Rosyjscy hakerzy walczą z zachodem używając trojana Kelihos – ostrzega Bitdefender

Mając również na względzie aktualny konflikt na Ukrainie, hackerzy wykorzystali sytuację, by wprowadzić w życie swój spam, który miał pomóc w osiągnięciu celu, jakim było rozprowadzenie trojana. Wiadomości były przesyłane głównie do tych, którzy wspierali rosyjską „rację' i nie zgadzali się z sankcjami podjętymi w stosunku do ich kraju. Użytkownicy, którzy kliknęli łącze do złośliwego oprogramowania stawali się bez udziału własnej woli częścią botnetu i pomagali w dalszym rozprowadzaniu zagrożenia.
Trojan instalował trzy niegroźne pliki używane do monitorowania ruchu sieciowego (WinPcap npf.sys, packet.dll, wpcap.dll), które są zdolne do wydobywania wrażliwych informacji z przeglądarek, ruchu sieciowego i innych osobistych informacji.

Według rosyjskojęzycznych technologów Bitdefendera w wiadomości zawierającej odnośnik do złośliwego oprogramowania można było przeczytać: 
„Jesteśmy grupą hackerów pochodzącą z Federacji Rosyjskiej, jesteśmy zaniepokojeni niezrozumiałymi dla nas sankcjami, które zostały nałożone przez zachodnie rządy na nasz kraj.'
„Zaprogramowaliśmy naszą odpowiedź na te sankcje i poniżej znajdziecie łącze do naszego programu. Uruchomienie aplikacji na twoim komputerze spowoduje, że zacznie on w ukryty sposób atakować wszystkie agencje rządowe, które przyczyniły się do obecnego stanu.'

Po kliknięciu łącza, ofiary pobierały wykonywalny plik znany, jako Kelihos. Trojan nawiązywał łączność z centrum dowodzenia i kontroli poprzez wymianę zaszyfrowanych wiadomości wykorzystując protokół HTTP oraz otrzymywał on dalsze informacje. W zależności od typu ładowności, Kelihos jest w stanie:

• Komunikować się z innymi zainfekowanymi komputerami,Kraść portfele bitcoinów,Rozsyłać wiadomości ze spamem,Kraść dane autoryzacyjne FTP i poczty elektronicznej, jak również dane dostępowe do tych kont wprowadzone do przeglądarki,Pobierać i wykonywać inne złośliwe pliki oprogramowania na zainfekowanym systemie,Monitorowanie ruchu protokołów FTP, POP3 oraz SMTP.

Laboratoria Bitdefendera po przeprowadzeniu dokładnych analiz jednej z ostatnich fal spamu odnotowali, że wszystkie wiadomości kończyły się rozszerzeniem.eml i prowadziły do odnośników, które kończyły się na /setup.exe oraz były powiązane z 49 niezależnymi adresami IP. Dzięki bardziej szczegółowej ocenie zagrożenia udało się również ustalić, iż co najmniej 40 procent zainfekowanych serwerów znajduje się właśnie na Ukrainie.

„Niektóre z nich mogą być wyspecjalizowanymi serwerami do dystrybucji złośliwego oprogramowania, a pozostałe zainfekowanymi komputerami, które stały się częścią botnetu Kelihosa.' Komentuje Pracująca dla Bitdefendera w Dziale Analizy Wirusów Doina Cosovan. „Ironią jest to, iż większość zainfekowanych adresów IP pochodzi z Ukrainy. To może oznaczać, że atak był wymierzony w głównej mierze w komputery w tym kraju lub nawet, że same serwery infekujące zostały umieszczone właśnie w tym kraju.'
Bitdefender finalnie potwierdza to, że blokuje fale złośliwego spamu Trojana Kelihos, chroniąc swoich użytkowników przed zainfekowaniem ich komputerów.

Aby przekonać o swojej autentyczności większą ilość użytkowników, rosyjscy hackerzy dodali odrobinę marketingowego „brokatu' swojemu przekazowi. Stwierdzili, że ich program pracuje po cichu, zużywając nie więcej niż 10 do 50 megabajtów łącza dziennie i praktycznie nie obciąża procesora.
„Po ponownym uruchomieniu komputera, nasz program zakończy swoje działanie, a jeśli chcesz - możesz go uruchomić ponownie' w spamie pojawiła się również informacja.„Jeśli to konieczne, należy wyłączyć na ten czas oprogramowanie antywirusowe.'
Oczywiście, wyłączenie rozwiązania bezpieczeństwa nie jest za dobrym pomysłem. Zamiast tego, należy je zainstalować i zaktualizować, tak samo, jak inne programy systemu operacyjnego, ponieważ szkodliwe programy najczęściej korzystają z luk znalezionych w oprogramowaniu niezaktualizowanym.
Znany również, jako Hlux, botnet Kelihos odkryto cztery lata temu. Jest on najczęściej używany do kradzieży bitcoinów i spamowania. Posiada strukturę sieci peer-to-peer, w której poszczególne węzły mogą działać, jako serwery dowodzenia i kontroli dla całego botnetu, zwiększając jego trwałość.
W styczniu 2012 została odkryta nowa wersja botnetu, co spowodowało, że Microsoft skierował sprawę do sądu z doniesieniem na rosyjskiego obywatela, który był rzekomym twórcą kodu źródłowego w botnetu Kelihos.
Ten artykuł jest oparty na próbkach spamu dzięki uprzejmości naukowca działu spamu Bitdefender Adriana Miron oraz informacjach technicznych przedstawionych przez Analityka Bezpieczeństwa Bitdefender Diona Cosovan i Alexandru MAXIMCIUC.

dodane przez MARKEN