Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про виявлення зразків шкідливого програмного забезпечення для здійснення цілеспрямованого шпіонажу — інструментарію SBDH. Використовуючи потужні фільтри, різні методи з’єднання з операторами та стійкі техніки, загроза викрадає певні файли урядових і державних установ, діяльність яких пов’язана з економічним зростанням та співробітництвом у Центральній та Східній Європі. Тільки протягом минулого року спеціалісти ESET виявили зразки шкідливої програми в Чехії, Словаччині, Угорщині, Польщі та Україні.
Інструментарій загрози, зокрема його основна частина, поширюється за допомогою виконуваного файлу з подвійним розширенням, прикріпленого до фішингових електронних листів (використовуючи налаштування Windows для прихованих розширень за замовчуванням). Для підвищення шансів запуску одержувачем небезпечна програма використовує на перший погляд легітимні іконки декількох додатків Microsoft або документа Word.
У разі успішного запуску шкідливе програмне забезпечення з’єднується з віддаленою точкою для завантаження двох інших основних компонентів інструментарію: бекдора та викрадача даних. Поєднання цих модулів дозволяє не тільки дистанційно управляти інфікованим комп'ютером, але й надає кіберзлочинцям удосконалений метод викрадення даних.
Завдяки потужним фільтрам оператор шкідливої програми може зазначати умови для викрадення даних до найменших деталей, таких як розширення файлу, дата створення, розмір файлу та інші, змінюючи їх за допомогою файлів конфігурації програми.
Оскільки всі компоненти шпигунського інструментарію вимагають підключення до командного сервера (C&C), небезпечне програмне забезпечення в значній мірі залежить від успіху мережевих підключень.
Для збільшення шансів інфікування загроза використовує різні типи з’єднань. Спочатку шпигунська програма використовує протокол HTTP. У разі збою шкідливе програмне забезпечення SBDH з’єднується через протокол SMTP, використовуючи вільний зовнішній шлюз.
Третім способом підключення шпигунської програми є додавання фальшивих повідомлень електронної пошти в Microsoft Outlook Express. Таким чином, нелегітимні електронні листи відправляються з облікового запису жертви, дозволяючи загрозі обійти заходи безпеки (передбачено, що користувач має права відправляти та отримувати повідомлення електронної пошти). Небезпечні повідомлення, створені шкідливою програмою, перебувають безпосередньо у вихідних повідомленнях жертви, щоб уникнути зайвої уваги.
Для інфікування вхідних повідомлень шкідливе програмне забезпечення шукає поштову скриньку жертви для ідентифікації електронних листів з певними темами. Знайшовши такі повідомлення, програма аналізує та перевіряє їх за допомогою команд. Насамкінець, теми листів змінюються для уникнення подальшого виявлення.
Проте останній спосіб з’єднання використовувався тільки до 2006 року, коли Outlook Express був замінений більш новим додатком — Windows Mail. З того часу розробники цього інструментарію більшою мірою зосереджені на вдосконаленні методу HTTP зв'язку та маскують з’єднання з командним сервером, використовуючи несправжні файли зображень (.JPG, .GIF) для переміщення даних.
На випадок недоступності командного сервера компонент бекдор слугував додатковим «рішенням для резервного копіювання». Жорстко запрограмований URL вказує на фальшиві зображення (розміщені на безкоштовному блозі веб-сторінки), які містили адресу альтернативного командного сервера.
Деякі з проаналізованих зразків цього компонента застосовують досить цікавий метод для стійкості інфікування. Загроза замінює програму для обробки документів Word на власні файли. У зв’язку з цим під час кожного відкриття чи редагування документу відбувається запуск небезпечної програми.
Назву «SBDH» спеціалісти ESET знайшли в шляхах компіляції завантажувача загрози, а комбінація «B64SBDH» діє як механізм для запуску завантаження інших компонентів з віддаленого сервера.
Шпигунський інструментарій SBDH став ще одним прикладом використання сучасними загрозами простого способу поширення — через шкідливі вкладення електронної пошти. У зв’язку з цим спеціалісти ESET настійно рекомендують користувачам дотримуватися заходів безпеки під час роботи з електронною поштою та використовувати надійне комплексне антивірусне рішення, здатне забезпечити багаторівневий захист комп’ютера.