Az új vírus egy, az Adobe weboldaláról származó hamis szoftvernek álcázza magát, és így próbálja rávenni az áldozatokat a kártevő telepítésére, amelynek célja a személyes adatok megszerzése - közölte felfedezését az ESET.
A Turla csoport korábban már használt hamis telepítőket a kártevői célba juttatásához, azonban ez az első eset, amikor a rosszindulatú program egy hivatalos Adobe URL-ről és IP-címről töltődik le. Az ESET szakemberei bíznak abban, hogy a Turla kártevői nem fertőztek meg egyetlen hivatalos Flash Player-frissítést sem, illetve nem kapcsolódnak semmilyen Adobe-termék ismert sebezhetőségéhez.
„A Turla üzemeltetői számtalan trükkös módszert találtak arra, hogy rávegyék a gyanútlan felhasználókat egy látszólag hivatalos program letöltésére, és elég okosak ahhoz, hogy elrejtsék a rosszindulatú hálózati forgalmukat” - mondta Jean-Ian Boutin, az ESET kártevőkutatója.
„Még a legtapasztaltabb felhasználók is becsaphatók, hogy letöltsenek egy kártevőt, amely látszólag az Adobe.com oldalról érkezik, mivel az URL és az IP-cím az Adobe hivatalos infrastruktúráját utánozza. Minden általunk vizsgált letöltés http-n keresztül történt, így azt javasoljuk a szervezeteknek, hogy
tiltsák le a titkosítatlan kapcsolaton keresztül érkező futtatható fájlok letöltését.
Ez jelentősen csökkenti a Turla támadásainak hatékonyságát, mivel sokkal nehezebb beékelődni vagy módosítani egy titkosított HTTPS kapcsolatot. Ezen kívül a fájlok digitális aláírásának ellenőrzése igazolhatja a sejtelmeket egy gyanús esemény során, mert ezek a fájlok nem rendelkeznek aláírással, az Adobe telepítői viszont igen. Ezek a lépések segítenek elkerülni a Turla csoport legújabb támadásait.”
Adobe Flash-visszaélések
A Turla csoport tevékenységét évek óta figyelő szakemberei megállapították, hogy az új kártevőt egy hivatalos Flash Player mellé sikerült betenniük a bűnözőknek, amely látszólag az adobe.com oldalról érkező programnak tűnik. A végpont szempontjából a távoli IP-cím az Akamaihoz, az Adobe által a Flash telepítő terjesztéséhez használt hivatalos Content Delivery Network (CDN) hálózathoz tartozik.
Az ESET szakemberei azonban észrevették, hogy a hamis Flash telepítők egy GET kérést hajtottak végre, amelynek célja a személyes információk kinyerése a fertőzött rendszerekből. Az ESET telemetria szerint a Turla telepítők legalább 2016 júliusa óta szivárogtatják az adatokat a get.adobe.com URL-ek segítségével. A hivatalos domainek használata igen nehézzé teszi a hálózati forgalom felderítését a vállalatok számára, és ez egyben jól mutatja azt is, hogy a Turla csoport mennyire rejtve szeretne maradni.
A Turla jelenlétére utaló nyomok
Az ESET szakemberei biztosak abban, hogy ezek a támadások elsősorban a volt szovjet utódállamok területét támadó Turla csoporthoz köthetők. A hamis Flash telepítők egy Mosquito elnevezésű backdoor programot tartalmaznak, amelyet korábban egy Turla-csoporthoz köthető kártevőként azonosítottak. Ezen kívül néhány vezérlőszerver (C&C) a SATCOM IP-címeket használó backdoor programokhoz kapcsolható, amelyek szintén a Turla csoporthoz kötődnek. Az ESET termékei a kártevő főkomponensét "Win32/Turla.XX" néven képesek detektálni, és a fertőzést blokkolni.