M86 Security Labs: Банковский троян Cridex/Dapato распространяется через WordPress-сайты

M86 SecurityВ конце января специалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. На тот момент было известно, что используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплойты для него, злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу.

Сейчас же появилась дополнительная информация по поводу этой атаки.

После успешного выполнения эксплойта на компьютер жертвы устанавливается троянская программа Cridex (известна также под названиями Carberp и Dapato).
Cridex - это довольно известный банковский троян, способный подделывать веб-формы для 137 банков разных стран.

Троян детектируется далеко не всеми антивирусными программами. Согласно исследованию M86 Security Labs, только 10 из 47 протестированных антивирусов способны его обнаружить. К примеру, Касперский распознаёт его как Trojan-Dropper.Win32.Dapato.afae.

Управление клиентской части вредоносной программы осуществляется через сеть Fast-flux, так что трафик к командным C%C-серверам может выглядеть примерно так.

Trafik k komand servers

Генерация доменных имён происходит по специальному алгоритму:

  • ECX = ECX * 0x19660D
    ECX = ECX + 0x3C6EF35F
    ECX = ECX << 0?10
    ECX = ECX – 0x7FFF
    EAX = ECX
    EDX = 0
    EAX = EAX XOR 0?88
    EBP = 0x1A
    EAX = EAX / 0x1A
    EDX = EAX % 0x1A
    ESI++
    EDX = EDX + 0?61
    Address[EBX + ESI] = DX


Как только находится живой прокси, троян скачивает кастомную конфигурацию из ботнета Cridex. Его функциональность примерно такая же, как у Zeus и SpyEye - сбор приватной информации, логинов и паролей, и отправка на удалённый сервер.

Однако, Cridex специализируется именно на финансовых транзакциях. В мире ботнетов это своеобразный банковский центр с базой данных на 137 банков и финансовых учреждений мира. За этот функционал отвечает плагин "WORLD BANK CENTER".

Finansovie transakcii 1 Finansovie transakcii 2


Обновлено (23.03.2012 17:05)