;

Dva nové trojské koně zneužívají anonymizér Tor

26. 7. 2013
Doba čtení: 3 minuty

Sdílet

 Autor: Login do administrace řídicího serveru malwaru Atrax (Eset software)
Antivirová společnost ESET oznámila, že pro trojské koně Atrax.A a Agent.PTA se jejich řídicí servery maskují pomocí známého anonymizačního systému Tor. Tím znesnadňují jejích nalezení.

Řídicí servery útočníků k tomu používají službu Tor Hidden Services (skryté služby), díky čemuž dokážou utajit skutečné umístění serveru, a tak významně zkomplikovat jeho odhalení a zablokování.

V případě trojanu Win32/Atrax.A jde zřejmě o úplně nový škodlivý kód, který byl vytvořen v červenci. Nasvědčují tomu informace ze souboru, které udávají jeho vznik. K infikování počítačů používá e-mailem šířenou přílohu, která se maskuje za PDF soubor. Ve skutečnosti však jde o downloader, jehož úkolem je připojit se na stránku kundenservice-paypal.com, ze které do počítače stáhne trojský kůň Atrax.A. Uvedená stránka nijak nesouvisí se známým platebním systémem PayPal a byla zaregistrována také v červenci. ESET však nevylučuje, že Atrax.A používá ke svému šíření i jiné metody.

Trojský kůň se pokouší skrýt nejen svůj řídící server ale i sebe - například před bezpečnostními výzkumníky. Atrax.A průběžně zjišťuje, zda právě není analyzován – taková analýza většinou probíhá na virtuálním počítači, a právě těm se Atrax.A vyhýbá. Pluginy stažené z řídicího serveru potom ukládá trojan na disk v zašifrované formě. K šifrování používá jedinečné identifikátory zařízení DigitalProductID a MachineGUID.

„To znamená, že když nám takto zašifrovaný plugin pošle někdo k analýze, bez těchto identifikátorů ho nedokážeme rozšifrovat, a tedy analyzovat,“ říká Petr Šnajdr, bezpečnostní odborník spoločnosti ESET. Při analýze našel ESET dva odlišné typy pluginů. První z nmich z nakaženého počítače odesílá vyplněné online formuláře, do kterých uživatel vpisuje například osobní údaje. Druhý zase z počítače krade hesla. „Tor Hidden Service protokol je účinným způsobem, jak vytvořit anonymní spojení s řídícím serverem, pro krádeže velkých objemů dat je však příliš pomalý,“ dodává k odesílání údajů Petr Šnajdr.

ICTS24

Druhým objeveným škodlivým kódem je Win32/Agent.PTA. Jde o staršího trojského koně, který je znám od roku 2012. To, že zneužívá Tor Hidden Services je však novinkou. Win32/Agent.PTA dokáže z infikovaného přístroje odesílat vyplněné online formuláře a také na něm aktivovat funkci, díky níž ho může útočník využívat k surfování na webu. Tvůrci nebo majitelé škodlivého kódu potom mohou za pomoci ukradených údajů například z internetového bankovnictví uskutečnit transakci přímo s využitím prohlížeče své oběti, takže se na straně banky nespustí výstražný signál, který by byl aktivován například poté, kdyby se k českému účtu přihlásil jeho majitel nečekaně z Mexika.

G+