Ewolucja złośliwego oprogramowania I kw. 2014

Przeczytaj także: Ewolucja złośliwego oprogramowania 2013

Naturalnie, Agent.btz nie jest jedynym szkodliwym programem, który rozprzestrzenia się za pośrednictwem dysków flash USB.

Moduł 'USB Stealer' zawarty w szkodniku Red October zawiera listę plików, które wyszukuje na podłączonych do zainfekowanych komputerów dyskach flash USB. Zauważyliśmy, że lista ta zawiera pliki 'mysysmgr.ocx' oraz 'thumb.dll', tzn. dwa z plików zapisanych na dyskach flash przez Agent.btz.

Spoglądając jeszcze bardziej wstecz, podczas analizy Flamea, jak również jego kuzynów: Gaussa oraz miniFlame’a, zauważyliśmy jego podobieństwa ze szkodnikiem Agent.btz. W obydwu przypadkach stosowana jest podobna konwencja nazewnictwa, w szczególności wykorzystanie rozszerzenia '.ocx'. Ponadto, okazało się również, że zarówno Gauss jak i miniFlame „wiedziały” o pliku 'thumb.dll' i szukały go na dyskach flash USB.

Na koniec warto wspomnieć, że Turla wykorzystuje te same nazwy plików co Agent.btz w dzienniku zdarzeń przechowywanym na zainfekowanych komputerach - 'mswmpdat.tlb', 'winview.ocx' i 'wmcache.nld'. Stosuje również ten sam klucz XOR, aby zarejestrować swoje pliki.

Wszystkie różnice i podobieństwa przedstawiono poniżej.
Jak dotąd, wiemy tylko tyle, że istnieje kilka podobieństw między tymi szkodliwymi programami. Nie ma wątpliwości, że Agent.btz stanowił źródło inspiracji dla osób, które rozwinęły pozostałe szkodniki. Nie jesteśmy jednak w stanie stwierdzić z całą pewnością, czy za wszystkimi tymi zagrożeniami stała ta sama grupa osób.

Historie związane ze szkodliwym oprogramowaniem: obieranie cebuli

Tor (skrót od The Onion Router) to oprogramowanie, które pozwala użytkownikowi zachować anonimowość podczas uzyskiwania dostępu do internetu. Chociaż istnieje już od jakiegoś czasu, przez wiele lat było wykorzystywane głównie przez ekspertów i entuzjastów. Jednak w ciągu ostatnich kilku miesięcy rozpowszechnienie sieci Tor wzrosło, głównie ze względu na rosnące obawy dotyczące piractwa. Tor stał się przydatnym rozwiązaniem dla osób, które z jakiegoś powodu boją się inwigilacji i wycieku poufnych informacji. Jednak z badań przeprowadzonych w ostatnich miesiącach wynika, że Tor przyciąga również cyberprzestępców: również oni cenią sobie oferowaną przez tę sieć anonimowość.

W 2013 r. zauważyliśmy, że cyberprzestępcy zaczęli aktywnie wykorzystywać sieć Tor do hostowania swojej infrastruktury szkodliwego oprogramowania. Eksperci z Kaspersky Lab zidentyfikowali różne szkodliwe programy wykorzystujące sieć Tor . Badanie zasobów sieci Tor pozwoliło zidentyfikować wiele zasobów dedykowanych szkodliwemu oprogramowaniu, w tym serwery kontroli, panele administracyjne itd. Hostując swoje serwery w sieci Tor, cyberprzestępcy utrudniają ich identyfikację, umieszczenie na czarnej liście i usunięcie.

Cyberprzestępcze fora i rynki nie są niczym obcym w „normalnym” internecie. Ostatnio jednak pojawił się czarny rynek oparty na sieci Tor. Wszystko zaczęło się od niesławnego rynku Silk Road, który następnie rozbił się na dziesiątki wyspecjalizowanych rynków – narkotyków, broni i, naturalnie, szkodliwego oprogramowania.

W Darknecie zadomowiły się już sklepy, w których sprzedawane są skradzione informacje osobowe oferujące szeroki wachlarz kryteriów wyszukiwania, takich jak państwo, bank itd. Asortyment nie ogranicza się jedynie do kart kredytowych: można również kupić urządzenia do skimmingu (które są instalowane nielegalnie w bankomatach) oraz służące do przeprowadzania oszustw z wykorzystaniem kart kredytowych (carding).

Prosta procedura rejestracji, oceny wystawiane sprzedawcy, gwarantowany serwis oraz przyjazny dla użytkownika interfejs – to standardowe cechy czarnego rynku w sieci Tor. Niektóre sklepy wymagają, aby przed rozpoczęciem handlu sprzedawcy wpłacili kaucję, czyli ustaloną kwotę. Jest to sposób, aby zweryfikować, czy osoba sprzedająca jest uczciwa, a jej usługi nie są oszustwem czy złej jakości.