Rosyjscy hakerzy instalują trojana Kelihos przeciwnikom Rosji

Jak informuje Bitdefender, samozwańczy hakerzy z Rosji instalują szkodliwe oprogramowanie rządom zachodniej Europy i Stanów zjednoczonych służące do kradzieży danych przez oprogramowanie udające antywirusa Bitdefendera. Badacze z  Bitdefender Labs przeanalizowali jedną z ostatnich fal szkodliwego spamu i zauważyli, że wszystkie spamowe próbki prowadzą do pliku setup.exe znajdują sie na różnych serwerach w wielu krajach o unikalnych adresach IP. A co najdziwniejsze, ponad 40 procent zainfekowanych serwerów znajduje się na terenie Ukrainy. 

Hakerzy kierują swoje działania w osoby, które jawnie wspierają Ukrainców i sprzeciwiają się rosyjskiej propagandzie. Ofiara, po kliknięciu w łącze do pliku wykonywalnego pobiera trojana znanego jako Kelihos. Trojan łączy się z serwerem C2 i pobera swoje dalsze instrukcje poprzez wymianę zaszyfrowanych wiadomości za pośrednictwem protokołu HTTP. Osoby, które dostały taką wiadomość i kliknęły w link, dołączają do botnetu znajdującego się na terenie Ukrainy.

Trojan Kelihos do monitorowania ruchu użytkownika wykorzystuje 3 pliki: npf.sys, packet.dll i wpcap.dll. W zależności od rodzaju ładunku, Kelihos możne wykonać jedną z następujących czynności:

  • Komunikować się z innymi komputerami zombii
  • Wykradać portfele Bitcoin
  • Rozsyłać spam
  • Wykradać poświadczenia FTP i e-mail, ale także dane zapisane przez przeglądarkę
  • Pobierać i wykonać inne szkodliwe pliki w systemie
  • Monitorować ruch w protokole FTP, POP3 i SMTP

Analityk Bitdefendera, Doina Cosovan powiedział, że sposób w jaki działają hakerzy jest przemyślany, bowiem całą winę mogą zrzucić na Ukrainców, gdyż to w większości na ich terenie znajdują się serwery rozprzestrzeniające trojana.

Hakerzy, by przekonać wielu użytkowników o autentyczności (fałszywego) antywirusa Bitdefendera twierdzą, że ich program działa w trybie cichym (jest niewidoczny dla użytkownika, to inaczej niż prawdziwy Bitdefender) i wykorzystuje nie więcej niż 10 do 50 megabajtów ruchu w ciągu dnia, oraz prawie nie wykorzystuje procesora.

"Aby skorzystać z naszego antywirusa, należy wyłączyć oprogramowanie antywirusowe w tym czasie."

Oczywiście wyłączenie programu antywirusowgo nie jest wskazane. Zamiast tego, należy zainstalować najnowszą wersję jaką ma producent, zaktualizowanać sygnatury oraz aplikacje firm trzecich (szkodliwe programy najczęściej korzystają z luk znalezionych w nieaktualizowanym oprogramowaniu).

Botnet Kelihos odkryto cztery lata temu. Służy on przede wszystkim do rozsyłania spamu i kradziezy bitcoinów. Botnet ma strukturę sieci peer-to-peer, poszczególne węzły mogą pełnić rolę serwerów C2i dla całego botnetu, zwiększając jego trwałość.

W styczniu 2012 nowa wersja botnetu Kehilios została odkryta przez Microsoft, a jego autora postawiono w stan oskarżenia.

źródło: Bitdefender



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.