МВД и ФСБ России при экспертной поддержке «Лаборатории Касперского» и участии Сбербанка пресекли деятельность криминальной группировки, укравшей свыше 3 млрд рублей со счетов россиян и других жителей бывшего СНГ с помощью Windows-троянца. В ходе совместной операции было задержано 50 подозреваемых, произведено 86 обысков, предотвращено хищение более 2 млрд рублей. В отношении задержанных возбуждено уголовное дело в соответствии с ч. 1 и 2 ст. 210 УК РФ (создание преступного сообщества и участие в нем).

«Лаборатория Касперского» наблюдает атаки с участием Lurk с июля 2011 года. По свидетельству экспертов, этот модульный банкер примечателен прежде всего тем, что во избежание детектирования использует бесфайловый метод заражения — не сохраняется на диске и запускается непосредственно из памяти. Также нетипична его избирательность — Lurk атакует лишь машины, имеющие выход на системы онлайн-банкинга: iBank 2, используемую многими российскими банками, или собственные ДБО крупных кредитно-финансовых организаций. Таргетированные атаки объясняют относительную скромность популяции данного троянца: несмотря на пять лет его существования, Lurk сумел заразить менее 60 тыс. машин, однако это также позволяет ему действовать, не привлекая внимания аналитиков и исследователей.

Распространяется Lurk разными способами: через drive-by-загрузки с участием редиректоров и эксплойт-пака Angler; посредством взлома и заражения сайтов; с помощью утилиты удаленного управления PsExec (облегченного варианта Telnet), если злоумышленникам удалось проникнуть в локальную сеть. В первом случае редиректоры на лендинг-страницы Angler устанавливаются на новостных сайтах, тематика которых может интересовать бухгалтеров (атака методом водопоя). По свидетельству «лаборантов», эти ссылки трудно отследить и заблокировать, так как они ставятся на короткое время либо попеременно появляются и исчезают. Такие редиректоры были в свое время обнаружены, например, на сайтах РИА «Новости» и Gazeta.ru. Злоумышленников также интересуют ресурсы телекоммуникационных компаний: на них можно поднять промежуточные серверы для связи ботов и C&C.

Анализ показал, что Lurk — творение нескольких авторов, в том числе профессионалов. Он состоит из нескольких модулей: дроппера mini, динамически загружаемой библиотеки prescanner, используемой для оценки пригодности мишени; основного модуля core и 64-битных версий core и mini. Если зараженный ПК не представляет интереса для злоумышленников, mini и prescanner завершают свои процессы и самоудаляются. Если цель признана годной, mini внедряет плагин — ibank или скриптовые веб-инжекты для браузера, в зависимости от профиля, составленного prescanner. Согласно «Лаборатории», в арсенале Lurk есть плагины для Internet Explorer, Firefox, Chrome и Opera, при этом в число атакованных мишеней вошли практически «все крупные российские банки, в том числе четыре крупнейших».

Модуль core отвечает в числе прочего за всю связь зловреда с C&C, вычисляя его с помощью DGA. Примечательно, что в качестве основных входных параметров этот алгоритм использует малоизвестные данные, к примеру биржевые котировки, полученные с Yahoo Finance, поэтому предсказать выход практически невозможно.

Всем новым ботам присваиваются уникальные ID, по ним и удалось определить размер ботнета. В ходе работы Lurk связывается с C&C каждые пять минут, запрашивая обновления и команды и отчитываясь о проделанной работе. Все коммуникации шифруются, обмен происходит в JSON-формате.

Особо исследователи отметили новые функции основного модуля — кейлоггер и запись видеопотока с экрана. Функция перехвата клавиатурного ввода выполняется лишь при наличии ключевых слов или фраз в названии окна, их список Lurk получает с C&C. Также заслуживают внимания дополнительные плагины, обеспечивающие удаленный доступ по VNC и RDP.

Отъем денег с помощью краденых идентификаторов осуществляется с помощью скрипта, присланного с C&C-сервера, или через регистрацию автоматического платежа, выполняемого после очередного входа жертвы в систему онлайн-банкинга.

Категории: Аналитика, Вредоносные программы, Кибероборона