Исследователь выявил массовый "профессиональный воровской" ботнет
Свирепая вредоносная программа, которая заражает до миллиона компьютеров, крадет "огромное" количество финансовой информации у потребителей и компаний, которые входят в свой банк, биржевого брокера, кредитную карту, страховку, поиск работы и любимые сайты электронных покупок, сказал сегодня известный исследователь ботнетов.
"Clampi-это самые профессиональные воровские части вредоносных программ, которые я когда-либо видел", - сказал Джо Стюарт, директор отдела исследований вредоносных программ отдела по борьбе с угрозами SecureWorks. -Мы знаем немного других, столь же сложных и обширных. Это оказывает реальное влияние на пользователей."
Троянский конь Clampi заразил где-то от 100 000 до 1 миллиона ПК с Windows, сказал Стюарт - "У нас нет хорошего способа подсчета на данный момент", - признал он-и нацелен на учетные данные пользователей 4500 веб-сайтов.
Это поразительная цифра, сказал Стюарт, который идентифицировал 1400 из 4500 всего. "Существует множество других банковских троянов, но они обычно нацелены только на 20 или 30 сайтов."
Хакеры прокрадываются Clampi на ПК, обманывая пользователя, чтобы открыть вложение файла по электронной почте или используя набор инструментов multi-exploit, который пытается атаковать код для нескольких различных уязвимостей Windows, сказал Стюарт. Оказавшись на компьютере, троянец отслеживает веб-сеансы, и если владелец ПК просматривает один из 4500 сайтов, он захватывает имена пользователей, пароли, пин-коды и другую личную информацию, используемую для входа на эти сайты или для заполнения форм.
Периодически Clampi "телефонирует домой" захваченную информацию на командно-контрольный сервер, управляемый хакерами, которые затем опустошают банковские или брокерские счета, покупают товары, используя украденную информацию о кредитных картах, или просто компилируют ее для дальнейшего использования, сказал Стюарт.
Хотя это описывает большинство вредоносных программ для регистрации ключей или шпионажа, Стюарт сказал, что Clampi отличается как из-за очевидного масштаба его работы, так и из-за множества уровней шифрования и обмана, используемых его создателями для маскировки кода атаки и почти невозможности для исследователей исследовать его работу.
Стюарт начал отслеживать Клампи в 2007 году, но начал интенсивное обследование в начале этого года. "Упаковка, которую использует Клампи, очень сложна и делает ее очень, очень трудной для обратного проектирования, - сказал Стюарт. "Я бы сказал, что это самая сложная часть вредоносной программы, которую я когда-либо видел, чтобы перепроектировать."Исследователи безопасности часто проводят обратное проектирование вредоносных программ-разбирают их на части, чтобы попытаться расшифровать, как они работают-во время своих исследований.
"Они используют пакеры на основе виртуальных машин, которые позволяют им брать код из набора команд виртуального процессора, так что в следующий раз, когда он будет упакован, он будет совершенно другим", - сказал Стюарт. - На Клампи нельзя смотреть обычным инструментом, вроде отладчика. Честно говоря, это настоящий беспорядок."
Троян также шифрует трафик между захваченными системами и сервером управления ботнетом с помощью нескольких методов, сказал Стюарт. Мало того, что сетевой коммуникационный трафик зашифрован в 448-битном шифровании blowfish, но и строки внутри двоичных файлов кода атаки также зашифрованы. Clampi также использует другую необычную тактику, чтобы скрыть от антивирусных сканеров; его модули - есть где-то от четырех до семи различных частей вредоносного ПО-хранятся в виде зашифрованных "больших двоичных объектов" в реестре Windows.
Сам масштаб операции Clampi также отделяет ее от обычного финансового вредоносного ПО, утверждал Стюарт. "Они нацелены не только на банковские сайты, но и на самые разнообразные сайты, где люди вводят учетные данные, которые помогают им каким-то образом украсть деньги", - сказал Стюарт. Среди 1400 сайтов, которые он определил, есть военные информационные порталы, ипотека, страхование, онлайн-казино, коммунальные рекламные сети и новостные сайты. Эти сайты размещены в 70 различных странах.
-Это само по себе говорит об обширной операции на задворках, - сказал Стюарт.
Невозможно сказать наверняка, но все улики указывают на Россию или Восточную Европу как на базу для преступной банды, скачущей стадом по ботнету Clampi. -Похоже, что за ним стоит только одна группа, - сказал Стюарт. "Мы не видим [болтовни об этом] на обычных подпольных форумах, и это одна из причин, почему до сих пор мало или вообще нет освещения о Клампи. Он очень тесно связан, и группа очень скрытна."
На самом деле у Стюарта было мало надежды поймать преступников за спиной Клампи. Командно-контрольные серверы, которые они используют для управления захваченными компьютерами , а также для получения украденных имен пользователей и паролей, не размещаются на коммерческом хостинге, а скрыты внутри отдельных скомпрометированных компьютеров. -Я не думаю, что мы когда-нибудь получим командно-контрольные серверы, - признался Стюарт.
Одна жертва инфекции Clampi, а в результате кражи, которая вышла вперед, - это Slack Auto Parts, в Гейнсвилле, штат Джорджия., который был ограблен почти на 75 000 долларов, согласно статье, опубликованной на прошлой неделе в Washington Post. Совладелец компании Генри Слэк рассказал газете, что вредоносная программа сорвала регистрационную информацию с банковских счетов фирмы, а затем сумела перевести деньги на несколько денежных "мулов" по всей территории США.
Клампи был на слабом ПК больше года, прежде чем контроллеры бота использовали собранную информацию для ограбления банковского счета компании.
Один из способов для бизнеса - и пользователей-загнать в тупик этот ультра-скрытный Троян, сказал Стюарт, - это выполнять любые финансовые задачи на изолированном, тупом компьютере, который используется только для подключения к банкам, брокерам и тому подобному. Этот совет работает, потому что Clampi наиболее эффективно распространяется по сетям компании. Если ему удается заразить один компьютер внутри организации, он использует инструмент Windows SysInternals под названием "PsExec", созданный Microsoft, чтобы скопировать троянца на все машины в домене.
"Clampi может распространяться по сетям Microsoft червеобразным образом", - сказал Стюарт. - Забудь о таких вещах, как Конфикер. Вам лучше ранжировать этот [ботнет] там, наверху, прямо на самом верху."
Дата публикации: "Clampi-это самые профессиональные воровские части вредоносных программ, которые я когда-либо видел", - сказал Джо Стюарт, директор отдела исследований вредоносных программ отдела по борьбе с угрозами SecureWorks. -Мы знаем немного других, столь же сложных и обширных. Это оказывает реальное влияние на пользователей."
Троянский конь Clampi заразил где-то от 100 000 до 1 миллиона ПК с Windows, сказал Стюарт - "У нас нет хорошего способа подсчета на данный момент", - признал он-и нацелен на учетные данные пользователей 4500 веб-сайтов.
Это поразительная цифра, сказал Стюарт, который идентифицировал 1400 из 4500 всего. "Существует множество других банковских троянов, но они обычно нацелены только на 20 или 30 сайтов."
Хакеры прокрадываются Clampi на ПК, обманывая пользователя, чтобы открыть вложение файла по электронной почте или используя набор инструментов multi-exploit, который пытается атаковать код для нескольких различных уязвимостей Windows, сказал Стюарт. Оказавшись на компьютере, троянец отслеживает веб-сеансы, и если владелец ПК просматривает один из 4500 сайтов, он захватывает имена пользователей, пароли, пин-коды и другую личную информацию, используемую для входа на эти сайты или для заполнения форм.
Периодически Clampi "телефонирует домой" захваченную информацию на командно-контрольный сервер, управляемый хакерами, которые затем опустошают банковские или брокерские счета, покупают товары, используя украденную информацию о кредитных картах, или просто компилируют ее для дальнейшего использования, сказал Стюарт.
Хотя это описывает большинство вредоносных программ для регистрации ключей или шпионажа, Стюарт сказал, что Clampi отличается как из-за очевидного масштаба его работы, так и из-за множества уровней шифрования и обмана, используемых его создателями для маскировки кода атаки и почти невозможности для исследователей исследовать его работу.
Стюарт начал отслеживать Клампи в 2007 году, но начал интенсивное обследование в начале этого года. "Упаковка, которую использует Клампи, очень сложна и делает ее очень, очень трудной для обратного проектирования, - сказал Стюарт. "Я бы сказал, что это самая сложная часть вредоносной программы, которую я когда-либо видел, чтобы перепроектировать."Исследователи безопасности часто проводят обратное проектирование вредоносных программ-разбирают их на части, чтобы попытаться расшифровать, как они работают-во время своих исследований.
"Они используют пакеры на основе виртуальных машин, которые позволяют им брать код из набора команд виртуального процессора, так что в следующий раз, когда он будет упакован, он будет совершенно другим", - сказал Стюарт. - На Клампи нельзя смотреть обычным инструментом, вроде отладчика. Честно говоря, это настоящий беспорядок."
Троян также шифрует трафик между захваченными системами и сервером управления ботнетом с помощью нескольких методов, сказал Стюарт. Мало того, что сетевой коммуникационный трафик зашифрован в 448-битном шифровании blowfish, но и строки внутри двоичных файлов кода атаки также зашифрованы. Clampi также использует другую необычную тактику, чтобы скрыть от антивирусных сканеров; его модули - есть где-то от четырех до семи различных частей вредоносного ПО-хранятся в виде зашифрованных "больших двоичных объектов" в реестре Windows.
Сам масштаб операции Clampi также отделяет ее от обычного финансового вредоносного ПО, утверждал Стюарт. "Они нацелены не только на банковские сайты, но и на самые разнообразные сайты, где люди вводят учетные данные, которые помогают им каким-то образом украсть деньги", - сказал Стюарт. Среди 1400 сайтов, которые он определил, есть военные информационные порталы, ипотека, страхование, онлайн-казино, коммунальные рекламные сети и новостные сайты. Эти сайты размещены в 70 различных странах.
-Это само по себе говорит об обширной операции на задворках, - сказал Стюарт.
Невозможно сказать наверняка, но все улики указывают на Россию или Восточную Европу как на базу для преступной банды, скачущей стадом по ботнету Clampi. -Похоже, что за ним стоит только одна группа, - сказал Стюарт. "Мы не видим [болтовни об этом] на обычных подпольных форумах, и это одна из причин, почему до сих пор мало или вообще нет освещения о Клампи. Он очень тесно связан, и группа очень скрытна."
На самом деле у Стюарта было мало надежды поймать преступников за спиной Клампи. Командно-контрольные серверы, которые они используют для управления захваченными компьютерами , а также для получения украденных имен пользователей и паролей, не размещаются на коммерческом хостинге, а скрыты внутри отдельных скомпрометированных компьютеров. -Я не думаю, что мы когда-нибудь получим командно-контрольные серверы, - признался Стюарт.
Одна жертва инфекции Clampi, а в результате кражи, которая вышла вперед, - это Slack Auto Parts, в Гейнсвилле, штат Джорджия., который был ограблен почти на 75 000 долларов, согласно статье, опубликованной на прошлой неделе в Washington Post. Совладелец компании Генри Слэк рассказал газете, что вредоносная программа сорвала регистрационную информацию с банковских счетов фирмы, а затем сумела перевести деньги на несколько денежных "мулов" по всей территории США.
Клампи был на слабом ПК больше года, прежде чем контроллеры бота использовали собранную информацию для ограбления банковского счета компании.
Один из способов для бизнеса - и пользователей-загнать в тупик этот ультра-скрытный Троян, сказал Стюарт, - это выполнять любые финансовые задачи на изолированном, тупом компьютере, который используется только для подключения к банкам, брокерам и тому подобному. Этот совет работает, потому что Clampi наиболее эффективно распространяется по сетям компании. Если ему удается заразить один компьютер внутри организации, он использует инструмент Windows SysInternals под названием "PsExec", созданный Microsoft, чтобы скопировать троянца на все машины в домене.
"Clampi может распространяться по сетям Microsoft червеобразным образом", - сказал Стюарт. - Забудь о таких вещах, как Конфикер. Вам лучше ранжировать этот [ботнет] там, наверху, прямо на самом верху."
Автор: Keylogger.Org Команда
