Выявлен ботнет для оформления польских виз


ESET NOD32Специалисты из компании ESET выявили новую вредоносную программу MSIL/Agent.PYO, с помощью которой ее авторы создали ботнет для автоматической онлайн-записи на прием в консульство Польши в Беларуси.

Для получения польской шенгенской визы гражданам Беларуси необходимо предварительно записаться на собеседование, заполнив онлайн-анкету на сайте консульства в системе e-Konsulat. Запись открывается лишь в заранее назначенное время (например, 20-21 декабря 2014 года можно было записаться на собеседование в январе). Свободные места расходятся в считанные минуты.

Высокий спрос на польские визы "вдохновляет" ИТ-специалистов писать собственные веб-скрипты, которые позволяют автоматически отслеживать наличие свободных мест, перехватывать и заполнять анкеты. Подобные скрипты создаются для личного пользования или последующей перепродажи мест для регистрации в электронной системе. Операторы созданного ботнета на базе MSIL/Agent.PYO, руководствовались схожей логикой, но усовершенствовали технологию.

Отметим, что вредоносная программа MSIL/Agent.PYO включает несколько компонентов:

  • загрузчик (обнаружено несколько версий на С# и С++);
  • апдейтер;
  • основной компонент Konsulat.RemoteClient.


16 декабря 2014 года, за четыре дня до очередного открытия записи на сайте консульства Польши, операторы ботнета начали распространять загрузчик MSIL/Agent.PYO с помощью набора эксплойтов Nuclear Exploit Kit. Тогда атака была ориентирована на пользователей из Беларуси, т.к. система e-Konsulat позволяет заполнять анкеты на визы только с местных IP-адресов. По статистике, полученной в период с 16 по 21 декабря 2014 года, более 200 тыс. потенциальных жертв были перенаправлены на вредоносное содержимое по укороченным ссылкам bit.ly.

20-21 декабря 2014 года боты начали получать команды на заполнение онлайн-анкет в системе e-Konsulat. Примечательно, но создатели вредоносной программы несколько раз выпускали для нее обновления. В ходе анализа ботнета удалось установить, что в нем содержится около 300 компьютеров, большая часть из которых находится в Беларуси. В течение последующих пяти недель специалисты зафиксировали уже более тысячи компьютеров, которые участвовали в деятельности ботнета.

e-konsulat


Обновлено (03.02.2015 15:39)