Analiza przypadku: botnet PowerZeus, przypadek infekcji polskich użytkowników

Data publikacji: 18/10/2013, Łukasz Siewierski

Publikujemy kolejny raport techniczny dotyczący malware’u atakującego polskich użytkowników. W lipcu 2013 roku do CERT Polska dotarły informacje kradzieży środków z kont polskich użytkowników przy użyciu nowego rodzaju malware. Pomimo, że używane przez ten malware techniki oraz aplikacja mobilna była znana już od kwietnia, to od lipca cyberprzestępcy zaczęli używać nowego botnetu jako kanału dystrybucji. Udało się ustalić, iż komputery ofiar zainfekowane są oprogramowaniem, które posiada możliwości podobne do znanego wcześniej malware’u ZeuS, m.in. modyfikacja treści strony po stronie klienta. Złośliwe oprogramowanie po tym jak użytkownik zaloguje się do systemu bankowego wykrada dane dostępowe oraz nakłania użytkownika do zainstalowania specjalnej, rzekomo przygotowanej przez bank aplikacji na telefonie z systemem Android. Mając kontrolę nad telefonem przestępcy mogą obejść zabezpieczenie polegające na potwierdzeniu zlecenia przelewu poprzez SMS z kodem autoryzacyjnym. W ten sposób wyprowadzają oni środki z kont zainfekowanych użytkowników. Poniższy raport opisuje każdy z elementów wykorzystanych przy opisanym procederze. Zawarte są zarówno ogólne informacje jak, techniczne szczegóły oraz zalecenia w jaki sposób radzić sobie z zagrożeniem. Malware ten znany jest jako KINS lub PowerZeus.

Najważniejsze ustalenia:

    • Jest to pierwszy zaobserwowany w Polsce przypadek użycia malware’u KINS/PowerZeus
    • 2 domeny .ru były wykorzystywane jako serwery C&C.
    • Domeny używane jako serwery C&C zostały już sinkhole’owane dzięki współpracy z Kaspersky Lab. W ciągu 1.5 godziny połączyły się z nimi 734 różne adresy IP, głównie z Polski.
    • Malware wykorzystywał polskie domeny, których hosty zostały przejęte w wyniku włamania, do dystrybucji złośliwej aplikacji.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.