Amikor a botnet vízumot igényel

2015. február 09. 13:41 - Csizmazia Darab István [Rambo]

Érdekes újfajta kártevőre bukkantak nemrég biztonsági kutatók Lengyelországban. A fertőzött zombigépekből álló botnet hálózat feladata az volt, hogy a lengyelországi beutazáshoz szükséges, és korlátozott számú konzulátusi vízum igénylésénél fehérorosz személyek számára az ehhez szükséges űrlapokat automatikusan kitöltse.

Az ESET szakemberei figyeltek fel arra a furcsa megemelkedett aktivitásra az említett vízumigénylő űrlapok esetében - amelyeket meghatározott időszakonként lehet csak benyújtani.

Az alapos vizsgálat kiderítette, hogy a "MSIL/Agent.PYO" nevű malwarenek - amelyet C# és C++ nyelven készítettek, volt egy klasszikus letöltő modulja, valamint egy külön frissítő és egy távoli kliens komponense is.

A .NET program fő feladata az volt, hogy a tömegesen töltsön ki ilyen vízumigénylő űrlapokat. A .NET program szerkezeti sajátosságának köszönhetően a védelmet nem tartalmazó programokat könnyen vissza lehet alakítani különféle segédprogramok segítségével forrásszintre, így a JustDecompile, dotpeek vagy ILSpy alkalmazásával a programozási osztályok is egyszerűen olvashatóvá válnak.

A Nuclear Exploit Kit segítségével terjesztett és bit.ly átirányítás alatt lévő kártékony linket az adatok tanúsága szerint 6 nap leforgása alatt több, mint 200 ezer gépről kattintották le már négy nappal a vízumbeadási határidő előtt. Maga a botnet egy 300 tagból álló zombihálózat volt, amelynek tagjai szinte kivétel nélkül Fehéroroszországban található fertőzött számítógépek voltak.

Az elemzés azt is kimutatta, hogy az utazás szempontjából csúcsidőszaknak számító Karácsonyi ünnepeket megelőző napokban komoly aktivitás volt tapasztalható, így a folyamatos távoli frissítéseknek köszönhetően háromszor is verziószámot váltott a kártevő.

Öt hét alatt összesen 925 gép vált ennek a zombihálózatnak a részévé. A vizsgálat után az ESET kutatói átadták a begyűjtött részletes információkat mind a lengyel, mind pedig a fehéroroszországi GOV Certeknek, hogy fel tudjanak lépni botnet ellen.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr557155023

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2017.01.09. 18:37:18

Vége van, mint a botnak, illetve ennek a botnetnek, aktualitását vesztette :-)

"Vízum nélkül lehet menni mostantól Fehéroroszországba"
444.hu/2017/01/09/vizum-nelkul-lehet-menni-mostantol-feheroroszorszagba

De nagy ötlet volt, és mélyen tiszteltük benne a kreativitást... ;-)