Вторая эпидемия

2012031404

Цель — Тибет

Весь 2012 год прошел под девизом «побольше маковских троянов в Тибете, хороших и разных». Речь идет об эпидемиях с политическим подтекстом, связанных с давней борьбой Тибета за независимость от Китая. Первой ласточкой было семейство Revir/ Imuler по классификации F-Secure, двойное название которого объясняется так: Revir — это дроппер, a Imuler — бэкдор (Dr.Web его называет Muxler), устанавливаемый дроппером. Обнаруженный еще осенью 2011 года первый вариант Revir.A, скорее всего, был пробным шаром. Да и вообще, все его семейство модификаций как нельзя лучше подходит под определение lameware, методы он использовал донельзя примитивные. Однако, если рассматривать все через призму политической направленности, возникает впечатление, что создатели руководствовались принципом Оккама — не нужно ничего усложнять без надобности. В самом деле, зачем все эти новомодные эксплойты и куча кода, когда методы социальной инженерии и так прекрасно работают?

Но вернемся к нашему Revir.A — он представлял собой исполняемый файл, который маскировался под PDF. В диком виде образец так и не был найден, так что остается только догадываться, под каким соусом его подавали пользователю, есть мнение, что через целенаправленную рассылку конкретным лицам. Запущенный Revir.A извлекал из себя PDF-файл на китайском языке и демонстрировал его пользователю. Одновременно с удаленного сервера скачивалась и запускалась полезная нагрузка — Imuler.A.

В результате в каталоге /Users/(nMfl пользователя)/Library/ LaunchAgents оказывался основной модуль checkvir, создавалась ссылка на него в checkvir.plist, а в /Users/(nMR пользователя)/Library — файл.confback с адресами командных центров. Инструкции, получаемые с С&С, предусматривали выполнение следующих команд:

загрузить файл с удаленного сервера;

запустить файл на выполнение;

собрать и отправить системную информацию — внешний и внутренний айпишник, МАС-адрес, версию ядра ОС и имя юзера;

отправить интересующие файлы в архиве;

отправить скриншот экрана.

Вариация Revir.B, так же как и Revir.A, скрытно устанавливала Imuler.A, но маскировалась уже под JPG.

Судя по всему, авторы не унывали, вдумчиво почитали журнал FHM South Africa за март 2012-го с российской моделью Ириной Шейк на развороте и замутили очередную попытку обмана доверчивых пользователей. Нагугленные сочные скриншоты были помещены в архив FHM Feb Cover Girl Irina Shayk H — Res Pics.zip. Кроме того, туда же был помещен Revir.C, обладающий миниатюрой картинки. По умолчанию расширения файлов в OS X не отображаются, так что шансы на запуск увеличивались. Для усложнения жизни антивирусным исследователям полезная нагрузка была зашифрована по алгоритму RC4, в качестве ключа вредоносное приложение использовало первые 2048 байт картинки, отображаемой пользователю при запуске. Архив с Revir.D и другим набором картинок назывался Pictures and the Ariticle of Renzin Dorjee.zip. Бэкдор сменил название своих файлов (но не функционал) и стал идентифицироваться как Imuler.B. Уже тогда было сделано предположение, что распространение данных угроз связано с китайско-тибетским конфликтом и направлено против различных активистских организаций, борющихся за независимость Тибета. Архив, рассылаемый в октябре 2012-го, уже не оставлял в этом никаких сомнений. Все три фотографии с изображениями представителей тибетских организаций были на самом деле вредоносными приложениями Revir.E.