Напоминание: будьте осторожны, открывая счета на оплату 21 марта Бен Годвуд Эксперт «Лаборатории Касперского» опубликовано 20 мар 2013, 13:24 MSK Сюжеты: JavaScript, Email, электронная почта, Уязвимости и эксплойты http://www.securelist.com/ru/blog/207764513/Napominanie_budte_ostorozhny_otkryvaya_scheta_na_oplatu_21_marta Четвертого марта мы обнаружили, что наш продукт Linux Mail Security блокирует большое число необычных сообщений. Все письма содержали одно и то же вложение в формате PDF (MD5: 97b720519aefa00da58026f03d818251), однако были отправлены с разных электронных адресов. Электронные письма были написаны по-немецки, причем большая часть из них была отправлена с немецких IP-адресов. На карте ниже показано географическое распределение этих адресов: Указанные в заголовках сообщений имена компьютеров часто имели вид Andreas-PC или Kerstin-Laptop (имена изменены с целью защиты невинных жертв). Это говорит о том, что письма были отправлены с домашних компьютеров немецких пользователей. Вот пример такого сообщения: Пример сообщения Имена вложенных PDF-файлов имеют форму «Mahnung имя получателя.pdf” (Mahnung по-немецки означает «напоминание» или «требование об уплате долга»). Эти вредоносные файлы содержат эксплойт для уязвимости CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). Они были заблокированы с помощью технологии Kaspersky ZETA Shield и детектировались как Exploit.JS.CVE-2010-0188.e. Эксплойт обнаружить непросто, поскольку он спрятан под двумя слоями JavaScript. Первый слой Javascript Второй слой Javascript Расшифрованный шелл-код Второй слой очень похож на JavaScript, который использовали обнаруженные в прошлом году эксплойты, входящие в набор BlackHole. При успешном срабатывании эксплойта загружается исполняемый файл с адреса seodirect-proxy.com/adobe-update.exe. Загруженная вредоносная программа (MD5: 3772e3c2945e472247241ac27fbf5a16) детектируется продуктами «Лаборатории Касперского» как Trojan.Win32.Yakes.cngh. Она содержит текстовые строки на итальянском языке (lastoriasiamo, famiglia, badalamenti, impastato), которые, возможно, имеют отношение к мафии. Она также выдает следующую информацию о своей версии: По-видимому, в данном случае BTP — это итальянские государственные облигации, Bund — немецкие государственные облигации, а Spread BTP/Bund — величина, отражающая разницу в доходности между теми и другими. При запуске вредоносная программа выдает следующее сообщение об ошибке: Затем она устанавливается в папку temp под случайно выбранным именем (например, vlsnekunrn.pre) и пытается установить соединение с zeouk-gt.com. Прошлое Просматривая наши данные по заражениям за прошедшие периоды, мы обнаружили, что в прошлом аналогичные рассылки имели место 4 и 21 числа некоторых месяцев. Февраль 2013 года 21 февраля мы заблокировали большое число электронных писем, содержащих очень похожее вложение в формате PDF. В данном случае имена файлов вложений содержали слово Rechnung (счет на оплату) и дату (например, Rechnung_201302.pdf или 2013_02rechnung.pdf). Компьютеры отправителей находились в самых разных странах — в частности, в ЮАР, США, Австралии и Японии. В тот раз имена компьютеров, указанные в заголовках писем, были сгенерированы случайным образом (например, ydopsgf и bxahwdkw). Что интересно, в заголовках сообщений присутствовали также ссылки на домен zeus3.hostwaycloud.com. Расшифрованный код этого эксплойта на JavaScript был почти идентичен показанному выше образцу, однако вредоносная программа загружалась с нескольких URL-адресов: allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe corcagnani.de/host.exe kkc-hannover.de/modules/mod_search/helper.exe capital-success.de/pg/helper.exe Январь 2013 года В рассылке от 4 января файл вредоносной программы назывался Rechnung201301.pdf и загружался со следующих URL-адресов: kohnle-gros.de/css/styleneu.exe fairdealshop.co.uk/modules/mod_newsflash/helper.exe emct.org.uk/downloads/server-stats.exe Ноябрь 2012 года В рассылке от 21 ноября вредоносный файл назывался RECHNUNG000201211.pdf и загружался со следующих адресов: rocketmou.se/stuff/corduroyshop/corduroyshop.exe coachplay.co.il/mapa/images/mapa.exe Будущее По всей видимости, это прекрасно организованная кампания, которая будет продолжаться и дальше. Поэтому будьте особенно осторожны, получив счет на оплату 21 марта или 4 апреля. Хотя, с другой стороны, авторы вполне могут поменять дату «выставления счетов», так что осторожность не повредит и в другие дни.
