SOS :: Security Operation Space
20 апреля, пятница, 00:00
Hot News:

Вредоносные скрипты EITest обезврежены

16 апреля 2018 г., понедельник, 23:28

Перенаправление трафика на вредоносные площадки пресечено подменой ключевого сервера в сети взломанных сайтов.

Совместные усилия Proofpoint, Abuse.ch и канадского исследователя V1rgul3 (@Secu013) увенчались успехом: инфраструктура EITest, которая долгое время использовалась для распространения зловредов через эксплойт и загрузки drive-by, нейтрализована.

Исследователям удалось подменить ключевой сервер в обширной сети скомпрометированных сайтов и эффективно пресечь внедрение редиректоров, перенаправляющих пользователей на вредоносные площадки в объеме до 2 млн событий в сутки.

Известная как EITest мошенническая  схема, аналогичная Darkleech и псевдо-Darkleech, активно использовалась с целью привлечения трафика на вредоносные страницы в течение нескольких лет. В Proofpoint также обнаружили свидетельства существования этой инфраструктуры еще в 2011 году — на тот момент внедренные на сайты вредоносные скрипты перенаправляли посетителей только на лендинг-страницы набора эксплойтов Glazunov, которым эксклюзивно пользовались операторы EITest.

В 2014 году они начали продавать трафик, и эта услуга вошла в обиход операций Angler, а затем и других эксплойт-паков. Таким образом, EITest неоднократно оказывалась причастной к распространению вымогательского ПО, программ, предназначенных для хищения информации, и других зловредов. Когда эксплойт-паки стали терять популярность, инфраструктура EITest перешла на обслуживание мошеннических схем, основанных на социальной инженерии, а также команд ложной техподдержки.

Новый всплеск вредоносной активности, связанной с EITest, был зафиксирован в середине января. При отработке JavaScript в браузере Chrome стали появляться всплывающие уведомления с призывом установить якобы отсутствующий шрифт HoeflerText. Тестирование, проведенное V1rgul3, показало: если пользователь согласится на обновление, на его машину загрузится троян-кликер CliCool (в Symantec его называют Fleercivet).

Как впоследствии выяснилось, это не единственная полезная нагрузка, раздававшаяся в рамках новой киберкампании с помощью EITest: в зависимости от используемого жертвой браузера ей могли также через эксплойт загрузить шифровальщик (Cerber, CryptoMix, Spora) или DDoS-бот Madness.

Последний, согласно рекламе на подпольных форумах, совместим со всеми Windows NT (32 и 64 бит) и умеет проводить атаки семи разных типов, в том числе Slow GET и Slow POST. Продавцы также отмечают, что Madness способен отправлять более1,5 тыс. HTTP-запросов и свыше 30 тыс UDP-запросов в минуту, одновременно атакуя до 10 мишеней.

Вредоносные php-коды, с которых начинается цепочка заражения, на тот момент были обнаружены на 5,7 тыс сайтов; более половины этих ресурсов использовали CMS-систему WordPress. Каким образом осуществлялся взлом, остается только догадываться.

V1rgul3 склонен считать, что в случае с WordPress злоумышленники применяли брутфорс или использовали уязвимости в плагинах. Некоторые сайты Joomla использовали устаревшую версию CMS и, по всей видимости, были необитаемы. На таких ресурсах все файлы .php оказались зараженными.

По свидетельству V1rgul3, внедряемый в сайты вредоносный php-скрипт защищен восемью слоями обфускации, и администратору зараженного ресурса трудно его обнаружить, если зловред никак себя не проявляет. При заходе потенциальной жертвы на сайт он регистрирует данные (используемый браузер, HTTP-реферер, HTTP-хост, IP-адрес) и отсылает их на шлюз EITest, который должен дать отмашку на продолжение атаки.

Если вход осуществлен через Internet Explorer, Firefox, или Chrome в десктопной либо Android-версии, в HTML-страницу контролируемого злоумышленниками сайта внедряется загруженный со шлюзового сервера контент — скрипт, создающий iframe-редиректор.

В том случае, когда жертва использует Chrome, эти манипуляции влекут скрытую загрузку CliCool. Браузер IE перенаправляется на лендинг-страницы эксплойт-пака RIG, использующие уязвимость CVE-2013-2551 или CVE-2015-5122 для доставки вымогателя (или DDoS-зловреда).

Примечательно, что запросы к шлюзам EITest осуществляются с использованием имени, сгенерированного по алгоритму DGA. Некоторые из DGA-доменов, зафиксированных в январе, оказались уже зарегистрированными японскими исследователями, которые контролировали их, совершив подмену по методу sinkhole.

В марте команде борцов с EITest удалось определить зерно этого DGA, сгенерировать четыре новых домена и перенаправить все запросы к ключевому серверу EITest на подставной, выделенный для этих целей Abuse.ch. За три недели sinkhole-шлюз получил около 44 млн запросов с 52 тыс. серверов США, Австралии и Юго-Восточной Азии.

Расшифровка запросов позволила исследователям составить список скомпрометированных сайтов и IP-адресов посетителей. Согласно статистике, представленной в блоге Proofpoint, наибольшее количество обращений поступило из США (порядка 7,3 млн), Украины (более 4,7 млн) и Китая (свыше 3,7 млн). Россия заняла в этом рейтинге шестое место с показателем 2 млн. Подавляющее большинство забэкдоренных сайтов используют CMS-систему WordPress.

Операторы EITest никаких ответных мер пока не приняли. Чтобы они не попытались восстановить контроль над частью взломанных сайтов, собранная информация была передана заинтересованным CERT, и те уже запустили кампанию по очистке.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
03:09
02:39
02:11
16:50
13:30
13:16
12:54
09:46
15:53
15:46
15:26
12:45
12:43
12:22
04:14
16:46
15:21
14:50


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности) | DO  // Обратная связь  | 0.251
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.