Эксперты румынской ИБ-компании Bitdefender представили результаты анализа содержимого C&C-серверов ICEPOL/Reveton, захваченных местными блюстителями правопорядка в конце сентября 2013 года. Согласно этим находкам, за 5 месяцев операторам данного вымогателя-блокера удалось заразить около 267,8 тыс. пользовательских компьютеров, преимущественно в США (42,4 тыс.), Германии (31,7 тыс.) и Италии (24,8 тыс.).

«Расследование деятельности вымогательской программы ICEPOL оказалось результативным благодаря сотрудничеству ряда правоохранительных органов и независимых вендоров», — отметил глава киберподразделения румынской национальной полиции.

ICEPOL, известный также как вирус-полицейский, эффективно блокирует доступ к зараженной системе и выводит во весь экран сообщение, написанное от имени местного органа правоохраны. Злоумышленники обвиняют жертву в противозаконных действиях и предлагают уплатить  «штраф», чтобы вернуть доступ к рабочему столу. «Троянец ICEPOL шантажирует жертву заражения, выводя написанное на одном из 25 языков сообщение якобы от полиции, которое обвиняет его в скачивании пиратских материалов или запрещенного законом порно», — поясняет действия зловреда Каталин Косой (Catalin Cosoi), главный стратег Bitdefender в области ИБ. К сожалению, уплата выкупа в данном случае редко дает желаемый эффект.

По свидетельству экспертов, размещенные на территории Румынии серверы использовались злоумышленниками для раздачи ICEPOL по PPI-схеме (pay-per-install, оплата по факту установки), а также для перенаправления жертв заражения на вредоносные или рекламные сайты, владельцы которых платят за каждый клик (pay-per-click, PPC). «Преступный мир, похоже, создал специальные сети для доставки зловредов (MDN, malware distribution networks), которые построены аналогично легальным CDN (content delivery networks, сети доставки контента), вплоть до реферальной схемы маркетинга и синдикации», — комментирует Косой.

Как показал анализ, злоумышленники распространяли ICEPOL посредством эксплуатации Java-бреши CVE-2013-0422, при этом загрузка вредоносного файла происходила не напрямую, а через обращение к другим ресурсам, в данном случае голландским. Доменные имена генерировал особый компонент, выбирая по 4 слова из списка тематики «порно» на 550 позиций. Новые домены автоматически регистрировались через my.ultra*.ru с адресом заявителя @gmail.com. IP-адрес нового хоста выбирался по списку из 45 уникальных IP. На основе зарегистрированного домена и локального пути для зловредного бинарника формировалась ссылка, которая затем внедрялась в HTML-шаблоны, имитирующие порносайт или страницу загрузки обновления Flash Player/антивируса.

Изучение логов захваченных C&C-серверов также показало, что за 5 месяцев мониторинга блокер принес своим хозяевам более 158 тыс. чистого дохода (видимо, речь идет о долларах). Из них свыше 32 тыс. было получено в результате заражения американских машин. Примечательно, что после отключения захваченных серверов злоумышленники подняли новые на территории Германии.

Категории: Вредоносные программы