Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Выше было продемонстрировано, как происходит основная масса взломов электронных почтовых ящиков и других онлайн-аккаунтов и как осуществляется неправомерный доступ к удаленным компьютерам организаций.

Теперь на нескольких примерах предлагается рассмотреть, как выглядит основная масса взломов и заражений обычных домашних пользовательских компьютеров.

Для начала найдем злоумышленника, осуществляющего фишинг-атаку путем подмены файлов с использованием своих собственных ресурсов.

Многие пользователи сталкивались с необходимостью что-либо скачать — драйвер, музыку, изображение, книгу, фильм, программу и другое. В сети для этой цели широко используется DC++, представляющий собой свободный и открытый клиент файлообменной сети Direct Connect[41].

Говоря простым языком, программы для работы с DC++ скачиваются и устанавливаются пользователями на свои компьютеры, после чего осуществляется подключение к хабу или хабам, выбираемым из списка доступных.

Для обмена файлами с другими жителями Интернета пользователь определяет папку или файлы, которые будут доступны для всех, они автоматически индексируются и становятся доступными при поиске по названию (и не только) всем, кто также использует такие программы и подключен к соответствующим хабам[42].

Для дальнейшей демонстрации автор вынужденно отключает антивирусную защиту, чтобы не мешала.

Предположим, что мы ищем что-нибудь, например песню «Scorpions», вводим в поисковое окно программы DC++ слово и наблюдаем результаты (см. рис. 2.9). Среди результатов можно найти, например, такой файл: «Scorpions Acoustica [live] (2001) mp3 (Music) — Download.exe».

Рис. 2.9.Результат поиска в программе DC++

В большом количестве выдаваемых результатов, доступных для загрузки файлов, незаметно присутствуют файлы с искомым названием, но имеющие расширение «.exe», то есть расширение исполняемого файла — программы для операционных систем MS.

Здесь работает тот же механизм, что и с подменой доменных имен официальных почтовых или других сервисов, рассмотренный в предыдущих частях. Среднестатистический пользователь редко обращает внимание на расширения и размеры файлов.

Большое значение для пользователя имеют наименование файла до расширения и значок, указывающий привязку к программе, при помощи которой файл будет открываться. Значок на файле подменяет понятие типа файла.

После скачивания такой файл в папке проводника будет выглядеть как самый настоящий музыкальный (рис. 2.10).

Рис 2.10. Файл с расширением «.exe» в папке проводника

Метод отображения файлов, по умолчанию установленный в операционных системах Microsoft, не включает отображения расширения файла. По каким соображениям это сделано — судить довольно трудно.

«Сделать» визуально из исполнимого файла любой другой тип путем замены иконки файла очень легко, используя доступные программы, так называемые утилиты или редакторы ресурсов, например Restorator Resource Editor, XNResourceEditor и многие другие. Этим нередко и пользуются при совершении атак, связанных с маскировкой вредоносной программы под легальный файл.

В самом начале беглого анализа найденных и загруженных посредством DC++ файлов загрузим их для проверки на ресурс virustotaL.com.

В первом случае «VirusTotal» сообщил нам, что 21 из 66 антивирусных систем признала в загруженном файле «зло», и это зло является разновидностью Trojan.BAT.BitCoinMiner (рис. 2.11).

Рис. 2.11.Результат проверки файла на ресурсе virustotaL.com

Это не совсем то, что хотелось продемонстрировать, но тоже достойно внимания. Наблюдающаяся в последние дни повсеместная истерия вокруг криптовалютных денег привлекает внимание не только тех, кто мечтает во что бы то ни стало заработать много легких криптоденег в попытках их создания, но и киберпреступников, как всегда желающих украсть что-нибудь откуда-нибудь.

Довольно давно появились разновидности вредоносных программ, предназначенных для хищения с зараженных компьютеров пользователей их электронных кошельков, в том числе BitCoin. Скачанный под видом музыкального произведения вредонос Trojan. BAT.BitCoinMiner относится уже к более новым вариантам вредоносных программ, которые нацелены на кражу вычислительных мощностей зараженных компьютеров.

Другой скачанный «музыкальный» файл был детектирован как Backdoor.Win32.DarkKomet[43], представляющий собой вредоносную программу, предназначенную для удаленного управления или администрирования компьютера (рис. 2.12).

Рис. 2.12. Результат проверки файла на ресурсе virustotal.com

Данный вирус был распознан 59 из 66 антивирусных продуктов, и нужно упомянуть, что это очень древняя модификация вредоносной программы, поэтому она известна практически всем средствам безопасности.