Niebezpieczeństwa w Internecie

Przeczytaj także: Kaspersky Lab: szkodliwe programy IX 2010

Tym, co wyróżnia najnowszą wersję Gumblara, jest zautomatyzowany proces infekowania stron internetowych i komputerów użytkowników końcowych.

W atakach wykorzystywane są zarówno exploity jak i pliki wykonywalne, które są umieszczane w zhakowanych zasobach. Gdy użytkownik odwiedzi zainfekowany przez Gumblara zasób, zostanie przekierowany na inną zainfekowaną stronę, która zainfekuje jego komputer. W atakach Gumblara wykorzystywane są znane luki w zabezpieczeniach programów Internet Explorer, Adobe Acrobat/Reader, Adobe Flash Player oraz tych stworzonych w języku programowania Java.

Również Pegel rozprzestrzenia się za pośrednictwem zainfekowanych legalnych stron, jednak komputery ofiar są infekowane przy użyciu serwerów kontrolowanych przez cyberprzestępców. Metoda ta ułatwia cyberprzestępcom modyfikację pliku wykonywalnego oraz pakietu exploitów, pozwalając na szybką reakcję na nowe luki w zabezpieczeniach. Na przykład, jeden cyberprzestępca dodał do pakietu exploita wykorzystującego lukę w Java Deployment Toolkit. Zrobił to niemal natychmiast po tym, jak udostępniono kod źródłowy. Downloader Twetti jest kolejnym trojanem, który wykorzystuje interesujące techniki. Szkodnik ten tworzy wiele żądań do API Twittera, a otrzymane dane wykorzystuje do wygenerowania pseudolosowej nazwy domeny. W rezultacie użytkownicy są przekierowywani do domeny o tej nazwie. Cyberprzestępcy stosują podobny algorytm w celu uzyskania nazwy domeny, zarejestrowania jej, a następnie umieszczenia na stronie szkodliwych programów, które mają być pobierane na maszyny ofiar.

Crimepack Exploit System: przykład pakietu exploitów

W celu zilustrowania problemu przyjrzyjmy się jednemu z najbardziej rozpowszechnionych pakietów exploitów będących obecnie w sprzedaży: Crimepack Exploit System.

Crimepack posiada własny panel kontroli z wysokiej jakości interfejsem.

Interfejs sieciowy panelu administracyjnego może być wykorzystywany do modyfikowania konfiguracji pakietu exploitów. Dostarcza również statystyki dotyczące ilości pobrań, skutecznych exploitów oraz systemów operacyjnych i przeglądarek działających na komputerach ofiar.

Sam pakiet exploitów jest zaszyfrowaną i zaciemnioną stroną w HTML-u zawierającą JavaScript.

Analiza odszyfrowanej strony pozwala prześledzić główną funkcjonalność Crimepacka. Umieszczony w stronie skrypt próbuje, w określonych odstępach czasu, wykorzystywać luki w zabezpieczeniach programu Internet Explorer, DirectX, Java oraz Adobe Reader. Podczas tych prób wykorzystywany jest zestaw różnych komponentów, łącznie ze szkodliwymi plikami PDF i JAR, które są ładowane wraz z uruchomieniem pierwotnego skryptu.

W lipcu 2010 roku Crimepack Exploit System doczekał się już trzeciej wersji. Tym razem pakiet zawierał 14 exploitów wykorzystujących luki w produktach firm Microsoft, Adobe, Mozila i Opera.