На ряде web-сайтов, распространявших вымогательское ПО Bad Rabbit, был обнаружен инструмент для сбора информации о web-сессиях пользователей.
Исследователи безопасности из компании FireEye выявили на ряде web-сайтов, распространявших вымогательское ПО Bad Rabbit, наличие инструмента Backswing, предназначенного для сбора информации о web-сессиях пользователей. Наличие данного фреймворка говорит о том, что атакующие не преследовали финансовую выгоду, предположили эксперты.
На начальном этапе атаки Bad Rabbit пользователи перенаправлялись на домен 1dnscontrol[.]сom с загрузчиком, замаскированным под инсталятор Flash Player. Заражение устройства происходило после запуска пользователем данного файла.
Как отметили исследователи, несколько скомпрометированных сайтов, перенаправлявших пользователей на домен 1dnscontrol, содержали фреймворк Backswing. С сентября 2016 года данная программа была замечена на более чем 50 сайтах, четыре из них впоследствии были задействованы в атаках Bad Rabbit.
Инструмент Backswing предназначен для сбора информации о сеансе браузера пользователя, включая данные о запросах User-Agent и HTTP Referrer, файлах cookie и текущем домене. Собранную информацию Backswing отправляет на C&C-сервер злоумышленников.
Исследователям обнаружили две версии инструмента. На нескольких сайтах вторая версия появилась 5 октября нынешнего года. Backswing v2 был внедрен в легитимные ресурсы JavaScript, размещенные на скомпрометированных сайтах. Подобные инструменты позволяют злоумышленникам получать больше информации о потенциальных жертвах перед непосредственной атакой, пояснили специалисты.
Использование Backswing для подготовки атак Bad Rabbit позволяет заключить, что атака не была финансово мотивированной, поскольку ориентированные на прибыль злоумышленники, не особо заботятся о том, кого именно заражают, отметили эксперты.
Находка подтверждает теорию о том, что за атаками Bad Rabbit может стоять предположительно спонсируемая РФ хакерская группировка Black Energy (также известная как TeleBots и Sandworm Team), подозреваемая в причастности к атакам шифровальщика NotPetya в июне текущего года. Несмотря на ряд сходных факторов между NotPetya и Bad Rabbit, основное различие заключается в том, что большинство жертв последнего приходится на Россию.
Ранее стало известно, что для более быстрого распространения Bad Rabbit использовалась модифицированная версия эксплоита EternalRomance, похищенного у группы Equation Group, подозреваемой в связях с Агентством национальной безопасности США.
Одно найти легче, чем другое. Спойлер: это не темная материя