Банківський троян ZeuS. Знову почалося.

19/03/2015

 

Майже рік тому фахівцями CERT-UA за сприяння іноземних команд швидкого реагування на комп’ютерні інциденти було вжито заходів з ліквідації «банківської» бот-мережі, побудованої за допомогою однієї з модифікацій шкідливого програмного забезпечення ZeuS (KINS). Станом на квітень 2014 року зазначена бот-мережа налічувала близько 50000 уражених шкідливими програмами комп’ютерів, переважна більшість яких (близько 90 %) знаходились на території України. Зазвичай, жертвами зловмисників були користувачі, на комп’ютерах яких було встановлено програмне забезпечення для онлайн-розрахунків (системи клієнт-банк) і/або бухгалтерського обліку (наприклад, програми 1:С), тобто – українські бухгалтери. Більш детальна інформація наведена в статтях:

 

[FRAUD] Шахрайство в системах клієнт-банк

Шахраї розсилають email’и від імені Міністерства оборони України

Шахрайські електронні листи з посиланнями на віруси

 

Цією статтею маємо на меті поінформувати громадян України про те, що, починаючи з кінця лютого 2015 року, зловмисниками, яких ми асоціюємо з раніше ліквідованою бот-мережею, активізовано зусилля з розсилання електронних поштових листів з вкладеннями, що містять шкідливі програми. При відкритті таких вкладень шкідлива програма «активується». Зазначене відбувається або шляхом експлуатації відомих уразливостей (наприклад, CVE-2012-0158), або з використання недоліків налаштування офісних програм (наприклад, активованої функції автоматичного запуску макросів).

 

Найбільш поширеною (розповсюдженою) назвою шкідливого вкладення є:

dogovor.doc

 

Приклади електронних поштових листів, що розсилаються зловмисниками, наведено на мал. 1-4.

 

z33_0603

Рис. 1

 

 

z31_1103

Рис. 2

 

 

z35_1603

 

Рис. 3 

 

 

z34_1803

Рис. 4

 

 

За результатами вивчення обставин інциденту, а також зразків шкідливих програм, з’ясовано таке.

 

Для комунікації з сервером управління бот-мережею, «банківський троян» використовує такі домени:

 

kiklomenturbopiparooter.com

limbobimbocompany.com

domufintozukbugtope.com

asponanotronmdgoodlit.net (195.238.181.158)

savepic.su (5.9.99.35)

compactpacs.com (81.177.22.96)

upstairsdownup.com (146.185.213.119)

 

Перелік електронних поштових скриньок та IP-адрес відправників, з яких розсилалися шкідливі електронні листи, наведено нижче:

 

lisa-vlasenko15911994[at]mail.ru (195.78.109.223)

veriolga[at]rambler.ru (79.110.18.226)

info[at]udachauspeh.ru (92.249.97.151, 82.193.121.235)

viktor.konoz[at]rambler.ru

 

 

Просимо бути пильними та не відкривати підозрілі листи. У разі отримання підозрілих вкладень, рекомендуємо надсилати їх до CERT-UA (попередньо додавши файл в архів з паролем). Системним адміністраторам рекомендуємо вжити заходів з виявлення можливих наслідків несанкціонованих дій шляхом аналізу мережевих потоків (або лог-файлів) на предмет виявлення в останніх з’єднань з наведеними вище доменами.