На сайтах, распространявших вымогательское ПО Bad Rabbit, было выявлено наличие инструмента Backswing, который используется для сбора информации о web-сессиях пользователей. По утверждению экспертов, это указывает на то, что целью атаки была не финансовая выгода.
24 октября по Украине и России распространился вирус-шифровальщик Bad Rabbit. Хакерской атаке подверглись метрополитен Киева, сервера Министерства инфраструктуры, Международного аэропорта «Одесса», информационное агентство Интерфакс, интернет-издание Фонтанка.ру.
Исследованием шифровальщика занялись эксперты безопасности из компании FireEye. На начальном этапе атаки Bad Rabbit пользователи перенаправлялись на домен 1dnscontrol[.]сom с загрузчиком, замаскированным под инсталятор Flash Player. Заражение системы происходило в момент, когда пользователь запускал этот файл.
По утверждению исследователей, несколько скомпрометированных сайтов, перенаправлявших пользователей на домен 1dnscontrol, содержали фреймворк Backswing. Начиная с сентября 2016 года эта программа была замечена на более чем 50 сайтах, четыре из которых в дальнейшем были задействованы в атаках Bad Rabbit.
Инструмент Backswing применяется для сбора информации о сеансе браузера пользователя, включая данные о запросах User-Agent и HTTP Referrer, файлах cookie и текущем домене. Всю “добычу” Backswing отправляет на C&C-сервер киберпреступников.
Исследователями было обнаружено две версии инструмента. На нескольких интернет-ресурсах вторая версия появилась 5 октября этого года. Backswing v2 был внедрен в легитимные ресурсы JavaScript, размещенные на скомпрометированных сайтах. Как утверждают эксперты, такие инструменты дают возможность преступникам получать больше информации о потенциальных жертвах перед непосредственной атакой.
Исследователи убеждены, что использование Backswing для подготовки атак Bad Rabbit указывает на то, что атака не была финансово мотивированной. Для ориентированных на прибыль злоумышленников совершенно неважно, кого именно они заражают.
Источники: securitylab.ru, seonews.ru
