Jak informuje Bitdefender, samozwańczy hakerzy z Rosji instalują szkodliwe oprogramowanie rządom zachodniej Europy i Stanów zjednoczonych służące do kradzieży danych przez oprogramowanie udające antywirusa Bitdefendera. Badacze z  Bitdefender Labs przeanalizowali jedną z ostatnich fal szkodliwego spamu i zauważyli, że wszystkie spamowe próbki prowadzą do pliku setup.exe znajdują sie na różnych serwerach w wielu krajach o unikalnych adresach IP. A co najdziwniejsze, ponad 40 procent zainfekowanych serwerów znajduje się na terenie Ukrainy. 

Hakerzy kierują swoje działania w osoby, które jawnie wspierają Ukrainców i sprzeciwiają się rosyjskiej propagandzie. Ofiara, po kliknięciu w łącze do pliku wykonywalnego pobiera trojana znanego jako Kelihos. Trojan łączy się z serwerem C2 i pobera swoje dalsze instrukcje poprzez wymianę zaszyfrowanych wiadomości za pośrednictwem protokołu HTTP. Osoby, które dostały taką wiadomość i kliknęły w link, dołączają do botnetu znajdującego się na terenie Ukrainy.

Trojan Kelihos do monitorowania ruchu użytkownika wykorzystuje 3 pliki: npf.sys, packet.dll i wpcap.dll. W zależności od rodzaju ładunku, Kelihos możne wykonać jedną z następujących czynności:

  • Komunikować się z innymi komputerami zombii
  • Wykradać portfele Bitcoin
  • Rozsyłać spam
  • Wykradać poświadczenia FTP i e-mail, ale także dane zapisane przez przeglądarkę
  • Pobierać i wykonać inne szkodliwe pliki w systemie
  • Monitorować ruch w protokole FTP, POP3 i SMTP

Analityk Bitdefendera, Doina Cosovan powiedział, że sposób w jaki działają hakerzy jest przemyślany, bowiem całą winę mogą zrzucić na Ukrainców, gdyż to w większości na ich terenie znajdują się serwery rozprzestrzeniające trojana.

Hakerzy, by przekonać wielu użytkowników o autentyczności (fałszywego) antywirusa Bitdefendera twierdzą, że ich program działa w trybie cichym (jest niewidoczny dla użytkownika, to inaczej niż prawdziwy Bitdefender) i wykorzystuje nie więcej niż 10 do 50 megabajtów ruchu w ciągu dnia, oraz prawie nie wykorzystuje procesora.

"Aby skorzystać z naszego antywirusa, należy wyłączyć oprogramowanie antywirusowe w tym czasie."

Oczywiście wyłączenie programu antywirusowgo nie jest wskazane. Zamiast tego, należy zainstalować najnowszą wersję jaką ma producent, zaktualizowanać sygnatury oraz aplikacje firm trzecich (szkodliwe programy najczęściej korzystają z luk znalezionych w nieaktualizowanym oprogramowaniu).

Botnet Kelihos odkryto cztery lata temu. Służy on przede wszystkim do rozsyłania spamu i kradziezy bitcoinów. Botnet ma strukturę sieci peer-to-peer, poszczególne węzły mogą pełnić rolę serwerów C2i dla całego botnetu, zwiększając jego trwałość.

W styczniu 2012 nowa wersja botnetu Kehilios została odkryta przez Microsoft, a jego autora postawiono w stan oskarżenia.

źródło: Bitdefender

AUTOR:

Adrian Ścibor

Podziel się