HARD CORE SECURITY LAB

Dwa najsłynniejsze w ostatnim czasie botnety (ZeuS oraz SpyEye) serwujące swym ofiarom niezwykle skuteczne trojany bankowe, prawdopodobnie połączą swe siły w celu utworzenia super-botnetu o niespotykanych do tej pory możliwościach. Oba monstra powstały w wyniku rozpowszechniania crimeware'u, który nabywcy instalowali w postaci exploit packów na swych stronach internetowych tworzonych z myślą o masowym infekowaniu internautów. Okazje się jednak, że ogromna popularność i medialny rozgłos wcale nie służą samym botnetom oraz ich twórcom. Dlatego też, niektórzy twórcy złośliwego oprogramowania decydują się na tworzenie czegoś na kształt botneów prywatnych.

Feodo to botnet infekujący swe ofiary bardzo nowoczesnym trojanem bankowym, operujący ze sporą skutecznością już od co najmniej kilku miesięcy. Jednak niewiele osób (nawet tych z branży bezpieczeństwa IT) słyszało o tym konkretnym przypadku. Wszystko to było możliwe dzięki temu, że Feodo, w przeciwieństwie do swych o wiele słynniejszych krewnych, jest swego rodzaju botnetem prywatnym. Oznacza to mniej więcej tyle, że grupa przestępcza która stworzyła Feodo, nie rozpowszechniała go pośród innych przestępców, samodzielnie nadzorując jego dystrybucję oraz działanie.

Oczywiście takie podejście oznaczało brak wpływów ze sprzedaży własnego malware'u, jednak pozwoliło na o wiele bardziej dyskretne działanie całego botnetu i w efekcie osiągnięcie sporej skuteczności. Przykładowo, jeszcze kilka dni temu, moduł infekujący Feodo był wykrywany zaledwie przez 2 z 42 silników antywirusowych dostępnych w ramach usługi VirusTotal! Botnet ten mógł więc przez kilka miesięcy zupełnie niepostrzeżenie zainfekować naprawdę sporą liczbę komputerów.

Warto również zwrócić uwagę na nietuzinkowe możliwości Feodo. Jeśli tylko chcemy, by trojan przechwytywał informacje wprowadzane przez użytkowników określonego serwisu internetowego, wystarczy tylko wprowadzić odpowiedni wpis w pliku konfiguracyjnym. Jak możemy zobaczyć w treści przykładowego pliku, przestępcy polują na użytkowników znanych banków (np. Bank of America) oraz dużych serwisów internetowych (Gmail, Facebook, itd.):

Przykładowa konfiguracja trojana

Jeśli tylko trojan wykryje próbę skorzystania z jednego ze wskazanych serwisów, natychmiast rozpocznie wykradanie danych z formularzy i przesyłanie ich do macierzystych serwerów CnC (ang. command-and-control). Oczywiście przed tego typu atakiem nie uchroni nas komunikacja z wykorzystaniem protokołu HTTPS.

Feodo świetnie radzi sobie również z przeprowadzaniem ataków typu Man In the Browser (MITB). Oznacza to, że trojan jest w stanie w locie dodać własne formularze do treści witryny przesłanej przez dany serwis internetowy, w celu wyłudzenia od użytkownika dodatkowych informacji (takich jak PIN do karty płatniczej, hasło jednorazowe, itp.). Do w pełni udanych ataków typu MITB wykorzystywane jest między innymi przechwytywanie sesji, niezbędne do właściwego odtworzenia zawartości witryny widocznej z punktu widzenia właśnie prywatnej sesji użytkownika.

Jak więc widzimy, możliwości Feodo w niczym nie ustępują botnetom takim jak ZeuS, czy też SpyEye. Ponieważ Feodo nie był masowo rozpowszechniany i odsprzedawany innym grupom przestępczym, miał on jednak nad innymi tego typu strukturami sporą przewagę. Otóż słynne botnety stały się w pewnym sensie ofiarami własnej popularności, ponieważ walka z nimi stała się dla wielu firm i organizacji priorytetem.

Z tego więc wniosek, że w przyszłości grupy przestępcze pomne tych doświadczeń, mogą się skupić na rozwijaniu złośliwego oprogramowania zorientowanego nie na masową dystrybucję, lecz na dyskretne realizowanie zamierzonych celów. Takie zagrożenia będą z pewnością trudniejsze do uniknięcia, gdyż rozmaite rozwiązania ochronne będą reagować z dużym opóźnieniem, skupiając się na najbardziej znanych zagrożeniach. Również twórcy takiego złośliwego oprogramowania będę mogli szybciej wprowadzać we własnym kodzie zmiany i nowe funkcje, gdyż nie będą zależni od zewnętrznych dostawców crimeware'u.

[źródło]