Преступники, стоящие за атаками банковских троянов Retefe, добавили в код новый компонент, который использует эксплойт АНБ США Eternal Blue.

В результате этого обновления трояны Retefe присоединились к другим видам вредоносного ПО, атакующим исправленную уязвимость Windows с использованием SMBv1. По мнению исследователей Proofpoint, можно говорить о возникающей тенденции. Ранее в этом году аналитики Flashpoint писали о включении модуля Eternal Blue в банковский троян Trick Bot.

Хотя Retefe далеко до масштаба и репутации других аналогичных семейств, например Dridex или Zeus, исследователи отмечают интересную реализацию этих троянов и географическое распределение. Вирус атакует преимущественно Австрию, Швецию, Швейцарию и Японию, а в последнее время также и Великобританию.

“В отличие от Dridex и других банковских троянов, которые осуществляют веб-инжекты для перехвата сеансов работы с банковскими системами, Retefe перенаправляет входящий и исходящий трафик атакуемого банка через различные прокси-серверы, часто размещенные в сети Tor”, — говорится в техническом пояснении к исследованию Proofpoint.

За последние несколько месяцев аналитики наблюдали новые кампании Retefe, организованные через рассылку спама с вредоносными документами Microsoft Office. Вложения содержали встроенные объекты, упакованные в оболочку, или объекты OLE — как правило, ярлыки Windows с расширением “.ink”.

Когда пользователь открывает такой ярлык несмотря на предупреждение системы безопасности, команда PowerShell скачивает самораспаковывающийся ZIP-архив с удаленного сервера. Этот ZIP-архив содержит обфусцированный установщик JavaScript.

Деобфусцировав установщик JavaScript, аналитики обнаружили несколько параметров сеанса настройки конфигурации. Как выяснилось, в последние недели добавился параметр “pseb:”, ссылающийся на скрипт, который внедряет эксплойт Eternal Blue и используется для горизонтального распространения внутри целевых сетей.

“Впервые мы обнаружили параметр “pseb:” 5 сентября. Настройка “pseb:” внедряет эксплойт Eternal Blue, причем большая часть кода заимствована из общедоступной экспериментальной демонстрации концепции”, — пишут исследователи.

Специалисты Proofpoint заявили, что использованный преступниками параметр External Blue также содержит функции для регистрации установки и сведений о конфигурации системы жертвы и отправки данных на FTP-сервер.По их мнению, полезная нагрузка данной реализации эксплойта скачивает с удаленного сервера скрипт PowerShell, который включает встроенный установщик Retefe.

“Мы наблюдаем рост исходящих от данной группы целенаправленных атак с добавлением Eternal Blue, которые создают возможности для эффективного распространения внутри сетей после первичного взлома цели”, — пишет Proofpoint.

Исследователи отмечают, что 20 сентября раздел “pseb:” был заменен на новый раздел “pslog:”, содержащий только функции регистрации Eternal Blue. Однако модуль “pseb:”, ответственный за дальнейшее горизонтальное распространение с использованием Eternal Blue, в этой реализации отсутствует, и бесконечный цикл распространения не возникает.

Аналитики призывают компании проконтролировать установку всех исправлений, защищающих от уязвимости Eternal Blue (CVE-2017-0144).

“Компаниям следует блокировать связанный трафик в системах IDS и межсетевых экранах и вредоносные сообщения (основной вектор атаки Retefe) на уровне почтового шлюза”, — добавляют специалисты Proofpoint.

Категории: Главное, Уязвимости