά του λογισμικού (ΜΗΝ ΚΑΝΕΤΕ ΛΗΨΗ ΤΩΝ ZIP)
Τα domains όπως αναφέρει είναι registered από την domainsbyproxy.com , οι οποίοι κάνουν register domains και κρατούν την ανωνυμία του owner ενώ έχουν την ίδια αρχική σελίδα και τρόπο δόμησης (κενά sites με paths με malware). Οι αρχές οφείλουν να διερευνήσουν ΑΜΕΣΑ τα παραπάνω domains ώστε να εξακριβώσουν την προέλευση της διασποράς αλλά και τους δημιουργούς του λογισμικού. Ήδη τα θύματα είναι εκατοντάδες, σύμφωνα με τις μέχρι τώρα εκτιμήσεις. Πρέπει να εξακριβωθεί αν τα ανωτέρω sites χρησιμοποιήθηκαν εν αγνοία των ιδιοκτητών τους ως διασπορείς του malware ή αυτές καθεαυτές οι ιστοσελίδες δημιουργήθηκαν εξ αρχής από τους hackers-ηλεκτρονικούς απατεώνες. Επιπλέον οι ISP’s πρέπει ΑΜΕΣΑ να πραγματοποιήσουν περιορισμό πρόσβασης στις ως άνω ιστοσελίδες!
Απομάκρυνση του ιού
Η τεχνική ομάδα του SecNews χαρακτηρίζει μετά την ανάλυση, τον κώδικα ως ιδιαιτέρως έξυπνο και αποτελεσματικό, με χρήση πολλαπλών τεχνολογιών ! Παρ’ ολαυτα υπάρχουν ελλείψεις που ο/οι προγραμματιστές , δεν πρόσεξαν υποδηλώνοντας το γνωστικό επίπεδο των δημιουργών. Για παράδειγμα αν ο υπολογιστής έχει έναν φάκελο “MyFolderakias” το script θα σταματήσει την εκτέλεσή του! Επιπλέον έχουν παρατηρηθεί σφάλματα κατά την εγκατάσταση της Java σε περίπτωση μη ύπαρξής της. Τέλος ο σχεδιασμός του ιου στοχοποιεί κυρίως Windows 7 και όχι XP (!) Η απομάκρυνση του ίου είναι (παραδόξως) ιδιαιτέρως απλή!
- Αφαιρείτε το plugin από τον Browser ( Firefox: https://support.mozilla.org/en-US/kb/disable-or-remove-add-ons Chrome: https://support.google.com/chrome/answer/113907?hl=en. Ελέξγτε για ύπαρξη plugins/Extensions με την ονομασία Flash ή που δεν αναγνωρίζετε
- Αφαιρείτε από το startup folder το αρχείο JAR που έχει προστεθεί. (Δείτε σχετικά http://www.wikihow.com/Change-Startup-Programs-in-Windows-7)
Το SecNews ευχαριστεί το www.safer-internet.gr και τον ανεξάρτητο ερευνητή ασφάλειας MCMC για την έγκαιρη, έγκυρη και αντικειμενική ενημέρωση.
Αναδημοσιευση άρθρου απο το SecNews.Gr και εμεις με την σειρά μας να τους ευχαριστησουμε
SecNews : https://www.facebook.com/SecNews
Safer-Internet.Gr : https://www.facebook.com/Mpes.Sto.Internet.Me.Aleksisfairo
Θέλετε να ενημερώνεστε για όλα τα τελευταία άρθρα μας για την ασφάλεια σας στο ιντερνετ , τις απάτες και τα ψέματα του ίντερνετ, γρήγορα και εύκολα ; Επισκεφτείτε τη σελίδα μας στο facebook πατώντας ΕΔΩ και ενισχύστε μας πατώντας Like (μου αρέσει) ή μπείτε στην ομάδα μας πατώντας ΕΔΩ ή ακόμα και αίτημα φιλίας στο προφίλ στο Facebook πατώντας ΕΔΩ
