В конце января специалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Тогда сообщалось, что используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплойты для него, злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу.
Сейчас появилась дополнительная информация по поводу этой атаки. Оказывается, после успешного выполнения эксплойта на компьютер жертвы устанавливается троянская программа Cridex (известна также под названиями Carberp и Dapato). Это довольно известный банковский троян, который умеет подделывать веб-формы для 137 (!) банков разных стран. Что характерно, он детектируется далеко не всеми антивирусными программами. Согласно исследованию M86 Security Labs, только 10 из 47 протестированных антивирусов способны его обнаружить. Например, «Касперский» распознаёт его как Trojan-Dropper.Win32.Dapato.afae.
О механизме работы Cridex рассказывалось и раньше. Добавим только, что управление клиентской части программы осуществляется через сеть Fast-flux, так что трафик к командным C%C-серверам может выглядеть примерно так.
Генерация доменных имён происходит по специальному алгоритму.
ECX = ECX * 0x19660D
ECX = ECX + 0x3C6EF35F
ECX = ECX << 0×10
ECX = ECX – 0x7FFF
EAX = ECX
EDX = 0
EAX = EAX XOR 0×88
EBP = 0x1A
EAX = EAX / 0x1A
EDX = EAX % 0x1A
ESI++
EDX = EDX + 0×61
Address[EBX + ESI] = DX
Как только находится живой прокси, троян скачивает кастомную конфигурацию из ботнета Cridex. Его функциональность примерно такая же, как у Zeus и SpyEye: сбор приватной информации, логинов и паролей — и отправка на удалённый сервер.
Однако, Cridex специализируется именно на финансовых транзакциях — в мире ботнетов это своеобразный банковский центр с базой данных на 137 банков и финансовых учреждений мира. За этот функционал отвечает плагин "WORLD BANK CENTER", изображённый на скриншотах внизу (кликабельны).