Программа-вымогатель под видом Windows 10
Компания Cisco сообщила о спам-атаке, которая связана с выходом новой ОС Microsoft Windows 10, распространяемой в числе прочего в виде бесплатного обновления для пользователей предыдущих версий. Как обнаружили сотрудники входящего в состав Cisco подразделения Talos (занимается исследованием и анализом угроз ИБ), киберпреступники начали кампанию распространения программы-вымогателя, маскируя ее под почтовую рассылку от корпорации Microsoft.
В рамках атаки пользователям рассылаются сообщения электронной почты с адресом отправителя, очень похожим по написанию на update@microsoft.com. В письмах говорится о том, что приложенный к ним файл в 734 Кбайт – это установщик новой системы, и его следует запустить как можно скорее, поскольку срок действия предложения бесплатной установки ограничен. Атакующие также используют цветовую схему, аналогичную той, которую использует корпорация Microsoft. Наконец, киберпреступники применяют ряд методов, чтобы сделать письмо более правдоподобным: оно включает в себя правовую оговорку, аналогичную той, что содержится в настоящих письмах Microsoft, и сообщение о том, что письмо проверено антивирусом и не содержит вредоносного кода. Последнее сообщение содержит ссылку на популярный почтовый фильтр с открытым исходным кодом.
На самом деле, по данным специалистов Talos, письма отправляются с таиландского сегмента IP-адресов. В тексте письма есть настораживающие детали – например, неестественные символы. А главное – Microsoft не рассылает пользователям установочные файлы Windows почтой и никаких сроков установки новой ОС нет.
Содержащийся в письме вредоносный код – это CTB-Locker, одна из разновидностей программ-вымогателей, имеющая ряд интересных особенностей. Во-первых, она применяет для шифрования не ассиметричный алгоритм RSA (как большинство таких программ), а алгоритм эллиптических кривых, имеющий при таком же уровне криптостойкости гораздо более высокую скорость работы и меньший размер ключа. Во-вторых, CTB-Locker дает пользователям только 96 часов для того, чтобы оплатить разблокирование файлов (это гораздо меньше, чем у большинства программ-вымогателей). Он также выводит на экран список всех зашифрованных файлов и предлагает пользователю выбрать любые пять, которые тут же будут расшифрованы – в доказательство того, что после оплаты CTB-Locker расшифрует и все остальные данные.
Еще одна особенность CTB-Locker – механизм взаимодействия с центром управления и контроля. Он Вместо зараженных сайтов, построенных на технологии WordPress, CTB-Locker использует жестко заданные IP-адреса с нестандартными портами. Кроме того, наблюдается значительный объем данных, передаваемых между CTB-Locker и центром управления и контроля. Анализ сетевого трафика выявил около сотни активных сетевых сеансов с различными IP-адресами, при этом наиболее часто использовались порты с номерами 9001, 443, 1443 и 666. Кроме того, CTB-Locker использует для коммуникаций порт номер 21, который ассоциируется с трафиком FTP и потому обычно не блокируется межсетевыми экранами. Тем не менее быстрый анализ данных, передаваемых CTB-Locker, показал, что это не данные FTP, а обмен информацией с центром управления и контроля.
Исследование Talos позволило определить доменные имена, присутствующие в передаваемых данных. Эти доменные имена еще не зарегистрированы, а исследуемые образцы пока не пытаются использовать DNS для определения адресов и связи с этими доменами. Большая часть трафика передается по портам, обычно предназначенным для работы Tor, что довольно обычно для взаимодействия вредоносного ПО со своими центрами управления и контроля.