Rosyjscy hackerzy walczą używając trojana Kelihos

Mając również na względzie aktualny konflikt na Ukrainie, hackerzy wykorzystali sytuację, by wprowadzić w życie swój spam, który miał pomóc w osiągnięciu celu, jakim było rozprowadzenie trojana. Wiadomości były przesyłane głównie do tych, którzy wspierali rosyjską „rację” i nie zgadzali się z sankcjami podjętymi w stosunku do ich kraju. Użytkownicy, którzy kliknęli łącze do złośliwego oprogramowania stawali się bez udziału własnej woli częścią botnetu i pomagali w dalszym rozprowadzaniu zagrożenia.  

Trojan instalował trzy niegroźne pliki używane do monitorowania ruchu sieciowego (WinPcap npf.sys, packet.dll, wpcap.dll), które są zdolne do wydobywania wrażliwych informacji z przeglądarek, ruchu sieciowego i innych osobistych informacji.  

Rosyjskojęzyczni technologowie Bitdefendera

Według rosyjskojęzycznych technologów Bitdefendera w wiadomości zawierającej odnośnik do złośliwego oprogramowania można było przeczytać:   

„Jesteśmy grupą hackerów pochodzącą z Federacji Rosyjskiej, jesteśmy zaniepokojeni niezrozumiałymi dla nas sankcjami, które zostały nałożone przez zachodnie rządy na nasz kraj.”

„Zaprogramowaliśmy naszą odpowiedź na te sankcje i poniżej znajdziecie łącze do naszego programu. Uruchomienie aplikacji na twoim komputerze spowoduje, że zacznie on w ukryty sposób atakować wszystkie agencje rządowe, które przyczyniły się do obecnego stanu.” 

Po kliknięciu łącza, ofiary pobierały wykonywalny plik znany, jako Kelihos. Trojan nawiązywał łączność z centrum dowodzenia i kontroli poprzez wymianę zaszyfrowanych wiadomości wykorzystując protokół HTTP oraz otrzymywał on dalsze informacje. W zależności od typu ładowności, Kelihos jest w stanie:

• Komunikować się z innymi zainfekowanymi komputerami,
• Kraść portfele bitcoinów,
• Rozsyłać wiadomości ze spamem,
• Kraść dane autoryzacyjne FTP i poczty elektronicznej, jak również dane dostępowe do tych kont wprowadzone do przeglądarki,
• Pobierać i wykonywać inne złośliwe pliki oprogramowania na zainfekowanym systemie,
• Monitorowanie ruchu protokołów FTP, POP3 oraz SMTP.  

Analiza Bitdefendera

Laboratoria Bitdefendera po przeprowadzeniu dokładnych analiz jednej z ostatnich fal spamu odnotowali, że wszystkie wiadomości kończyły się rozszerzeniem.eml i prowadziły do odnośników, które kończyły się na /setup.exe oraz były powiązane z 49 niezależnymi adresami IP. Dzięki bardziej szczegółowej ocenie zagrożenia udało się również ustalić, iż co najmniej 40 procent zainfekowanych serwerów znajduje się właśnie na Ukrainie.  

„Niektóre z nich mogą być wyspecjalizowanymi serwerami do dystrybucji złośliwego oprogramowania, a pozostałe zainfekowanymi komputerami, które stały się częścią botnetu Kelihosa.” Komentuje Pracująca dla Bitdefendera w Dziale Analizy Wirusów Doina Cosovan. „Ironią jest to, iż większość zainfekowanych adresów IP pochodzi z Ukrainy. To może oznaczać, że atak był wymierzony w głównej mierze w komputery w tym kraju lub nawet, że same serwery infekujące zostały umieszczone właśnie w tym kraju.”  

Bitdefender finalnie potwierdza to, że blokuje fale złośliwego spamu Trojana Kelihos, chroniąc swoich użytkowników przed zainfekowaniem ich komputerów.  

Aby przekonać o swojej autentyczności większą ilość użytkowników, rosyjscy hackerzy dodali odrobinę marketingowego „brokatu” swojemu przekazowi. Stwierdzili, że ich program pracuje po cichu, zużywając nie więcej niż 10 do 50 megabajtów łącza dziennie i praktycznie nie obciąża procesora.  

Po ponownym uruchomieniu komputera, nasz program zakończy swoje działanie, a jeśli chcesz – możesz go uruchomić ponownie” w spamie pojawiła się również informacja. „Jeśli to konieczne, należy wyłączyć na ten czas oprogramowanie antywirusowe.  

Oczywiście, wyłączenie rozwiązania bezpieczeństwa nie jest za dobrym pomysłem. Zamiast tego, należy je zainstalować i zaktualizować, tak samo, jak inne programy systemu operacyjnego, ponieważ szkodliwe programy najczęściej korzystają z luk znalezionych w oprogramowaniu niezaktualizowanym.  

Znany również, jako Hlux, botnet Kelihos odkryto cztery lata temu. Jest on najczęściej używany do kradzieży bitcoinów i spamowania. Posiada strukturę sieci peer-to-peer, w której poszczególne węzły mogą działać, jako serwery dowodzenia i kontroli dla całego botnetu, zwiększając jego trwałość.  

Nowa wersja botnetu

W styczniu 2012 została odkryta nowa wersja botnetu, co spowodowało, że Microsoft skierował sprawę do sądu z doniesieniem na rosyjskiego obywatela, który był rzekomym twórcą kodu źródłowego w botnetu Kelihos.  

Ten artykuł jest oparty na próbkach spamu dzięki uprzejmości naukowca działu spamu Bitdefender Adriana Miron oraz informacjach technicznych przedstawionych przez Analityka Bezpieczeństwa Bitdefender Diona Cosovan i Alexandru MAXIMCIUC.