Kaspersky Lab: szkodliwe programy VIII 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy VII 2011

Bezceremonialna kradzież czyjegoś kodu jest typowym procederem w społeczności cyberprzestępczej. Pojawienie się Ice IX, który nie tylko rywalizuje ze SpyEyem, ale również znacznie zmniejsza koszty działania podobnych trojanów, wkrótce doprowadzi do pojawienia się nowych „bękartów” ZeuSa i jeszcze większej liczby ataków na użytkowników serwisów bankowości online.

Szkodliwe oprogramowanie i Bitcoin

Tego lata system pieniędzy elektronicznych Bitcoin znalazł się w centrum uwagi zarówno użytkowników komputerów jak i cyberprzestępców. System “generowania monet” przy użyciu komputerów stał się kolejnym sposobem nielegalnego zarabiania pieniędzy. Jakość generowanych monet zależy od mocy komputera. Im większa liczba komputerów, do którym ma dostęp osoba chcąca zarabiać na bitcoinach, tym większe potencjalne zarobki. Przy pomocy stosunkowo szybkiego ataku na właścicieli portfeli z bitcoinami cyberprzestępcy zdołali nie tylko je ukraść, ale również wykorzystać maszyny ofiar w celu stworzenia botnetów.
Jeszcze w czerwcu wykryliśmy pierwszego trojana (Trojan.NSIS.Miner.a), który bez wiedzy użytkownika generował bitcoiny na zainfekowanym komputerze. Incydent ten zapoczątkował naszą współpracę z wieloma kopalniami bitcoinów (serwerami, na których przechowywane są dane o uczestnikach sieci oraz ich kontach), która pomogła nam przechwycić kilka podobnych botnetów. Początek impasu między branżą antywirusową a cyberprzestępcami na tym nowym polu doprowadził do pojawienia się wielu nowych, bardziej wyrafinowanych typów botnetów bitcoinowych.

W sierpniu cyberprzestępcy znaleźli nowe zastosowania dla takich technologii jak Twitter, sieci P2P oraz serwery proxy.

Zasadniczo, Twitter był wykorzystywany w następujący sposób: bot wysyłał zapytanie do konta na Twitterze, które dostarczało pozostawione tam przez właściciela botnetu polecenia – tj. gdzie jest pobierany program generujący bitcoiny, wraz z instrukcjami, z którymi serwerami bitcoinów należy pracować. Wykorzystywanie Twittera jako centrum kontroli botnetu nie jest nową koncepcją, jednak po raz pierwszy została ona użyta w przypadku systemu bitcoin.
Botnety P2P same w sobie nie są niczym radykalnie nowym, jednak botnet P2P trojana Trojan.Win32.Miner.h wykryty przez ekspertów z Kaspersky Lab w sierpniu ma obecnie prawie 40 000 różnych publicznych adresów IP (według ostrożnych szacunków). Zważywszy, że większość komputerów jest obecnie chronionych przez zapory sieciowe lub bramy internetowe, rzeczywista liczba zainfekowanych maszyn może być kilkakrotnie wyższa. Bot ten instaluje system trzech generatorów bitcoinów jednocześnie: Ufasoft, RCP oraz Phoenix.

Dwie opisane wyżej technologie ułatwiają szkodliwym użytkownikom utrzymywanie swoich botnetów i wykorzystywanie różnych środków w walce z firmami antywirusowymi, którym łatwiej jest zablokować scentralizowane centra kontroli botnetów.p.