Komórka na siano

Oprogramowanie złośliwe o nazwie Sinowal, a później także Limbo 2, specjalizowało się w wyłudzaniu haseł jednorazowych. Dostosowano je do pozyskiwania haseł od klientów kilku polskich banków oraz kilkudziesięciu banków hiszpańskich i portugalskich. Skradzione kody służyły, oczywiście, do późniejszej autoryzacji operacji wyprowadzenia z rachunku klientów praktycznie wszystkich dostępnych środków.

Sinowal (Trojan-PSW:W32/Sinowal.CP) należy do kategorii oprogramowania złośliwego, wyspecjalizowanego w kradzieży wrażliwych informacji z komputera użytkownika, takich jak identyfikatory kont i hasła (czyli poświadczenia tożsamości użytkownika), kody do autoryzacji transakcji, numery kart kredytowych, certyfikaty itp. Jego nazwa w luźnym tłumaczeniu z języka ukraińskiego oznacza "komórkę na siano" …

Infekcja następuje praktycznie całkowicie transparentnie dla użytkownika po wizycie na odpowiednio przygotowanej na potrzeby ataku stronie internetowej. Mogą na niej być na przykład prezentowane odpowiednio spreparowane grafiki WMF, których otwarcie w środowisku przeglądarki Internet Explorer powoduje ujawnienie się podatności Graphics Rendering Engine na przepełnienie bufora. Skutkiem ataku jest przejęcie zdalnej kontroli nad komputerem użytkownika, z możliwością automatycznej instalacji na nim złośliwego oprogramowania.

Sposób przejmowania zdalnej kontroli i mechanizm infekcji pozostają zmiennym elementem ataku. Poszczególne wariacje sposobów infekcji są dostosowane do odkrywanych na bieżąco podatności. Głównie chodzi tu o podatności przeglądarek internetowych.

Zatem w katalogu systemowym "C:\Program Files\Common Files\Microsoft Shared\Web Folders" występują pliki o nazwach ibm000N.dll, ibm000N+1.dll i ibm000N.exe. Podana w nazwach plików litera N reprezentuje liczbę naturalną. Program ibm000N.exe pełni funkcję loadera bibliotek dynamicznych ibm000N.dll i ibm000N+1.dll. Biblioteki dynamiczne implementują funkcje keyloggera. Dodatkowo są odpowiedzialne za przekłamanie mechanizmu weryfikacji certyfikatu oraz za wysyłanie metodą HTTP POST wszystkich danych z wypełnianych formularzy do atakującego.

Sam kod trojana jest uruchamiany jako usługa przy każdym włączeniu komputera na skutek wpisu do rejestru:

HKLM\System\ControlSet001\Services\gb File: %programfiles%\common files\microsoft shared\web folders\ibm<5-cyfrowa liczba pseudolosowa>.dll

W pierwszym scenariuszu (gorszym, bo niewzbudzającym podejrzeń - podpunkt 3a) formularz do wpisania kodów autoryzacyjnych pojawia się dopiero po zalogowaniu klienta (podczas gdy keylogger już zarejestrował identyfikator klienta i jego hasło dostępowe). W obu przypadkach kontrola poprawności i ważności certyfikatu (wystawca certyfikatu, właściciel certyfikatu, kryptograficzny "odcisk palca", okres ważności) wykazuje, że połączenie jest nawiązane z legalnym serwerem. Dzieje się tak dlatego, że złośliwe oprogramowanie przekłamało mechanizmy przeglądarki odpowiedzialne za kontrolę poprawności i ważności certyfikatu.

Trojan może także eksportować certyfikaty z kluczem prywatnym (używając funkcji PFXExportCertStore biblioteki CRYPT32.DLL) do pliku i wraz z hasłem do klucza prywatnego wyprowadzać je do serwerów kontrolowanych przez agresorów.