Ботнет для автоматичної онлайн-запису на прийом до консульства Польщі в Білорусі.

Фахівці міжнародної антивірусної компанії ESET виявили нову шкідливу програму MSIL / Agent.PYO з нетривіальним призначенням. З її допомогою автори створили ботнет для автоматичної онлайн-запису на прийом до консульства Польщі в Білорусі.

Для отримання польської шенгенської візи громадянам Білорусі потрібно записатися на співбесіду, заповнивши онлайн-анкету на сайті консульства в системі e-Konsulat. Запис відкривається в заздалегідь призначений час (наприклад, 20-21 грудня 2014 р можна було записатися на співбесіду в січні). Вільні місця розходяться в лічені хвилини.

Високий попит на польські візи «надихає» ІТ-фахівців писати власні веб-скрипти, які автоматично відстежують наявність вільних місць, перехоплюють і заповнюють анкети. Подібні скрипти створюються для особистого користування або подальшого перепродажу місць для реєстрації в електронній системі. Оператори ботнету, виявленого експертами ESET, керувалися схожою логікою, але вдосконалили технологію.

Шкідлива програма MSIL / Agent.PYO включає кілька компонентів: завантажувач (виявлено кілька версій на С # і С ++), апдейтер і основний компонент Konsulat.RemoteClient.

16 грудня 2014 р за чотири дні до чергового відкриття записи на сайті консульства Польщі, оператори ботнету почали поширювати завантажувач MSIL / Agent.PYO за допомогою набору експлойтів Nuclear Exploit Kit. Атака була орієнтована на користувачів з Білорусі, оскільки система e-Konsulat дозволяє заповнювати анкети на візи тільки з місцевих IP-адрес. За статистикою, 16-21 грудня 2014 р більше 200 000 потенційних жертв були перенаправлені на шкідливий вміст по укороченим посиланнях bit.ly.

20-21 грудня 2014 р боти почали отримувати команди на заповнення онлайн-анкет в системі e-Konsulat. Творці шкідливої ​​програми кілька разів випускали для неї оновлення. Аналіз ботнету показав, що в ньому міститься близько 300 комп’ютерів, майже всі з них знаходяться в Білорусі. Протягом наступних п’яти тижнів фахівці зафіксували понад тисячу комп’ютерів, що беруть участь в діяльності ботнету.

Фахівці ESET передали зібрану інформацію в центри реагування на комп’ютерні інциденти CERT-PL (Польща) та CERT-BY (Білорусь).

Ссылка на основную публикацию