Компанія ESET — лідер у галузі проактивного виявлення — спільно з компанією Microsoft та правоохоронними органами взяла участь у операції, спрямованій на знешкодження ботнета під назвою Gamarue (Andromeda), жертвами якого щомісяця ставали 1,1 мільйона систем у всьому світі. Дану загрозу продукти ESET виявляють як Win32/TrojanDownloader.Wauchos.
Завдяки скоординованим діям, які розпочалися 29 листопада 2017 року, правоохоронні органи у різних країнах світу змогли заарештувати причетних осіб та перешкодити злочинній активності шкідливого програмного забезпечення Wauchos. Зокрема дослідники ESET та Microsoft надали технічний аналіз, статистичну інформацію та інформацію про командні (C&C) сервери. Спеціалісти компанії ESET також поділилися своїми знаннями про Gamarue, отриманими завдяки постійному моніторингу загрози протягом останніх кількох років.
Загроза Gamarue вперше була зафіксована ще у вересні 2011 року. Шкідливе програмне забезпечення переважно продавалося на підпільних форумах та стало дуже популярним серед кіберзлочинців, що призвело до створення багатьох ботнет-мереж Gamarue.
Зловмисники використовували дану загрозу для викрадення облікових даних користувачів, а також завантаження та встановлення додаткових шкідливих програм в систему. Один з таких плагінів дозволяв зловмисникам викрадати дані, введені користувачами у веб-форми, а інший — надавав можливість підключатися й управляти інфікованими системами.
Рис. 1. . Карта поширення Wauchos (грудень 2016 – джерело virusradar.com)
Під час дослідження загрози спеціалісти ESET змогли створити емуляцію ботнету, за допомогою якої отримали можливість зв'язуватися з командними серверами загрози. Таким чином, дослідники ESET та Microsoft змогли пильно стежити за ботнетами Gamarue протягом останніх півтора року, ідентифікуючи їхні командні сервери для видалення та моніторингу встановлених шкідливих програм у системах жертв.
«Ця загроза існує вже кілька років, і вона постійно змінюється, ускладнюючи спостереження. Але, використовуючи ESET Threat Intelligence, спеціалісти ESET спільно з дослідниками Microsoft змогли відслідкувати зміни в поведінці шкідливих програм і, як результат, надати цінні дані для знешкодження ботнету», — розповідають спеціалісти вірусної лабораторії ESET.
Глобальний характер цієї загрози також підтверджує різноманітність командних серверів, використаних операторами. Під час моніторингу цієї загрози спеціалісти ESET змогли щомісяця виявляти десятки командних серверів Wauchos. На рисунку 2 показано різні домени першого рівня, використані командними серверами, а на рисунку 3 зображена геолокація IP командних серверів у листопаді та грудні 2016 року.
Рис. 2. Домени першого рівня командних серверів станом на листопад і грудень 2016 р.
Рис. 3. Геолокація IP командних серверів станом на листопад і грудень 2016 р.
Варто відзначити, що багато проаналізованих зразків перевіряють розкладку клавіатури в системі і не продовжують інфікування у випадку ідентифікацій української, російської, білоруської та казахстанської розкладок.
Оскільки шкідливе програмне забезпечення Wauchos купували та поширювали різні кіберзлочинці, вектори інфікування значно відрізняються. Зокрема зразки Wauchos розповсюджувалися через соціальні медіа, миттєві повідомлення, змінні носії, спам та набори експлойтів.
Рис. 4. Типовий електронний лист зі спамом, за допомогою якого поширювався Wauchos
У зв’язку з небезпекою подальшого поширення загрози спеціалісти ESET рекомендують користувачам бути особливо обережними під час відкриття файлів із змінних носіїв та отриманих через електронну пошту або соціальні медіа, а також використовувати надійні антивірусні рішення для захисту від нових кіберзагроз.
У разі інфікування Wauchos для очищення системи від шкідливих програм слід скористатися безкоштовним інструментом ESET Online Scanner. Варто відзначити, що продукти ESET в даний час виявляють тисячі версій модулів Wauchos та різні шкідливі програми, які розповсюджуються ботнет-мережами Wauchos.
Хеші
SHA-1 Виявлення
CC9AC16847427CC15909A60B130CB7E67D2D3804 Win32/TrojanDownloader.Wauchos.B
BCD45398983EB58B33294DFE852B57B1ADD5117E Win32/TrojanDownloader.Wauchos.AK
6FA5E48AD60B53761A42725A4B9EC12B85963F90 Win32/TrojanDownloader.Small.AHI
6D5051580DA73570944BBE79A9EA7F2E4D006699 Win32/TrojanDownloader.Wauchos.O