По свидетельству экспертов, в арсенале распространителей зловредов появился новый трюк, облегчающий доставку Gameover в обход средств защиты корпоративного периметра. С конца января эта версия ZeuS начала подгружаться из Интернета в новом обличье: раздаваемые ранее ехе-файлы были переформатированы в неисполняемые .enc.

Известная как Gameover р2р-версия ZeuS появилась в Интернете более двух лет назад и обычно распространяется через спам-рассылки с ботнета Pushdo/Cutwail. В процессе участвует также посредник-даунлоудер — Pony или Upatre, который раздается вложением в спам-письма и после активации загружает банкера из Сети.

Переход Gameover на новый формат ознаменовали несколько Cutwail-рассылок, которые эксперты считают взаимосвязанными. Примеры новых поддельных сообщений от Better Business Bureau, сервиса расчета зарплаты ADP, Skype, Налоговой службы США (IRS) и других легальных сервисов приведены в блоге Гэри Уорнера, руководителя научных исследований в области компьютерно-технической экспертизы университета Алабамы в Бирмингеме (UAB). Эти образцы прислал блогеру его коллега Брендан Гриффин (Brendan Griffin) из аналитической компании Malcovery Security, учрежденной в начале 2013 года на базе UAB.

спам для доставки шифрованного Gameover

«Прикрепленный к письму zip-файл содержит НОВУЮ версию Upatre, — отмечает Уорнер. — Она загружает из Интернета и РАСШИФРОВЫВАЕТ enc-файл, сохраняет его в другом месте под новым именем, а затем запускает и регламентирует его дальнейшее исполнение». Поскольку файлы в формате .enc по своей природе безвредны, Gameover в новом обличье на данный момент не опознает ни один антивирус из коллекции VirusTotal.

Больдижар Бенчат (Boldizsár Bencsáth), эксперт CrySys Lab при Будапештском университете, проанализировал схему шифрования Gameover и обнаружил, что она весьма проста. Злоумышленники подвергли вредоносный файл сжатию, затем зашифровали операцией XOR, используя 32-битный ключ. При расшифровке Upatre обращает этот процесс и получает исполняемый файл.

Даунлоудер Upatre появился в арсенале распространителей ZeuS лишь в прошлом году и пользуется повышенным вниманием со стороны исследователей, таких как Microsoft и Dell SecureWorks. Это небольшой по размеру незамысловатый зловред, основной функцией которого является загрузка из Интернета других вредоносных программ. Распространяется Upatre в основном через спам. Минувшей осенью Microsoft зафиксировала около 1 млн случаев заражения данным зловредом, преимущественно в США.

По словам Уорнера, новую уловку распространителей Gameover заметил не только Бенчат, но также Уильям Мак-Артур (William MacArthur) из GoDaddy и Брет Стоун-Гросс (Brett Stone-Gross) из Dell SecureWorks. Исследователи из UAB сочли своим долгом оповестить интернет-сообщество о новоявленном тренде и обнародовали свои находки. Кроме того, они загрузили все обнаруженные файлы на VirusTotal, а также разослали копии новых кодов коллегам и в правоохранительные органы.

Категории: Вредоносные программы, Спам