Компания ESET — лидер в области проактивного обнаружения — совместно с компанией Microsoft и правоохранительными органами приняла участие в операции, направленной на обезвреживание ботнета под названием Gamarue (Andromeda), жертвами которого ежемесячно становились 1,1 миллиона систем во всем мире. Данную угрозу продукты ESET обнаруживают как Win32/TrojanDownloader.Wauchos.
Благодаря скоординированным действиям, которые начались 29 ноября 2017 года, правоохранительные органы в разных странах мира смогли арестовать причастных лиц и помешать преступной активности вредоносного программного обеспечения Wauchos. В частности, исследователи ESET и Microsoft предоставили технический анализ, статистическую информацию и информацию о командных (C&C) серверах. Специалисты компании ESET также поделились своими знаниями о Gamarue, полученными благодаря постоянному мониторингу угрозы в течение последних нескольких лет.
Угроза Gamarue впервые была зафиксирована еще в сентябре 2011 года. Вредоносное программное обеспечение преимущественно продавалось на подпольных форумах и стало очень популярным среди киберпреступников, что привело к созданию многих ботнет-сетей Gamarue.
Злоумышленники использовали данную угрозу для похищения учетных данных пользователей, а также загрузки и установки дополнительных вредоносных программ в систему. Один из таких плагинов позволял злоумышленникам похищать данные, введенные пользователями в веб-формы, а второй — давал возможность подключаться и управлять зараженными системами.
Рис. 1. Карта распространения Wauchos (декабрь 2016 – источник virusradar.com)
Во время исследования угрозы специалисты ESET смогли создать эмуляцию ботнета, с помощью которой получили возможность связываться с командными серверами угрозы. Таким образом, исследователи ESET и Microsoft смогли пристально следить за ботнетами Gamarue в течение последних полутора лет, идентифицируя их командные серверы для удаления и мониторинга установленных вредоносных программ в системах жертв.
«Эта угроза существует уже несколько лет, и она постоянно меняется, усложняя наблюдения. Но, используя ESET Threat Intelligence, специалисты ESET совместно с исследователями Microsoft смогли отследить изменения в поведении вредоносных программ и, как результат, предоставить ценные данные для обезвреживания ботнета», — рассказывают специалисты вирусной лаборатории ESET.
Глобальный характер этой угрозы также подтверждает разнообразие командных серверов, использованных операторами. Во время мониторинга этой угрозы специалисты ESET смогли ежемесячно выявлять десятки командных серверов Wauchos. На рисунке 2 показаны различные домены первого уровня, использованные командными серверами, а на рисунке 3 изображена геолокация IP командных серверов в ноябре и декабре 2016 года.
Рис. 2. Домены первого уровня командных серверов по состоянию на ноябрь и декабрь 2016 г.
Рис. 3. Геолокация IP командных серверов по состоянию на ноябрь и декабрь 2016 г.
Стоит отметить, что многие из проанализированных образцов проверяют раскладку клавиатуры в системе и не продолжают заражение в случае идентификации украинской, российской, белорусской и казахская раскладок.
Поскольку вредоносное программное обеспечение Wauchos покупали и распространяли различные киберпреступники, векторы заражения значительно отличаются. В частности, образцы Wauchos распространялись через социальные медиа, мгновенные сообщения, сменные носители, спам и наборы эксплойтов.
Рис. 4. Типичное электронное письмо со спамом, с помощью которого распространялся Wauchos
В связи с опасностью дальнейшего распространения угрозы специалисты ESET настоятельно рекомендуют пользователям быть особенно осторожными при открытии файлов со сменных носителей и полученных по электронной почте или социальные медиа, а также использовать надежные антивирусные решения для защиты от новых киберугроз.
В случае заражения Wauchos для очистки системы от вредоносных программ следует воспользоваться бесплатным инструментом ESET Online Scanner. Стоит отметить, что продукты ESET в настоящее время выявляют тысячи версий модулей Wauchos и различные вредоносные программы, которые распространяются ботнет-сетями Wauchos.
Хэши
SHA-1 Выявление