[ΑΠΟΚΛΕΙΣΤΙΚΟ] Νέα στοιχεία για τον “ιό της αστυνομίας” αποκαλύπτει ο Ανδρέας Βενιέρης

Ο Ανδρέας Βενιέρης, εξέχων Έλληνας ερευνητής ασφάλειας συστημάτων και εξωτερικός συνεργάτης του SecNews, είναι από τους πρώτους στην Ελλάδα που ανέλυσαν τον γνωστό σε όλους μας “ιό της αστυνομίας”.

Το κακόβουλο λογισμικό έγινε ιδιαίτερα γνωστό και στην Ελλάδα, ιδιαιτέρως το τελευταίο έτος, μιας και πραγματοποιούσε εγκατάσταση σε τερματικούς σταθμούς ανυποψίαστων χρηστών με μηνύματα υποτιθέμενων εγκληματικών ενεργειών μέσω Η/Υ, ζητώντας από τους χρήστες να πληρώσουν ποσό για να επαναφέρουν τα συστήματά τους. Η Δίωξη Ηλεκτρονικού εγκλήματος έχει δημιουργήσει μάλιστα σχετική υποσελίδα, που προσδιορίζει τον τρόπο επαναφοράς σε περίπτωση που πέσετε θύμα και αναλυτικές οδηγίες αναφορικά με τον “ιό”.

Την αρχική ανάλυση του κ. Βενιέρη μπορείτε να διαβάσετε αναλυτικά [εδώ]. Ο Ανδρέας Βενιέρης επανήλθε  τις τελευταίες ημέρες με μια νέα,πρόσθετη ανάλυση του κακόβουλου λογισμικού που δημοσιοποιεί ΑΠΟΚΛΕΙΣΤΙΚΑ σήμερα το SecNews.

[blockquote]Η έρευνα αποδεικνύει σαφώς ότι το λογισμικό συνεχίζει να διαδίδεται ακόμα στην Ελλάδα αλλά και στο εξωτερικό (με πολύ χαμηλότερα βέβαια συνολικά ποσοστά μολύνσεων μιας και ήδη εντοπίζεται από τα περισσότερα κοινά antivirus/antimalware).[/blockquote]

Πως γίνεται η απάτη

Η απάτη πραγματοποιείται ως εξής: Μετά την εγκατάσταση του κακόβουλου λογισμικού εμφανίζεται popup, όπου ορίζεται η οικονομική απαίτηση. Το ποσό του υποτιθέμενου προστίμου είναι €100. Ο ανυποψίαστος χρήστης-θύμα καλείται να πληρώσει το “υποτιθέμενο πρόστιμο” με κουπόνια Paysafe ή Ukash. Μόλις η κάρτα εισαχθεί στο popup που αναφέρεται, το πρόγραμμα περιήγησης, όπως αναφέρει το  μήνυμα, ξεμπλοκάρει και όλες οι πληροφορίες θα αποκρυπτογραφηθούν εντός 24 ωρών.

Αν ο κωδικός της κάρτας που θα εισαχθεί είναι λανθασμένος εμφανίζει το παρακάτω μήνυμα:

Η φόρμα εισαγωγής της Paysafe κάρτας ή της κάρτας Ukash.

 

 Τα στοιχεία της ανάλυσης

Ο ερευνητής, εντόπισε τα 3 νέα domains που διασπείρουν το σχετικό κακόβουλο λογισμικό. Τα domains είναι:

• seniorreversemortgagedfw.com
• fiatalfadealer.com
• fiatalfaofwinterhaven.com

Τα domains έχουν δημιουργηθεί στην γνωστή υπηρεσία Godaddy

[alert variation=”alert-info”]Domain Name: SENIORREVERSEMORTGAGEDFW.COM

Registrar URL: http://www.godaddy.com

Registrant Name: Anthony Adams

Registrant Organization: Name Server: NS69.DOMAINCONTROL.COM

Name Server: NS70.DOMAINCONTROL.COM

DNSSEC: unsigned[/alert]

 

Ο ερευνητής δοκίμασε να επισκεφτεί την ιστοσελίδα hxxp://tvv.seniorreversemortgagedfw.com (σ.σ έχουμε αλλάξει το url με xx ώστε να μην γίνει ανακατεύθυνση από χρήστες). Το πρόγραμμα πραγματοποιεί ανακατεύθυνση στο msn.com (!)

Μετά το πρώτο GET request όπως αναφέρει ο ερευνητής, κάνει redirection σε διαφορετική ιστοσελίδα όπου πραγματοποιείται η διασπορά του κακόβουλου λογισμικού (ιού της αστυνομίας). Τα urls που γίνεται η ανακατεύθυνση είναι τα κάτωθι:

hxxp://mfdy.fiatalfadealer.com/reasonable-doubt/V6VtXawbKAwnRWpkHuVYGWwqUlcNZehSb3IKjsK8kV4Y4DncCfxpcgE7DjDf3ZjiYB/3WUsmZz9KLU_/Jb8MEIQg~~/NmMyN2RkYzJlZjRiZGRjYjM3MGE5OWQxOTJmOGZ/abuse-of-right.maff
ή στο
hxxp://htds.fiatalfaofwinterhaven.com/reasonable-doubt/V6VtXawbKAwnRWpkHuVYGWwqUlcNZehSb3IKjsK8kV4Y4DncCfxpcgE7DjDf3ZjiYB/3WUsmZz9KLU_/Jb8MEIQg~~/NmMyN2RkYzJlZjRiZGRjYjM3MGE5OWQxOTJmOGZ/abuse-of-right.maff

Και τα δύο, όπως εντοπίζει ο ερευνητής στην δικτυακή του ανάλυση, είναι hosted στην ίδια IP διεύθυνση και συγκεκριμένα στην 217.172.185.150. O εξυπηρετητής βρίσκεται στην Γερμανία στον κάτωθι ISP

[alert]IP Location Germany

Germany Hurth Intergenia Ag

ASN Germany AS8972 PLUSSERVER-AS intergenia AG,

DE (registered Oct 12, 2001)

Resolve Host static-ip-217-172-185-150.inaddr.ip-pool.com

Whois Server whois.ripe.net[/alert]

Με αντιστροφή έρευνα IP των domains που αντιστοιχούν στην εν λόγω IP διαπιστώνεται ότι εξυπηρετεί τα κάτωθι domains:

• mfdy.fiatalfadealer.com
• naistekas.delfi.ee
• www.lebanonfiles.com
• www.tweetprocesor.com

Ο Ανδρέας Βενιέρης διαπίστωσε ότι αν χρησιμοποιήσει Proxy server άλλης χώρας το πρόγραμμα αναπροσαρμόζεται ανάλογα. Έτσι αν επισκεφτεί την ιστοσελίδα χρήστης από Ιταλία, εμφανίζει Ιταλική έκδοση της ιστοσελίδας κακόβουλου λογισμικού. Αν επισκεφτεί την ιστοσελίδα χρήστης από τις Η.Π.Α εμφανίζει αγγλική έκδοση της ιστοσελίδας. Το παράδοξο όμως είναι ότι αν επισκεφτεί την σελίδα χρήστης με IP διεύθυνση Κίνας εμφανίζει την ιστοσελίδα της Microsoft (www.msn.com)!!!!.

 

[blockquote]Πραγματοποιώντας μια εικασία, μπορούμε να εκφράσουμε την εκτίμηση, ότι ΠΙΘΑΝΟΝ ΑΥΤΟ να αποτελεί και ένδειξη για την προέλευση των δραστών, που πιθανόν δεν επιθυμούν να διασπείρουν το λογισμικό σε IP της χώρας τους (σ.σ Κίνα). Φυσικά κάτι τέτοιο είναι εικασία, μιας και δεν μπορεί να αποδειχτεί από τα δεδομένα που παρέθεσε ο ερευνητής και έθεσε στην διάθεσή μας.[/blockquote]

Άμεσος περιορισμός των IP διευθύνσεων σε πανελλαδικό επίπεδο

Προτείνουμε στους Ελληνικούς παρόχους υπηρεσιών Internet (ISP’s) να πραγματοποιήσουν ΑΜΕΣΟ μπλοκάρισμα στις IP διευθύνσεις που κοινοποίησε ο ερευνητής και αναγράφουμε στο παρόν άρθρο. Αυτές χρησιμοποιούνται αποκλειστικά για την διασπορά κακόβουλων λογισμικών. Εκτιμούμε ότι αυτό θα πρέπει να πραγματοποιηθεί ΑΜΕΣΑ ώστε να περιοριστεί δραστικά η περαιτέρω η διάδοση του κακόβουλου λογισμικού που έχει χτυπήσει χιλιάδες Έλληνες χρήστες στο παρελθόν. Εν προκειμένω και με τις σχετικές διαρκείς ενέργειες της ΔΗΕ αναφορικά με το φαινόμενο, η διάδοση έχει περιοριστεί στο ελάχιστο. Οι κακόβουλοι δημιουργοί, όμως προσπαθούν να χρησιμοποιούν κάθε φορά διαφορετικούς εξυπηρετητές για να συνεχίζουν την διάδοσή του.

Το SecNews προωθεί, στηρίζει και δημοσιοποιεί σε ΑΠΟΚΛΕΙΣΤΙΚΟΤΗΤΑ,  προσπάθειες/έρευνες/μελέτες Ελλήνων ερευνητών (ανώνυμα ή επώνυμα) στον τομέα της ασφάλειας πληροφοριακών συστημάτων. Επιπλέον,όπως θα δείτε σε έρευνες που θα δημοσιοποιηθούν τις επόμενες εβδομάδες, ιδιαίτερο ενδιαφέρον δείχνουμε σε  εξειδικευμένες περιπτώσεις εντοπισμού περιστατικών ηλεκτρονικού εγκλήματος, καταγγελίες αλλά και αναλύσεις/έρευνες που οδηγούν στον προσδιορισμό κακόβουλων χρηστών με απώτερο στόχο την προστασία του ευρύτερου κοινωνικού συνόλου και των Ελλήνων χρηστών διαδικτύου.

Ελπίζουμε και σε άλλες αντίστοιχες προσπάθειες ερευνητών, τις οποίες με χαρά θα δημοσιοποιήσουμε.

Ευχαριστούμε θερμά τον κ. Ανδρέα Βενιέρη για την έγκαιρη, έγκυρη και λεπτομερή ενημέρωση.