Onion – nowa generacja wyłudzaczy

Pracownicy Kaspersky Lab wykryli nowy szkodliwy program o nazwie "Onion", który wykorzystuje anonimową sieć Tor do ukrywania swojej niebezpiecznej natury i utrudniania zidentyfikowania twórców trwającej operacji wyłudzania pieniędzy od użytkowników.

Techniczne udoskonalenia sprawiły, że nowy przedstawiciel kategorii ransomware jest bardzo niebezpieczny – jest to jeden z najbardziej zaawansowanych znanych szkodliwych programów szyfrujących dane użytkowników w celu wymuszenia od nich okupu za przywrócenie normalnego funkcjonowania komputera.

Onion jest następcą innych niebezpiecznych aplikacji tego typu, takich jak Cryptolocker, CryptoDefence/CryptoWall, ACCDFISA czy GpCode. Szkodnik stosuje mechanizm odliczana, by jeszcze bardziej przestraszyć użytkowników – na jednym z komunikatów wyświetlanych na ekranie zainfekowanego komputera widnieje informacja, że zaszyfrowane dane zostaną bezpowrotnie zniszczone po upłynięciu 72 godzin, jeżeli użytkownik nie zapłaci cyberprzestępcom za odszyfrowanie.

Onion jest kontrolowany przez cyberprzestępców przy użyciu serwerów zlokalizowanych w anonimowej sieci Tor. Badacze z Kaspersky Lab zetknęli się już z podobnym podejściem, jednak dotychczas było ono stosowane w przypadku zagrożeń bankowych, takich jak 64-bitowa odmiana ZeuSa.

„Wygląda na to, że sieć Tor stała się sprawdzonym systemem komunikacji dla twórców szkodliwego oprogramowania. Onion wykorzystuje jednak wiele udoskonaleń technicznych w porównaniu do tego, co widzieliśmy wcześniej. Ukrywanie w sieci Tor serwerów wykorzystywanych do kontrolowania szkodliwego programu znacznie utrudnia identyfikację cyberprzestępców, a zastosowanie przez nich niekonwencjonalnego mechanizmu szyfrowania sprawia, że zablokowanych plików nie da się odzyskać, nawet po przechwyceniu danych przesyłanych między trojanem a jego serwerem sterującym. Wszystko to sprawia, że mamy do czynienia z bardzo niebezpiecznym zagrożeniem i jednym z najbardziej zaawansowanych szkodliwych programów typu ransomware w historii”, powiedział Fiedor Szinicyn, starszy analityk szkodliwych programów, Kaspersky Lab.

Trzy warstwy infekcji

By Onion mógł dotrzeć do komputera ofiary, cyberprzestępcy na początku wykorzystują szkodliwy program dystrybuowany za pośrednictwem botnetu Andromeda (Backdoor.Win32.Androm). Szkodnik ten otrzymuje polecenie pobrania i uruchomienia kolejnej niebezpiecznej aplikacji należącej do rodziny Joleee. Na koniec pobierany jest sam Onion. Omawiana metoda infekcji może się jednak różnić w zależności od wersji zagrożenia – eksperci z Kaspersky Lab zaobserwowali dużą elastyczność w budowie szkodnika.

Geografia infekcji

Najwięcej infekcji szkodliwym programem Onion zaobserwowano na terenie Wspólnoty Niepodległych Państw, jednak pojedyncze ataki pojawiły się także w Niemczech, Bułgarii, Izraelu, Libii oraz na obszarze Zjednoczonych Emiratów Arabskich.

Najnowsze próbki szkodnika przechwycone przez Kaspersky Lab zawierają możliwość wyświetlania interfejsu w języku rosyjskim. Ten fakt oraz liczne komentarze w kodzie mogą świadczyć o tym, że twórcy Oniona posługują się tym językiem.

0
Źródło: Kaspersky Lab
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.