Исследователи из Incapsula обнаружили масштабную спам-кампанию по продвижению услуг нелицензированных аптек Canadian Pharmacy. Для генерации спама злоумышленники используют сеть зараженных сайтов, управляя ею с ботнета из 80 тыс. скомпрометированных компьютеров. При этом все коммуникации, команды и полезная нагрузка тщательно шифруются с целью обхода спам-фильтров, работающих по черным спискам URL и адресов отправителя.

Блюстители правопорядка и регуляторы фарминдустрии давно и небезуспешно борются с организованным сбытом через Интернет контрафактных медикаментов, потенциально вредных для здоровья, и со свободной торговлей контролируемыми препаратами. В настоящее время оборот на этом подпольном рынке, по данным Incapsula, оценивается в $431 млрд. Теневой фармбизнес Canadian Pharmacy издавна известен своей агрессивностью; его хозяева неизменно пользуются услугами спамеров, массово распространяющих рекламу в рамках специализированных партнерских программ.

Около месяца назад защитные решения Incapsula зафиксировали резкий рост потока зашифрованных по base64 запросов. Расследование показало, что все они исходят с незадокументированного ботнета, подающего команды на сайты с установленным веб-шеллом WSO — PHP-бэкдором, который обычно используется для удаленного управления файлами и исполнения кода. После расшифровки исследователи идентифицировали три типа команд: на модификацию конфигурационных файлов .htaccess, на внедрение вредоносной PHP-программы и на получение полезной нагрузки.

Команда на инъекцию в .htaccess, тоже зашифрованная, имела целью установить редирект с несуществующей страницы (ошибка 404) на интернет-аптеку сети Canadian Pharmacy. Как обнаружили эксперты, большинство таких интерфейсных точек незаконных продаж были привязаны к TLD-домену .ru, хотя в названиях сайтов чаще всего присутствовало слово «Canadian» (например, Canadian-Health & Care Mall).

Кастомный PHP-скрипт, внедряемый на сайт по (закодированной) команде с ботнета, получает из удаленного источника и расшифровывает полезную нагрузку, а затем на ее основании генерирует спам-сообщения. Анализ показал, что нагрузка содержит четыре параметра: $to_email, $subject, $body и $header (адреса получателя, тема письма, основной текст, заголовок). Отправка спам-писем осуществляется с использованием функции mail(), то есть через сервер SMTP, заданный в настройках сайта (в PHP-файле конфигурации).

Идентифицировав PHP-зловреда, исследователи получили возможность более внимательно изучить получаемую им полезную нагрузку. В ходе мониторинга были обнаружены сотни тысяч вариантов, и каждый включал рекламу товара — как правило, таблеток сиалиса по 20 мг или виагры по 100 мг. Шероховатость текстов говорила об автоматизации их создания. Однако больше всего экспертов поразили недюжинные усилия, потраченные на сокрытие полезной нагрузки.

Чтобы уберечь важные данные, злоумышленники прогоняют алгоритм base64 восемь раз и еще три раза для каждого параметра, отделенного вертикальной линией (‘|’). Из-за такой сложноподчиненной структуры в Incapsula нарекли новую спам-кампанию B64ryoshka («батрешка», по аналогии с «матрешка»). Все перехваченные B64ryoshka-нагрузки содержали ссылку на несуществующий URL или другой скомпрометированный домен.

Таким образом, вся мошенническая схема построена на работающих в паре сайтах: один рассылает спам, другой перенаправляет посетителей на продвигаемую интернет-аптеку. И таких «сладких парочек» у авторов B64ryoshka-кампании целая сеть.

О большом размахе свидетельствует и число найденных благодаря спам-рекламе торговых площадок — 51. Согласно Incapsula, они размещены в Китае, Малайзии, Вьетнаме, Индонезии, Франции, Румынии, России, на Тайване и Украине. Исследование IP-адресов этих сайтов позволило обнаружить еще 1005 активных доменов, предположительно задействованных спамерами. Из них 70,2% используют российский веб-хостинг, остальные — французский.

Исследователей впечатлили также размеры ботнета, с которого осуществляется управление сетью сайтов-исполнителей. За две недели мониторинга C&C-коммуникаций было выявлено 86 278 уникальных IP-адресов, разбросанных по всему миру. Больше всего их оказалось в России (11,5%), Индонезии и Вьетнаме (8,7 и 7,9% соответственно). Примечательно, что, судя по отпечаткам, в большинстве случаев команды исходили с устройств, использующих веб-браузер, таких как домашние ПК. Эксперты полагают, что эти устройства были скомпрометированы посредством атаки уровня приложений — к примеру, с помощью вредоносного браузерного аддона. Shodan-сканирование показало лишь пару IP, ассоциированных с этим ботнетом, так что составляющие его устройства — отнюдь не IoT.

Исследователи склонны усматривать в B64ryoshka-кампании российские корни, об этом, по их мнению, говорит преобладание доменов .ru и размещение входящих в ботнет устройств.

Когда отчет Incapsula был почти готов к публикации, появилось известие об очередной попытке низвержения Kelihos и аресте предполагаемого оператора этого ботнета. Эксперты было подумали, что «их» ботнет и есть Kelihos, однако в последующие четыре дня спам-активность B64ryoshka возросла на 11%, что явно свидетельствовало об обратном. При этом разгромная акция против Kelihos, похоже, пошла на пользу его конкуренту.

Данные, полученные Incapsula в ходе исследования, уже переданы в соответствующие органы правопорядка и регулирования рынка фармацевтических препаратов.

Категории: аналитика, вредоносные программы, Главное, спам, хакеры

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *