Ο ερευνητής ασφάλειας Ανδρέας Βενιέρης εντόπισε νέα εκδοχή Ransomware

Ο Έλληνας ερευνητής ασφάλειας κ. Ανδρέας Βενιέρης,εντόπισε μια νέα εκδοχή του γνωστού ιού της Αστυνομίας που καταλαμβάνει υπολογιστές ανυποψίαστων χρηστών ζητώντας μάλιστα ως λύτρα για την “απελευθέρωσή τους” το ποσό των 1500€ !!!

Ο ερευνητής, ανέλυσε το κακόβουλο λογισμικό, προσδιορίζοντας την προέλευσή του και τα της μελέτης  δημοσιοποιούνται σε ΑΠΟΚΛΕΙΣΤΙΚΟΤΗΤΑ από τους φίλους μας στο SecNews.

Ransomware venieris
Ανδρέας Βενιέρης Ransomware

Προέλευση & εντοπισμός επίθεσης

Η νέα εκδοχή του “ιού της αστυνομίας” αναγνωρίστηκε σε εξυπηρετητή (server) του εξωτερικού από τον κ. Βενιέρη. Στο εξυπηρετητή είναι εγκατεστημένο λογισμικό που εξαπολύει επιθέσεις για κλοπή χρηματικών ποσών από “ανυποψίαστους χρήστες μέσω απειλής και ψυχολογικής βίας”, όπως αναφέρει χαρακτηριστικά ο ερευνητής.

Η επίθεση “εξαπολύεται” από τα παρακάτω domains και υπερσυνδέσμους:

  • ://id953561182-8812263942.u82f47.com/?flow_id=83338&202447=51533/case_id=4509
  • http://id891180584-261909387.y58h56.com/
  • http://id106788480-7157832757.p16n42.com/
  • http://id546061150-1474475308.y58h56.com/
  • http://p16n42.com/processing.php?=1
  • http://p16n42.com/processing.php?step=2
  • http://p16n42.com/processing.php?step=3

Οι ανωτέρω σύνδεσμοι αποστέλλονται στα ανυποψίαστα θύματα είτε μέσω ηλεκτρονικού μηνύματος e-mail (phishing attack) είτε βρίσκονται εντός ιστοσελίδων αμφιβόλου περιεχομένου (ιστοσελίδες πορνογραφίας, στοιχηματισμού κλπ).

Χώρα προέλευσης/στοιχεία εξυπηρετητή

Η νέα εκδοχή του “ιου της αστυνομίας” ή Ransomware βρίσκεται τοποθετημένη στον εξυπηρετητή με  146.185.220.194. Το ηλεκτρονικό ίχνος υποδεικνύει ότι η εν λόγω IP ανήκει στο domain hosted-by.mdsnet.org. Ο τομέας τοποθετείται στην Ρωσία και συγκεκριμένα στην Αγία Πετρούπολη στον πάροχο υπηρεσιών Internet Petersburg Internet Network Ltd. Η γεωγραφική απεικόνιση είναι η κάτωθι:

Map.Ios .Astynomias [ΑΠΟΚΛΕΙΣΤΙΚΟ] Ο Έλληνας ερευνητής ασφάλειας Ανδρέας Βενιέρης εντόπισε νέα εκδοχή του ιού της Αστυνομίας!

H αναζήτηση με χρήση reverse IP έδωσε επιπλέον τα domains:

  • h821g5.com
  • n5gg87.com
  • s21d68.com

αλλά και επιπλέον 12 domains που επίσης διακινούν malware!

Ανάλυση κακόβουλου λογισμικού

Με μια γρήγορη μελέτη στο κακόβουλο πρόγραμμα από τον κ. Βενιέρη εντοπίστηκε ένα ιδιαίτερα ενδιαφέρον χαρακτηριστικό:

Σε αυτό το σημείο εντοπίζεται η βασική λειτουργικότητα της νέας εκδοχής του ιού Ransomware.

Βλέπουμε πως μόλις ο χρήστης κάνει Submit την σελίδα καλείται πρώτα η javascriptfunction();

H function αυτή κάνει έναν πρώτο έλεγχο αν ο χρήστης έχει συμπληρώσει σωστά τις τιμές της paysafecard. Αν αυτό έχει συμβεί τότε πραγματοποιεί ανακατεύθυνση στον χρήστη.
Παρατηρείστε την γραμμή:
http://p16n42.com/processing.php?step=1

Hπαραπάνω γραμμή οδήγησε τον ερευνητή, στην υπόθεση ότι πιθανόν να υπάρχουν κι άλλα… βήματα! Και πράγματι!!

  Το Opera για Android έχει πλέον ενσωματωμένη υποστήριξη VPN

Όταν step=1 ζητούνται 300€.

Προφανώς μετά το κακόβουλο πρόγραμμα οδηγείται στο Step 2 (http://p16n42.com/processing.php?step=2) οπού εκεί ζητούνται 500€ και τέλος υπάρχει και το step 3, οπού εκεί ζητούνται 700€.

Σύνολο 1500€ για τους ηλεκτρονικούς απατεώνες ανά ανυποψίαστο χρήστη!

Το πρόγραμμα όπως αναφέρθηκε, διαθέτει μια κάποιου τύπου “νοημοσύνη” αναφορικά με τον τρόπο συμπεριφοράς που παρουσιάζει ανάλογα με την χώρα προέλευσης του θύματος:

  • Όταν καλείτε από χώρες που υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ελλάδα, Ιταλία κλπ) τότε μπαίνει σε λειτουργία το malware και απαιτεί από τον χρήστη χρηματικό ποσό σε 3 στάδια συνολικού ύψους 1500€
  • Όταν καλείτε από χώρες που δεν υπάρχει η πληροφορία για τις αστυνομικές αρχές (πχ Ρουμανία) τότε κάνει ανακατεύθυνση του χρήστη σε ιστοσελίδες πορνογραφικού περιεχομένου.

Την διαπίστωση αυτή έκανε ο ερευνητής με χρήση Proxies από διαφορετικές χώρες.

Εικόνες του κακόβουλου λογισμικού

 

Η Επίθεση είναι στο στάδιο 1. Ζητούνται από τον χρήστη 300€. Το banner είναι κόκκινο και… απειλητικό!

 

Η Επίθεση είναι στο στάδιο 2. Ζητούνται από τον χρήστη 500€. Παρατηρείστε το banner που άλλαξε χρώμα κι έγινε… μπλε (λιγότερο απειλητικό). Ψυχολογικά εδώ ο χρήστης θεωρεί ότι με την πληρωμή του μείωσε την… ζημιά!

" data-medium-file="https://cdn.iguru.gr/files/2014/06/Stadio.3.Ios_.Astynomias-500x447.jpg" data-large-file="https://cdn.iguru.gr/files/2014/06/Stadio.3.Ios_.Astynomias-1024x915.jpg" loading="lazy" class="alignnone wp-image-80326" src="http://cdn.iguru.gr/files/2014/06/Stadio.3.Ios_.Astynomias-1024x915.jpg" alt="Ransomware" width="727" height="650" srcset="https://cdn.iguru.gr/files/2014/06/Stadio.3.Ios_.Astynomias-1024x915.jpg 1024w, https://cdn.iguru.gr/files/2014/06/Stadio.3.Ios_.Astynomias-500x447.jpg 500w, https://cdn.iguru.gr/files/2014/06/Stadio.3.Ios_.Astynomias-300x268.jpg 300w, https://cdn.iguru.gr/files/2014/06/Stadio.3.Ios_.Astynomias.jpg 1336w" sizes="(max-width: 727px) 100vw, 727px">

Αξίζει να παρατηρήσουμε ότι εμφανίζονται τα logos από γνωστές Ελληνικές εταιρείες ως σημεία πώλησης των Paysafe καρτών. Τα Logos αντλούνται από την επίσημη σελίδα της Paysafe.  Αν παρατηρήσουμε το αντίστοιχο μήνυμα μέσω Ιταλίας τα σημεία πώλησης αλλάζουν (πάλι μέσα από την επίσημη ιστοσελίδα της Paysafe).

Ransomware

Σε αυτό το σημείο αξίζει να σημειώσουμε οτι η ανάλυση που παρέθεσε ο Security expert, έχει περιοριστεί στο επίπεδο του χρήστη και όχι του ειδικού ασφαλείας. Δεν αποτελεί δηλαδή εκτεταμένη ανάλυση του κώδικα του Ransomware ούτε και εκτεταμένη ανάλυση των δεδομένων του server.
O ερευνητής πραγματοποίησε εκτεταμένη ανάλυση στο συγκεκριμένο malware και εντόπισε διαφορετική συμπεριφορά του λογισμικού (σε επίπεδο κώδικα υλοποίησης) ανάλογα με τον web του θύματος και την διεύθυνση προέλευσης (Source IP).Επιπλέον σε εκτενή ανάλυση που πραγματοποιήθηκε με εργαλεία ελέγχου αδυναμιών σε υπηρεσίες web, προέκυψαν συγκεκριμένα ευρήματα τα οποία ίσως δεν ενδιαφέρουν και τόσο.
Τα ανωτέρω οφείλουμε να τα αναφέρουμε ώστε να μην υπάρξουν κρίσεις  της αναφοράς του ερευνητή ως “απλοϊκή”. Ο στόχος του ερευνητή είναι η ενημέρωση του αναγνωστικού κοινού για να προστατευθεί σε περίπτωση μόλυνσης με το malware και σε καμία περίπτωση η τεχνική υπερανάλυση αυτού.
Σύμφωνα με πληροφορίες έχει ενημερωθεί ήδη η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και οι αρχές ερευνούν τα ηλεκτρονικά ίχνη προέλευσης, αν δηλαδή έχει ξεκινήσει η διασπορά της νέας εκδοχής του κακόβουλου λογισμικού ή πρόκειται για μεμονωμένα περιστατικά.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


4  +  4  =