Согласно результатам мониторинга BitDefender, на настоящий момент обновленный троянец Rovnix ответственен за 130 тыс. заражений в Великобритании и порядка 55 тыс. в других европейских странах. Чтобы получить представление о современной популяции данного Windows-зловреда, исследователи разобрали используемый им DGA-алгоритм и осуществили перехват трафика на шести C&C-доменах по методу sinkhole.

Rovnix, который, по словам экспертов, также детектируется как Papras, Ursnif или Gozi, совмещает функционал бота и бэкдора. Он способен показывать PPC-рекламу (pay-per-click, с оплатой партнерам за каждый клик), воровать и отсылать на свой сервер конфиденциальные данные, загружать и запускать другие вредоносные файлы и даже вызывать BSoD-крэши. Новая версия, наблюдаемая BitDefender в текущем году, нацелена на кражу данных кредитных карт, по крайней мере, те варианты Rovnix, которые атакуют британцев. Распространяется данный зловред по PPI-схеме (pay-per-install, с оплатой за каждое заражение) или посредством спам-рассылок, полезной нагрузкой которых являются представители семейства Andromeda, умеющие загружать другое вредоносное ПО.

По свидетельству BitDefender, новый Rovnix каждый квартал генерирует 5 или 10 доменов, их число зависит от версии используемого зловредом DGA. Длина доменного имени составляет от 12 до 23 знаков, представляющих собой слитную последовательность слов или их начальных букв. Эти слова, как и TLD-зона, выбираются псевдослучайным образом из готовых списков; итоговые домены разнятся также фиксированным начальным значением.

Примечательно, что списки слов, используемые Rovnix для генерации доменных имен, составляются на основе публично доступных текстовых файлов, вероятность изменения которых чрезвычайно мала. Так, вариант зловреда, атакующий британцев, позаимствовал текст Декларации независимости США; некоторые списки Rovnix, как установили эксперты, включают страницы Стандартной общественной лицензии ограниченного применения GNU, RFC-документов (рабочих предложений в отношении стандартов, публикуемых IETF) и технических спецификаций.

В начале августа исследователям удалось осуществить sinkhole-подмену для шести C&C-доменов, используемых разными itw-вариантами Rovnix. За три месяца мониторинга на этих доменах BitDefender выявила около 130 тыс. заражений на территории Великобритании, 27,5 тыс. — в Нидерландах, Франции и Бельгии, около 16,5 тыс. — в Болгарии и более 10 тыс. — в Польше. Отдельные заражения зафиксированы также в других странах и регионах. Эксперты при этом отмечают, что четыре наблюдаемых ими домена все еще действительны, поэтому можно ожидать, что число запрашивающих их ботов будет возрастать.

Краденые данные Rovnix отправляет на командный сервер в кодировке base64. Более новые боты, облюбовавшие Болгарию и Польшу, вначале шифруют свои «посылки», а затем производят преобразование в base64. «Переход на шифрованные коммуникации показывает, что данная интернет-угроза все еще совершенствуется, — предупреждает главный ИБ-стратег BitDefender Каталин Косой (Catalin Cosoi). — Можно ожидать, что в ближайшем будущем она сохранит свою актуальность».

Категории: Вредоносные программы, Главное