Ο Έλληνας ερευνητής ασφάλειας κ. Ανδρέας Βενιέρης,εντόπισε μια νέα εκδοχή του γνωστού ιού της Αστυνομίας,ή Ransomware που καταλαμβάνει υπολογιστές ανυποψίαστων χρηστών ζητώντας μάλιστα ως λύτρα για την “απελευθέρωσή τους” το ποσό των 1500€ !!!
Ο ερευνητής, ανέλυσε το κακόβουλο λογισμικό, προσδιορίζοντας την προέλευσή του και τα αποτελέσματα της μελέτης δημοσιοποιούνται σε ΑΠΟΚΛΕΙΣΤΙΚΟΤΗΤΑ από τους φίλους μας στο SecNews.
Προέλευση & εντοπισμός επίθεσης
Η νέα εκδοχή του “ιού της αστυνομίας” αναγνωρίστηκε σε εξυπηρετητή (server) του εξωτερικού από τον κ. Βενιέρη. Στο εξυπηρετητή είναι εγκατεστημένο λογισμικό που εξαπολύει επιθέσεις για κλοπή χρηματικών ποσών από “ανυποψίαστους χρήστες μέσω απειλής και ψυχολογικής βίας”, όπως αναφέρει χαρακτηριστικά ο ερευνητής.
Η επίθεση “εξαπολύεται” από τα παρακάτω domains και υπερσυνδέσμους:
- http://id953561182-8812263942.u82f47.com/?flow_id=83338&202447=51533/case_id=4509
- http://id891180584-261909387.y58h56.com/
- http://id106788480-7157832757.p16n42.com/
- http://id546061150-1474475308.y58h56.com/
- http://p16n42.com/processing.php?step=1
- http://p16n42.com/processing.php?step=2
- http://p16n42.com/processing.php?step=3
Οι ανωτέρω σύνδεσμοι αποστέλλονται στα ανυποψίαστα θύματα είτε μέσω ηλεκτρονικού μηνύματος e-mail (phishing attack) είτε βρίσκονται εντός ιστοσελίδων αμφιβόλου περιεχομένου (ιστοσελίδες πορνογραφίας, στοιχηματισμού κλπ).
Χώρα προέλευσης/στοιχεία εξυπηρετητή
Η νέα εκδοχή του “ιου της αστυνομίας” ή Ransomware βρίσκεται τοποθετημένη στον εξυπηρετητή με IP 146.185.220.194. Το ηλεκτρονικό ίχνος υποδεικνύει ότι η εν λόγω IP ανήκει στο domain hosted-by.mdsnet.org. Ο τομέας τοποθετείται στην Ρωσία και συγκεκριμένα στην Αγία Πετρούπολη στον πάροχο υπηρεσιών Internet Petersburg Internet Network Ltd. Η γεωγραφική απεικόνιση είναι η κάτωθι:
H αναζήτηση με χρήση reverse IP έδωσε επιπλέον τα domains:
- h821g5.com
- n5gg87.com
- s21d68.com
αλλά και επιπλέον 12 domains που επίσης διακινούν malware!
Ανάλυση κακόβουλου λογισμικού
Με μια γρήγορη μελέτη στο κακόβουλο πρόγραμμα από τον κ. Βενιέρη εντοπίστηκε ένα ιδιαίτερα ενδιαφέρον χαρακτηριστικό:
<form action=”http://p16n42.com/processing.php?step=1″ method=”post” onsubmit=”return check(); window.onbeforeunload = null; window.document.body.onbeforeunload = null;”>
Σε αυτό το σημείο εντοπίζεται η βασική λειτουργικότητα της νέας εκδοχής του ιού Ransomware.
Βλέπουμε πως μόλις ο χρήστης κάνει Submit την σελίδα καλείται πρώτα η javascriptfunctioncheck();
H function αυτή κάνει έναν πρώτο έλεγχο αν ο χρήστης έχει συμπληρώσει σωστά τις τιμές της paysafecard. Αν αυτό έχει συμβεί τότε πραγματοποιεί ανακατεύθυνση στον χρήστη.
Παρατηρείστε την γραμμή:
http://p16n42.com/processing.php?step=1
Hπαραπάνω γραμμή οδήγησε τον ερευνητή, στην υπόθεση ότι πιθανόν να υπάρχουν κι άλλα… βήματα! Και πράγματι!!
Όταν step=1 ζητούνται 300€.
Προφανώς μετά το κακόβουλο πρόγραμμα οδηγείται στο Step 2 (http://p16n42.com/processing.php?step=2) οπού εκεί ζητούνται 500€ και τέλος υπάρχει και το step 3, οπού εκεί ζητούνται 700€.
Σύνολο 1500€ για τους ηλεκτρονικούς απατεώνες ανά ανυποψίαστο χρήστη!
Το πρόγραμμα όπως αναφέρθηκε, διαθέτει μια κάποιου τύπου “νοημοσύνη” αναφορικά με τον τρόπο συμπεριφοράς που παρουσιάζει ανάλογα με την χώρα προέλευσης του θύματος:
- Όταν καλείτε από χώρες που υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ελλάδα, Ιταλία κλπ) τότε μπαίνει σε λειτουργία το malware και απαιτεί από τον χρήστη χρηματικό ποσό σε 3 στάδια συνολικού ύψους 1500€
- Όταν καλείτε από χώρες που δεν υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ρουμανία) τότε κάνει ανακατεύθυνση του χρήστη σε ιστοσελίδες πορνογραφικού περιεχομένου.
Την διαπίστωση αυτή έκανε ο ερευνητής με χρήση Proxies από διαφορετικές χώρες.
Εικόνες του κακόβουλου λογισμικού