Az Asprox trójai korábbi verziója 2007-ben jelent meg először. Először a fertőzött számítógépen egy proxy szolgáltatást létesített, majd az évek során sok újabb kártékony tulajdonsággal egészítették ki, amelyek a kiberbűnözőket segítik. Főleg SPAM-, és vírus-terjesztésre használták, de adathalász és SQL befecskendezéses (LizaMoon) támadásokban is szerepet játszott.
A FireEye kutatói szerint az Asprox elleni védelem – a kód módosításai miatt – a hagyományos megoldásokkal már nem célravezető. Mivel az Asprox újabban APT-alapú támadásokat is elősegít, ezért az általa terjesztett malware-ek ellen több szinten, a védelmi eszközök együttes felhasználásával lehet csak fellépni.
A FireEye Labs azonosított és nyomon követ egy új kiterjedt kártékony email kampányt, amely 2013-ban kezdődött. Kampányonként 50 000 – 500 000 db (napi néhány száztól – több tízezer darabig) kártékony levél kiküldésére került sor. A FireEye naponta az Asprox-szal kapcsolatos kártékony kódok 10-40 egyedi változatát azonosította, viszont május 29-én már 6 400 egyedi MD5-hash kód keletkezett.
Korábban az Asprox e-mail kampányai számos ország különböző iparágait célozták, és az e-mail-ek törzsében URL-t tartalmaztak. A kampányban használt Asprox jelenlegi verziójában az e-mail fejlécben bírósághoz kapcsolódó információk szerepelnek és egy tömörített csatolmány (.ZIP), amelyben egy káros, futtatható „.EXE” állomány található. A kiberbűnözők célja, hogy rávegyék a címzettet a csatolt fájl megnyitására. Amennyiben ez megtörténik és nincs megfelelő védelem, kártékony kód kerül a memóriába, amely rögtön elindít egy „svchost.exe” folyamatot, amelyet megfertőz a saját kódjával, majd bemásol egy véletlenszerű fájlnévvel rendelkező exe állományt a “%LOCALAPPDATA%” könyvtárba. Ez a Windows újraindítását követően automatikusan betöltődik.
A védekezés szempontjából elsődleges és legfontosabb, hogy az e-mail mellékletek megnyitásánál legyünk körültekintőek. Ha az Asprox-os melléklet nem kerül megnyitásra, akkor a károkozás is elmarad.
Az alábbi lista példákat tartalmaz az e-mail tárgymezőben használt hamis „bírósági értesítőkre”:
-
Urgent court notice
-
Notice to Appear in Court
-
Notice of appearance in court
-
Warrant to appear
-
Pretrial notice
-
Court hearing notice
-
Hearing of your case
-
Mandatory court appearance
Magyarországi viszonylatban nagy valószínűséggel magyar nyelvű tárggyal érkezhetnek a kártékony kódot tartalmazó, fenti típusú SPAM-ek.
Forrás és további információk:
http://threatpost.com/asprox-malware-borrowing-stealth-from-apt-campaigns
Asprox előzmények:
http://tech.cert-hungary.hu/vulnerabilities/CH-10932
http://tech.cert-hungary.hu/taxonomy/term/5333
http://tech.cert-hungary.hu/tech-blog/110407/a-lizamoon-tamadas-analizise
