19:59
1/7/2014

Sprawdzając dzisiaj skrzynkę, zauważyłem ciekawą wiadomość. Wynika z niej, że zakupiłem coś płacąc kartą Master Card za 4010 dolarów. Oczywiście nic nie kupowałem. Pewnie ktoś mnie wkręca i podał mój adres przy fikcyjnym zamówieniu, pomyślałem. Przeniosłem wiadomość do spamu, ale okazało się, że dostałem kilka kolejnych wiadomości. Postanowiłem więc je przeanalizować i dowiedzieć się czegoś na temat autorów.

Autorem artykułu jest Tomek Kaj

Zaznaczenie_2311

Zaznaczenie_2301

Sama treść, mimo że przypomina spam, prowokuje do kliknięcia w załącznik i sprawdzenia co to za zamówienie. Jest dobrze przemyślana i w każdej wiadomości lekko zmieniona oraz co ważne – wysyłana z wielu domen (ja otrzymałem je z adresów cailiveoak.comswiftservices.net oraz crdive.com)

Idąc dalej, sam załącznik (którego zawartość można zobaczyć tutaj) posiada w sobie kod JavaScript, który jest jednak zaobfuscowany i jego odczytanie nie jest takie łatwe. Po krótkiej analizie udało mi się otrzymać zdeobfuskowany kod, który jest już jasny i przekierowuje na stronę hxxp://jobswe.com/jobs/order.html

Samemu autorowi (lub też autorom) należy pogratulować pomysłu na udaną treść emaila, ale za to kiepscy z nich programiści (przynajmniej w JS) co widać po ich kodzie losującym liczbę z przedziału od 0 do 1:

var t1 = 0;
var t2 = 1;
var time = Math.floor(Math.random() * (t2 – t1 + 1)) + t1; // (random * (1 – 0 + 1)) + 0 – bardzo sprytne… :-)

Wróćmy jednak do strony na którą zostajemy przekierowani. Pobiera ona plik order_info.PDF.exe, który jest… plikiem tekstowym zawierającym błąd serwera…

Zaznaczenie_233

Trochę się zawiodłem i szczerze mówiąc liczyłem na coś lepszego, ale dzięki temu, że DirectoryListings w Apache jest włączone, znalazłem w tym samym katalogu na serwerze jeszcze kilka ciekawych plików, między innymi plik logs.txt, który jednak nie ma w sobie nic ciekawego. Miejmy nadzieję, że zasięg całej akcji nawet jeśli był ogromny to nie umożliwił pobrania na komputery użytkowników docelowego programu ze względu na błędy, które popełnili autorzy mailingu.

Podsumowanie

Ciekawi mnie jakie były plany i co w sobie zawierał plik exe. Biorąc pod uwagę dość skuteczny mailing, brak rzucających się błędów językowych oraz to, że w kodzie html jedna z klas jest napisana w cyrylicy, możemy domyślić się z jakiego kraju są spamerzy. Ciągle szukam większej ilości informacji na temat tej akcji i tego co zawierał (albo miał zawierać) program, który pobierał się na komputery użytkowników.

A skąd wziął się mój email w ich bazie? nie mam pojęcia…

UPDATE 1

Pojawiają się nowe konta pocztowe z których pochodzi spam jak i błędy w formatowaniu wiadomości. Dynamiczne adresy IP mogą świadczyć o działaniu na komputerach użytkowników niechcianego oprogramowania, które jednak nie działa tak jak powinno.

Zaznaczenie_2341

UPDATE 2

Kolejne emaile trafiają do mojej skrzynki. Dla bezpieczeństwa sprawdziłem zawartość załączników nowych wiadomości, ale na szczęście nie zmieniła się.

Analiza wiadomości:

  • Są 3 typy wiadomości: Ivoice, Order i Payment
  • Każda z wiadomości różni się meta-właściwością generator i jest ciągiem znaków o losowej długości
  • Niezależnie od typu wiadomości, każda z nich przekierowuje ofiarę przez pętlę (hxxp://jobilife.com/?id=1 -> hxxp://d4c298d8wnw3y6.whatical.co7.us (konto na darmowym hostingu www) -> hxxp://jobswe.com/jobs/file.php) po czym pobiera plik exe lub scr (który w dalszym ciągu ma w sobie jedynie komunikat błędu php)

Podejrzewam, że ktoś wykorzystał wyciek adresów chociażby z Adobe (nie przypominam sobie, żebym podawał mój adres email w innym miejscu) i próbował się zalogować na każde konto z listy słownikowo, bazą kilkunastu haseł. Dzięki temu zyskał wiele kont zupełnie niezwiązanych ze sobą.

Przeczytaj także:



47 komentarzy

Dodaj komentarz
  1. Ale bajzel w tym kodzie ;-) Napisz im żeby się poprawili, bo niewygodnie się czyta/analizuje :D

  2. “Idąc dalej, sam załącznik (którego zawartość można zobaczyć tutaj) posiada w sobie kod JavaScript”

    …Idąc do szkoły, padał deszcz…
    Kupcie sobie jakiś poradnik językowy, bo ostatnio coraz ciężej się Was czyta. Ja rozumiem, że haker polskiego znać nie musi, ale bloger jednak trochę powinien.

    • “Coraz trudniej się was czyta”

    • Uwielbiam takich, co wszędzie widzą nieistniejące błędy. Tutaj jedyną rzeczą, do której możnaby się przyczepić, to przecinek po „Idąc dalej”, bardziej pasowałby tam średnik albo nawet kropka.

    • Akurat ten pan ma rację. Idąc do szkoły wykoleił się tramwaj. Pasuje Ci to? Imiesłów i czasownik musi się odnosić do tego samego podmiotu.

    • @Wojciech:
      Nie, nie ma racji, bo w „Idąc dalej…” jest orzeczenie domyślne „widzimy”, lub podobne. Jest różnica między tym, a przykładem podanym. W cytacie w tekście mamy dwa zdania, w Twoim przykładzie jedno. Wszystko zależy od intonacji; zresztą „idąc dalej” jest utartym zwrotem, wprowadzającym do kolejnego przypadku.

  3. To nie jest “deszczowy” błąd imiesłowu. To jest skrócone “Idąc dalej z tematem, chciałbym następnie zauważyć że” i jest to całkowicie poprawnie napisane.

  4. Jak to jest, że ni w ząb się nie znam na informatyce a jednak każdy artykuł czyta mi się z ogromną przyjemnością i ciekawością…… =D

    Pozdrawiam,
    Grzegorz

    • Pedofile tak mają.

  5. Kolego, czytaj całe wpisy – autorem jest ktoś inny, nie prowadzący stronę Niebezpiecznik.pl, to raz, a dwa – zdanie jest poprawnie złożone.

  6. Po co zaśmiecać artykuł wtrąceniami z języka angielskiego? Fakt, czasami są nieuniknione, ale nasz język naprawdę nie jest tak ubogi jak mogłoby się wydawać…
    “zaobfuscowany” – nie można napisać po prostu : zaciemniony , zaciemnianie kodu?

    • Po co zaśmiecać komentarze treściami niemerytorycznymi? Od tego jest formularz kontaktowy (jeśli ktoś nie zrozumiał danego słowa, bo jeśli zrozumiał, to lepiej przez tę minutę pograć w flappy birds niż o zwrotach trollować, ups, pardą, mącić wodę)

    • Czemu to niby nie jest merytoryczny komentarz?

      Tak na marginesie: Ustawa z dnia 26 stycznia 1984 r. Prawo prasowe, Art 12 ust 1.
      “Dziennikarz jest obowiązany (…) dbać o poprawność języka (…).” (Wrzucam Ustawę, bo często zaznaczacie, że obowiązuje Was tajemnica dziennikarska, co oznacza, że uważacie się za dziennikarzy, a to niesie przywileje i obowiązki.)
      Wtrącanie anglikanizmów, jeżeli nie jest to potrzebne, raczej się pod to wlicza.
      Tak, wiem, że to martwy przepis. Że można argumentować, że poprawność i czystość to nie to samo. Że tak wygodniej. Że ludzie i tak rozumieją, albo mogą poszukać. To może, jak Anglicy, przestańmy odmieniać przymiotniki czy czasowniki przez osoby? Będzie prościej. Jak ktoś sobie na przez nikogo nie odwiedzanym blogu tak pisze, to jego sprawa, ale Niebezpiecznik, przynajmniej mam takie wrażenie, aspiruje do kategorii Prasy internetowej. I nie przez przypadek napisałem to z wielkiej litery. To trochę zobowiązuje moim zdaniem. Jak widzę, nie tylko moim.

    • @Piotr Konieczny – ktoś się włamał na konto czy to faktycznie odpowiedź Pana Piotra? O_o

      @Koovert – 100% celny komentarz

    • Koovert, gratulacje dla Ciebie piszę ten komentarz. Wpis nie razi jakimiś błędami w polszczyźnie i nie rozumiem, po co ten komentarz. Nie jestem jakimś specjalistą od języka polskiego ale mi jako czytelnikowi nie przeszkadza poziom wpisów. Przyczepiłeś się do angielskich słówek – chyba nie siedzisz w srodowisku – to nie jest blog “lifestyleowy” (o patrz, tu też jest z angielskiego) tylko technologiczny, gdzie użycie angielskich słówek jest po prostu bardziej na miejscu nawet jeżeli jakieś słowa mają swoje polskie odpowiedniki. Nie napiszesz “połączenie” tylko “merge”, nie piszesz “gałąź” tylko “branch”, ponieważ to już wbiło się w słownictwo techniczne, czy Ci się to podoba czy nie, i właśnie mniej merytoryczne byłoby użycie polskich tłumaczeń. Są na tym świecie zwroty, zwłaszcza w informatyce, których tłumaczenie jest bardziej błędne niż pozostawienie ich w angielskiej formie z polską odmianą :)

    • @Kadet – “Nie napiszesz (…)”, “siedzisz w srodowisku”. Wszystko zależy w jakim środowisku się obracamy. W Twoim środowisku nie napiszesz, w naszym środowisku a i owszem napiszesz. Dlaczego to Twoje środowisko ma być właśnie zatwierdzające pisownię? Pytanie retoryczne, proszę nie odpowiadać.

    • @Misio – tak, ponieważ wam chce się uczyć dwóch zestawów słownictwa. Jeden do użytku wewnętrznego, drugi jak trzeba czytać dokumentację techniczną. Oczywiście zakładając że korzystacie także z tej nie polskojęzycznej. Osobiście wolę iść na lenia i używać jednego zestawu stosowanego nieco częściej, nie sięgając po słownik techniczny za każdym razem kiedy szukam czegoś na stack overflow.

    • @Elrood – I to nas różni. Bo nam nawet “Wam” chce się napisać dużą literą. Wam już nie.
      EOT.

    • Techniczne nazwy anglojęzyczne są jednoznaczne, nie polecam ich tłumaczyć bo będzie to powodowało dużo nieporozumień, wychodzą naprawdę dramatyczne potworki, np, co autor miał na myśli:
      Protokół Brzegu Bramy,
      Protokół Zewnętrzny Bramy,
      ogniomurek,
      traser.

    • @Kadet
      Owszem, nie tyle, nie tym razem. I nie przyczepiłbym się do nich, gdyby nie komentarz powyżej. Poziom (merytoryczny) mi też nie przeszkadza.
      Nie, nie “siedzę” w tym środowisku. Niebezpiecznik bardziej poszerza mi horyzonty niż jest potrzebny do życia. Ja na przykład musiałem odpalić gogole’a , żeby zrozumieć co do mnie ktoś pisze (nie pierwszy i nie ostatni raz), ale potem się okazało, że napisane “normalnie” bym ogarnął. Jeszcze bym to przeżył, ale potem czytam komentarze i okazuje się, że nie jestem sam.
      “Siedzę” za to w innej branży, w której każdy myśli, że jak napisze wplatając w zdanie angielskie i niemieckie słowa, to znaczy, że jest bardzie “pro”. Bo “Liefer(schein)” brzmi poważniej niż “WuZetka”, a “dispatch” to już w ogóle, a tylko stażyści wysyłają wywołania zamiast “call-offów”.
      Słyszałem swego czasu takie świetne powiedzenie: “Slang nie jest po to, żeby się sprawniej porozumiewać, tylko żeby osoby obce tego nie zrozumiały”. A z mojego doświadczenia wynika, wtręty z języka angielskiego zazwyczaj stosuje nie ten, kto zna go świetnie i stwierdza, że tamto znaczenie jest lepsze, tylko ten, który zna go nie najlepiej i nie wie, jak coś poprawnie przetłumaczyć.
      Drobna dygresja. Wg. mojej wiedzy, Hiszpanie i Szwedzi ściślej dbają o czystość języka. Po Hiszpańsku komputer to ordenador (rdzeń słowa oznacza “liczyć”). Hiszpan nie znający języków nie zrozumie “komuter”, czy czegoś podobnego. Minus jest taki, że trzeba się uczyć większej ilości obcych słów. Plus – różnorodność i szeroko rozumiana higiena języka. Ale każdy mierzy swoją miarką. Dla mnie “lepiej” zazwyczaj wygrywa z “łatwiej”.
      Elrood to podsumował: “wam się chce uczyć dwóch zestawów słownictwa”, “wolę iść na lenia” i “nie sięgając po słownik za każdym razem”.
      Kurtyna

    • Obfus_tfu_cośtam przeszkadza, a pardon, pardą to już nie?

    • “Zaciemnianie” kodu nie wskazuje na ściśle zdefiniowaną praktykę, jaką jest “code obfuscating”. Co to znaczy “zaciemniony”? Może zakomentowany? Może niewyróżniony na obrazku? A “obfuscated” – wszystko jasne.

      Polecam znaleźć wykład np. o programowaniu na karty graficzne, spolszczyć go “po twojemu”, a następnie wyszukać w internecie jakikolwiek przewodnik (“wygooglać jakikolwiek tutorial”), w którym padają takie tłumaczenia. Wątpię, że cokolwiek takiego istnieje. I po co tak dorzucać sobie roboty? W imię ideologicznego podejścia? :) Bądźmy praktyczni.

    • @Koovert – “anglicyzmów”… ;]

  7. “coraz ciężej się czyta”
    hmmm… ciężki może być worek z kartoflami. ;)

  8. Dokładnie. Podany adres mailowy wyciekł z bazy Adobe. Pozdrawiam ;-)

  9. Czystym strzałem sądzę, że kod pochodzi z Rosji ;)

  10. eee…. używanie cat do wyswietlania nieznanego pliku? zły pomysł. Zakładam, że autor tego nie zrobił ale głupio jest promować takie zachowanie

    • Michał, użyłem cat tylko dlatego, że wiedziałem jaki jest rozmiar pliku – 16KB oraz sprawdziłem jego hexdump. Przez to upewniłem się, że to plain text :)

    • A co by było, gdyby plik zawierał np.: “cat /dev/null > /home/* ENTER” :P

    • @Dev0: To co by się stało?

    • Jeśli plik ma rozszerzenie .exe, to raczej nie w użytkowników cata jest wycelowany :)
      Dyskusja o tym, czy lepszy jest vi czy nano za 3… 2… 1…

  11. Co raz częściej zaczynają mnie irytować pieniacze języka polskiego, to jakaś choroba cywilizacyjna, że jeśli nie mam nic do powiedzenia, a nie chce uchodzić za trolla, to skupie się na literówkach i “stylach” w artykule?

    • Może i Cię irytuje kolego, ale uwierz mi, ja czytając w sieci w zasadzie wszystkie informacje ze wszystkich interesujących mnie branż mam czasami wrażenie, że połowa to analfabeci. Błąd goni błąd i może nie punktuję nikogo za błędy, ale strasznie kole to w oczy- jak zauważył Piotr, od zwracania uwagi odnośnie błędów jest formularz kontaktowy. Poniżej treści wpisu wymieniamy się raczej opiniami.

      Redaktorzy Niebezpiecznika, jak jest napisane, nie są autorami artykułu, ale w branżowym blogu takie zapożyczenia z angielskiego, to chyba coś normalnego. Ba! Wg mnie to nawet dobrze, bo osoby nietechniczne, tudzież niepowiązane z tematyką bezpieczeństwa zobaczą nowe słowo i zasięgną porady u starego dobrego wuja Google i oprócz informacji we wpisie zdobędą też wiedzę na temat branżowego słownika.

      Trochę nie na temat newsa, ale musiałem w końcu wylać swoje żale :).

  12. Nie wiem dlaczego, ale jak widzę eval to się we mnie krew “gotuje” :-D

  13. może to albańscy hakerzy byli ?

  14. “znalazłem w tym samym katalogu na serwerze jeszcze kilka ciekawych plików, między innymi plik logs.txt, który jednak nie ma w sobie nic ciekawego.” – ciekawe te pliki czy nie ciekawe?

  15. I teraz pytanie za 100 pkt. Co ma zrobić ZU kótry dostanie taką informację na skrzynkę? Otworzyć załącznik czy też nie? Otworzysz i dostajesz gratisowy “soft”. Nie otworzysz i być może nie będziesz miał okazji przekonać się, że jest to pierwszy z wałków, który jest robiony dzięki Twojej osobie.
    Jest jakieś narzędzie do bezpiecznego patrzenia w załączniki? Czy taki podejrzany kod antywirus ma szansę wyłapac?

  16. Dlaczego od razu zarzucacie, że kiepscy programiści? Funkcja losująca losową wartość z przedziału jest w pełni poprawna i po prostu pozwala podstawić różne wartości.

    • Jak do pliku .exe wrzucają kod html to orłami nie są.

    • To jest efekt obfuskacji, a nie słaby kod…

  17. “purchasing with our company now!” “order is on process at present”

    Jeśli Ci spammerzy nie nauczą się języka angielskiego to naprawdę nie mają co liczyć na to, że ktokolwiek będzie otwierał załączniki. Google translate nie wystarczy ;)

  18. A może popełniliście błąd przy deobfuskowaniu? Ciężko mi w to wierzyć, żeby tyle wysiłku poszło na marne. Sam pamiętam swoje boje przy deobfuskowaniu kodu KS u jednego z bukmacherów.

  19. Jeszcze nie widziałem instytucji korzystającej z plików *.pdf.exe. Jeżeli wyślą sam plik pdf, to aktualny Adobe Reader + antywirus powinny sobie ze wszystkim poradzić

    • nawet nie wiesz w jak wielkim jesteś błędzie jesli myslisz ze aktualny adobe reader i aktualny antywirus uchroni Cię od infekcji otwarciem odpowiednio spreparowanego PDFa….

  20. @Stefan: Ten kod jest zaobfuscowany tylko teoretycznie. Po przyjrzeniu się mu w pierwotnej postaci możemy zauważyć, że jest to tylko zminimalizowany kod i nie ma w nim elementów obfuskacji czyli po prostu śmieci. Dodatkowo użyłem narzędzia Malzilla w trybie Decoder wraz z włączoną funkcją zastępowania eval() co przyniosło jasny rezultat :)

    @rutek: Oczywiście opcja pobrania załącznika i jego analizy przez typowego zjadacza chleba jest tutaj niemożliwa, ale jeśli miałbym coś doradzić to było by to pobranie załącznika (domyślnie gmail otwiera załączniki html bezpośrednio po kliknięciu) i/lub otwarcie go w bezpiecznej sesji przeglądarki z wyłączoną obsługą JS. Przydatne może okazać się także wyłączenie automatycznych przekierowań. To nie uchroni nas przed wszystkimi zagrożeniami, ale przynajmniej wyeliminuje te podstawowe, które zostały zastosowane chociażby w tym phishingu.

  21. Dostalem jeden z tych maili pare dni temu ale co ciekawe na unikalny adres ktory uzywam tylko w jednym miejscu i nigdzie wiecej, wice wiem skad wyciekly dane – sprawa w toku… :)
    BTW, gdy dotarlem do pliku .php to mialem tylko bledy, zadnego EXE, nic… moze to po prostu jazda probna? :>

  22. >”A skąd wziął się mój email w ich bazie? nie mam pojęcia…”

    Ze screenow na niebezpieczniku? ;-)

    Ja na przyklad posiadam doskonaly system OCR stworzony z 2 galek ocznych, centralnego procesora do wyszukiwania fraz takich jak “Purchaser Email” y palcow dzialajacych jak stdout
    Proces jest troche wolny, ale dziala.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: