Компания ESET — лидер в области проактивного обнаружения — сообщает об обнаружении образцов вредоносного программного обеспечения для осуществления целенаправленного шпионажа — инструментария SBDH. Используя мощные фильтры, различные методы соединения с операторами и устойчивые техники, угроза похищает определенные файлы правительственных и государственных учреждений, деятельность которых связана с экономическим ростом и сотрудничеством в Центральной и Восточной Европе. Только в течение прошлого года специалисты ESET обнаружили образцы вредоносной программы в Чехии, Словакии, Венгрии, Польше и Украине.
Инструментарий угрозы, а именно его основная часть, распространяется в качестве исполняемого файла с двойным расширением, прикрепленного к фишинговым электронным письмам (используя настройки Windows для скрытых расширений по умолчанию). Для повышения шансов запуска получателем вредоносная программа использует на первый взгляд легитимные иконки нескольких приложений Microsoft или документа Word.
В случае успешного запуска вредоносное программное обеспечение соединяется с удаленной точкой для загрузки двух других основных компонентов инструментария: бэкдора и похитителя данных. Сочетание этих модулей позволяет не только дистанционно управлять инфицированным компьютером, но и предоставляет киберпреступникам усовершенствованный метод кражи данных.
Благодаря мощным фильтрам оператор вредоносной программы может указывать условия для похищения данных до мельчайших деталей, таких как расширение файла, дата создания, размер файла и другие, меняя их с помощью файлов конфигурации программы.
Поскольку все компоненты шпионского инструментария требуют подключения к командному серверу (C&C), опасное программное обеспечение в значительной степени зависит от успеха сетевых подключений.
Для увеличения шансов инфицирования угроза использует различные типы соединений. Сначала шпионская программа использует протокол HTTP. В случае сбоя вредоносное программное обеспечение SBDH соединяется по протоколу SMTP, используя свободный внешний шлюз.
Третьим способом подключения шпионской программы является добавление фальшивых сообщений электронной почты в Microsoft Outlook Express. Таким образом, нелегитимные электронные письма отправляются с учетной записи жертвы, позволяя угрозе обойти меры безопасности (предусмотрено, что пользователь имеет права отправлять и получать сообщения электронной почты). Опасные сообщения, созданные вредоносной программой, находятся непосредственно в исходящих сообщениях жертвы, чтобы избежать лишнего внимания.
Для инфицирования входящих сообщений вредоносное программное обеспечение ищет почтовый ящик жертвы для идентификации электронных писем с определенными темами. После нахождения таких сообщений, программа анализирует и проверяет их с помощью команд. Наконец, темы писем меняются для избегания дальнейшего обнаружения.
Однако последний способ соединения использовался только до 2006 года, когда Outlook Express был заменен более новым приложением — Windows Mail. С тех пор разработчики этого инструментария в большей степени сосредоточены на усовершенствовании метода HTTP связи и маскируют соединения с командным сервером, используя ложные файлы изображений (.JPG, .GIF) для перемещения данных.
В случае недоступности командного сервера компонент бэкдор служил дополнительным «решением для резервного копирования». Жестко запрограммированный URL указывает на фальшивые изображения (размещенные на бесплатном блоге веб-страницы), которые содержали адрес альтернативного командного сервера.
Некоторые из проанализированных образцов этого компонента применяют довольно интересный метод для устойчивости инфицирования. Угроза заменяет программу для обработки документов Word на собственные файлы. В связи с этим во время каждого открытия или изменения документа происходит запуск опасной программы.
Название «SBDH» специалисты ESET обнаружили в путях компиляции загрузчика угрозы, а комбинация «B64SBDH» действует как механизм для запуска загрузки других компонентов с удаленного сервера.
Шпионский инструментарий SBDH стал еще одним примером использования современными угрозами простого способа распространения — через вредоносные вложения электронной почты. В связи с этим специалисты ESET настоятельно рекомендуют пользователям соблюдать меры безопасности при работе с электронной почтой и использовать надежное комплексное антивирусное решение, способное обеспечить многоуровневую защиту компьютера.