Эксплойт-кит MWI позволяет создавать вредоносные документы Word

Компания FireEye опубликовала исследование эксплойт-кита, рекламируемого на подпольных форумах, а также инструмента отслеживания эффективности вредоносных кампаний. Microsoft Word Intruder (WMI), рекламируемый в качестве APT-инструмента, идет в комплекте с MWISTAT, который позволяет операторам отслеживать деятельность различных кампаний.

Автор эксплойт-кита запрещает использование MWI в спам-кампаниях, тем же клиентам, которые игнорируют это требование, грозит отзыв лицензии. Эта особенность в сочетании с тем, что автор продает свой продукт лишь ограниченному числу клиентов, свидетельствует о стремлении избежать известности в отрасли информационной безопасности.

Как пишут исследователи FireEye Нарт Вильнев (Nart Villeneuve) и Джошуа Хоман (Joshua Homan), MWI позволяет операторам отслеживать ведущиеся кампании, процент успешных заражений и получать IP-адреса, географическое расположение и версии Microsoft Office жертв. Это позволяет злоумышленникам точно подстраивать свои методы распространения зловредов для повышения общей эффективности кампаний.

MWI представляет собой компоновщик, создающий вредоносные документы для Word. Его создатель Objeckt рекламирует его на форумах как «наиболее надежный и универсальный .doc эксплойт-пак» начиная с мая 2013 года. Исследователи отмечают, что приватная версия могла существовать задолго до этого времени. Стоимость компоновщика варьируется в диапазоне от $2000 до $3500. Последняя версия MWI 4.0 содержит, согласно рекламе, следующие эксплойты:

  • CVE-2010-3333;
  • CVE-2012-0158;
  • CVE-2013-3906;
  • CVE-2014-1761.

Инструмент MWISTAT был выпущен в декабре 2014 года и позволяет обладателям компоновщика MWI отслеживать успехи их кампаний. Исследование исходного кода MWISTAT, проведенное аналитиками FireEye, показало, что его автором также является Objekt.

MWISTAT представляет собой PHP-пакет, устанавливаемый на сервер управления и контроля. Он получает запросы с зараженных компьютеров при открытии документа Word, созданного компоновщиком MWI. MWISTAT проверяет ID-номер первоначального запроса, что позволяет отслеживать несколько кампаний параллельно. Если в запросе отсутствует ID-номер или ID-номер некорректен, запрос отмечается как подозрительный.

Аналитикам FireEye удалось обнаружить два кластера зараженных компьютеров, предположительно ставших жертвами двух разных кампаний. В исследованных FireEye инцидентах, отнесенных к кластеру 1, полезной нагрузкой вредоносных документов, созданных MWI, оказался зловред Chthonic, ранее обнаруженный «Лабораторией Касперского». В случае кластера 2 вредоносной нагрузкой был троянец удаленного управления XtremeRAT.

Ряд признаков позволили заключить, что Chthonic основан на исходном коде знаменитого троянца-банкера ZeuS. «Новый троянец Chthonic представляет собой очередной этап эволюции ZeuS: он использует шифрование Zeus AES, виртуальную машину, подобную той, что была в ZeusVM и KINS, и загрузчик Andromeda», — написали аналитики «Лаборатории Касперского».

Первичной задачей Chthonic является загрузка дополнительных модулей с сервера. «Лаборатория Касперского» описала модули, предназначенные для сбора системной информации, извлечения сохраненных паролей, организации удаленного доступа, журналирования нажатия клавиш, снятия изображения с веб-камеры и использования скомпрометированной машины в качестве прокси-сервера. Также были обнаружены модули для веб-внедрения и формграббинга, служащие для кражи учетных данных в системах интернет-банкинга.

Журналы, которые удалось извлечь из серверов управления и контроля кластера 1, выявили подключения от 809 пользователей, открывших вредоносные документы. При этом лишь в 144 случаях произошла успешная загрузка вредоносной нагрузки. Жертвы были распределены по 43 странам, 41% из них находятся в Канаде, 31% — в Австралии, 13% — в США. В то же время исследование серверов кластера 2 выявило подключение 597 пользователей, 180 из которых получили зловреда. Жертвы кластера 2 располагаются в 45 странах, 18% из них — во Вьетнаме, 12% — в США, 9% — в Китае.

Источник:threatpost.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s