Преступники, стоящие за атаками банковских троянов Retefe, добавили в код новый компонент, который использует эксплойт АНБ США Eternal Blue.

В результате этого обновления трояны Retefe присоединились к другим видам вредоносного ПО, атакующим исправленную уязвимость Windows с использованием SMBv1. По мнению исследователей Proofpoint, можно говорить о возникающей тенденции. Ранее в этом году аналитики Flashpoint писали о включении модуля Eternal Blue в банковский троян Trick Bot.

Хотя Retefe далеко до масштаба и репутации других аналогичных семейств, например Dridex или Zeus, исследователи отмечают интересную реализацию этих троянов и географическое распределение. Вирус атакует преимущественно Австрию, Швецию, Швейцарию и Японию, а в последнее время также и Великобританию.

«В отличие от Dridex и других банковских троянов, которые осуществляют веб-инжекты для перехвата сеансов работы с банковскими системами, Retefe перенаправляет входящий и исходящий трафик атакуемого банка через различные прокси-серверы, часто размещенные в сети Tor», — говорится в техническом пояснении к исследованию Proofpoint.

За последние несколько месяцев аналитики наблюдали новые кампании Retefe, организованные через рассылку спама с вредоносными документами Microsoft Office. Вложения содержали встроенные объекты, упакованные в оболочку, или объекты OLE — как правило, ярлыки Windows с расширением «.ink».

Когда пользователь открывает такой ярлык несмотря на предупреждение системы безопасности, команда PowerShell скачивает самораспаковывающийся ZIP-архив с удаленного сервера. Этот ZIP-архив содержит обфусцированный установщик JavaScript.

Деобфусцировав установщик JavaScript, аналитики обнаружили несколько параметров сеанса настройки конфигурации. Как выяснилось, в последние недели добавился параметр «pseb:», ссылающийся на скрипт, который внедряет эксплойт Eternal Blue и используется для горизонтального распространения внутри целевых сетей.

«Впервые мы обнаружили параметр «pseb:» 5 сентября. Настройка «pseb:» внедряет эксплойт Eternal Blue, причем большая часть кода заимствована из общедоступной экспериментальной демонстрации концепции», — пишут исследователи.

Специалисты Proofpoint заявили, что использованный преступниками параметр External Blue также содержит функции для регистрации установки и сведений о конфигурации системы жертвы и отправки данных на FTP-сервер.По их мнению, полезная нагрузка данной реализации эксплойта скачивает с удаленного сервера скрипт PowerShell, который включает встроенный установщик Retefe.

«Мы наблюдаем рост исходящих от данной группы целенаправленных атак с добавлением Eternal Blue, которые создают возможности для эффективного распространения внутри сетей после первичного взлома цели», — пишет Proofpoint.

Исследователи отмечают, что 20 сентября раздел «pseb:» был заменен на новый раздел «pslog:», содержащий только функции регистрации Eternal Blue. Однако модуль «pseb:», ответственный за дальнейшее горизонтальное распространение с использованием Eternal Blue, в этой реализации отсутствует, и бесконечный цикл распространения не возникает.

Аналитики призывают компании проконтролировать установку всех исправлений, защищающих от уязвимости Eternal Blue (CVE-2017-0144).

«Компаниям следует блокировать связанный трафик в системах IDS и межсетевых экранах и вредоносные сообщения (основной вектор атаки Retefe) на уровне почтового шлюза», — добавляют специалисты Proofpoint.

Категории: Главное, Уязвимости