Újfajta Asprox botnet kampány bírósági értesítésnek álcázva

Az Asprox trójai korábbi verziója 2007-ben jelent meg először. Először a fertőzött számítógépen egy proxy szolgáltatást létesített, majd az évek során sok újabb kártékony tulajdonsággal egészítették ki, amelyek a kiberbűnözőket segítik. Főleg SPAM-, és vírus-terjesztésre használták, de adathalász és SQL befecskendezéses (LizaMoon) támadásokban is szerepet játszott.

A FireEye kutatói szerint az Asprox elleni védelem – a kód módosításai miatt – a hagyományos megoldásokkal már nem célravezető. Mivel az Asprox újabban APT-alapú támadásokat is elősegít, ezért az általa terjesztett malware-ek ellen több szinten, a védelmi eszközök együttes felhasználásával lehet csak fellépni.

A FireEye Labs azonosított és nyomon követ egy új kiterjedt kártékony email kampányt, amely 2013-ban kezdődött. Kampányonként 50 000 – 500 000 db (napi néhány száztól – több tízezer darabig) kártékony levél kiküldésére került sor. A FireEye naponta az Asprox-szal kapcsolatos kártékony kódok 10-40 egyedi változatát azonosította, viszont május 29-én már 6 400 egyedi MD5-hash kód keletkezett.

Korábban az Asprox e-mail kampányai számos ország különböző iparágait célozták, és az e-mail-ek törzsében URL-t tartalmaztak. A kampányban használt Asprox jelenlegi verziójában az e-mail fejlécben bírósághoz kapcsolódó információk szerepelnek és egy tömörített csatolmány (.ZIP), amelyben egy káros, futtatható „.EXE” állomány található. A kiberbűnözők célja, hogy rávegyék a címzettet a csatolt fájl megnyitására. Amennyiben ez megtörténik és nincs megfelelő védelem, kártékony kód kerül a memóriába, amely rögtön elindít egy „svchost.exe” folyamatot, amelyet megfertőz a saját kódjával, majd bemásol egy véletlenszerű fájlnévvel rendelkező exe állományt a “%LOCALAPPDATA%” könyvtárba. Ez a Windows újraindítását követően automatikusan betöltődik.

A védekezés szempontjából elsődleges és legfontosabb, hogy az e-mail mellékletek megnyitásánál legyünk körültekintőek. Ha az Asprox-os melléklet nem kerül megnyitásra, akkor a károkozás is elmarad.

Az alábbi lista példákat tartalmaz az e-mail tárgymezőben használt hamis „bírósági értesítőkre”:

  • Urgent court notice

  • Notice to Appear in Court

  • Notice of appearance in court

  • Warrant to appear

  • Pretrial notice

  • Court hearing notice

  • Hearing of your case

  • Mandatory court appearance

Magyarországi viszonylatban nagy valószínűséggel magyar nyelvű tárggyal érkezhetnek a kártékony kódot tartalmazó, fenti típusú SPAM-ek.

 

Forrás és további információk:

http://www.fireeye.com/blog/technical/malware-research/2014/06/a-not-so-civic-duty-asprox-botnet-campaign-spreads-court-dates-and-malware.html

http://threatpost.com/asprox-malware-borrowing-stealth-from-apt-campaigns

 

Asprox előzmények:

http://tech.cert-hungary.hu/vulnerabilities/CH-10932

http://tech.cert-hungary.hu/taxonomy/term/5333

http://tech.cert-hungary.hu/tech-blog/110407/a-lizamoon-tamadas-analizise