Преступники, выпустившие банковского троянца Dyre, помимо сбора учетных данных Salesforce.com могут иметь в рукаве еще кое-что.

Анализ семпла, проведенный SaaS-компанией Adallom, специализирующейся в области информационной безопасности, позволил определить, что новый штамм Dyre атакует крупные промышленные компании в дополнение к финансовым институтам и содержит функциональность для кражи клиентских сертификатов и файлов cookie из браузера. Имея в своем распоряжении эти средства аутентификации, злоумышленники обладают теми же возможностями по управлению учетной записью, что и легитимный пользователь, и доступом к внутренним и интернет-сервисам.

Dyre тем не менее не теряет аппетита к банкам, но исследователи Adallom определили, что зловред не атакует счета физических лиц и малого бизнеса. Вместо этого он сконфигурирован для работы с формами логина для больших банков и корпоративных счетов.

«Вся операция представляет собой нечто большее, чем просто атака на Salesforce», — заявил директор по исследованиям Томер Шварц. 8 сентября Salesforce.com предупредил своих клиентов, что Dyre, также известный как Dyreza, атаковал их учетные записи.

Dyre распространяется через спамерские или фишинговые письма и, как только он заражает машину, загружает один из двух модулей, в зависимости от того, находится ли введенный URL в его списке целей. Если нет, загружается обычный модуль, который копирует данные POST-запроса из браузера и отправляет их на сервер управления и контроля. Этот модуль не умеет внедрять код, по словам Шварца, но отправляет злоумышленнику большой объем незашифрованной информации, включая учетные данные.

Если URL найден в списке целей, отправляется другая конфигурация, которая проводит атаку «человек посередине», перенаправляя трафик на сервер злоумышленника. Функция, названная browsersnapshot, позволяет Dyre красть сессионные файлы cookie и сертификаты клиента, так же как закрытые ключи из магазина сертификатов Windows для Internet Explorer и базы сертификатов Firefox. Браузер вводится в заблуждение использованием легитимного сертификата, как сказал Шварц, который, будучи в руках злоумышленника, позволяет ему внедрять код в сессию, создавая фальшивые страницы логина. При всем этом атака также обходит SSL.

«Если я смог украсть сессионные cookie и клиентские сертификаты, для всех применений, я — вы для программы, даже если я не перехватил сессию, которую вы используете, — сказал вице-президент по стратегии Adallom Тал Клейн. — Это то, чего ZeuS не делает».

Как сказал Шварц, кампании банковских зловредов обычно не нацелены на кражу клиентских сертификатов, например, потому, что они редко используются для повседневных логинов на счета физических лиц.

«Факт, что они добавили такую функциональность в зловреда, который устанавливается на машине каждой жертвы, весьма интересен, так как использование клиентских сертификатов необычно и не особо полезно для большинства [банковских] кампаний, — сказал он. — Они точно знают, за какими жертвами охотятся».

По словам Клейна, теперь предстоит определить, чем учетные данные Salesforce так ценны для злоумышленников. Он добавил, что они исследуют механизмы Salesforce, которые могли быть интересны для кого-то в качестве вектора атаки.

«Эти парни не интересуются такими вещами, как электронная почта; ни один из сервисов в списке целей зловреда не относится к таким, как Office 365 или Google Apps, — сказал он. — Интересная часть состоит в том, что мы еще выдвигаем предположения насчет того, что им дадут данные Salesforce. Их не интересуют продажи Salesforce на открытом рынке. Должна быть связь между Salesforce и этими банковскими сайтами из списка целей. Мы все еще пытаемся ее вычислить».

Adallom разместил полный список целей на своем сайте, и, что интересно, логины Salesforce не были найдены в списке жертв, для которых загружались определенные конфигурации; большую часть этого списка составляют крупные британские банки. Но код, нацеленный на учетные данные Salesforce, был найден на прокси-сервере, использующемся для атаки на веб-сайты, выбираемые по неизвестным пока критериям, объяснил Шварц.

Может помочь то, что злоумышленники непреднамеренно включили уникальные токены в некоторые URL для перенаправления. Клейн сказал, что они надеются поработать с некоторыми из банков на предмет идентификации злоумышленников.

«Из-за разгильдяйства [злоумышленников] мы обнаружили, что они оставили немало информации в URL банков из своего списка, — сказал Клейн. — Следующая фаза заключается в работе с некоторыми из этих банков и выяснении, сколько раз они фиксировали идентификаторы сессий или токены, использованные для установления новых сессий. Это может дать нам возможность для прорыва».

Категории: Вредоносные программы, Главное