„Jesteśmy grupą hakerów pochodzącą z Federacji Rosyjskiej, jesteśmy zaniepokojeni niezrozumiałymi dla nas sankcjami, które zostały nałożone przez zachodnie rządy na nasz kraj” – taką wiadomość rozsyłała rosyjska grupa cyberprzestępcza, której Kelihos został zaprojektowany tak, by po cichu atakować jednostki rządowe krajów zachodnioeuropejskich oraz Stanów Zjednoczonych. – „Zaprogramowaliśmy naszą odpowiedź na te sankcje i poniżej znajdziecie łącze do naszego programu. Uruchomienie aplikacji na twoim komputerze spowoduje, że zacznie on w ukryty sposób atakować wszystkie agencje rządowe, które przyczyniły się do obecnego stanu”.
Użytkownicy – a wiadomość przesyłana była głównie do tych, którzy z różnych względów wspierali Rosję i nie zgadzali się z nałożonymi na kraj sankcjami – stawali się zatem częścią botnetu i pomagali w dalszym rozprowadzaniu zagrożenia. Wspomniany trojan instalował zaś trzy pliki do monitorowania ruchu sieciowego: WinPcap npf.sys, pac ket.dll i wpcap.dll. Są one w stanie wydobyć różnego typu informacje z przeglądarek internetowych i nie tylko. Jak informują eksperci z laboratorium Bitdefender, w skrajnych sytuacjach Kelihos potrafi:
- komunikować się z innymi zainfekowanymi komputerami,
- kraść portfele bitcoinów,
- rozsyłać wiadomości ze spamem,
- kraść dane autoryzacyjne FTP i poczty elektronicznej, jak również dane dostępowe do tych kont wprowadzone do przeglądarki,
- pobierać i wykonywać inne złośliwe pliki oprogramowania na zainfekowanym systemie,
- monitorować ruchu protokołów FTP, POP3 oraz SMTP.
Eksperci przeanalizowali jedną z ostatnich fal spamu, dzięki czemu udało się ustalić statystyki i utworzyć mapę infekcji:
„Niektóre z nich mogą być wyspecjalizowanymi serwerami do dystrybucji złośliwego oprogramowania, a pozostałe zainfekowanymi komputerami, które stały się częścią botnetu Kelihosa” – komentuje Pracująca dla Bitdefendera w Dziale Analizy Wirusów Doina Cosovan. „Ironią jest to, iż większość zainfekowanych adresów IP pochodzi z Ukrainy. To może oznaczać, że atak był wymierzony w głównej mierze w komputery w tym kraju lub nawet, że same serwery infekujące zostały umieszczone właśnie w tym kraju”.
Botnet Kelihos został odkryty cztery lata temu. Jak widać cyberprzestępcy nadal potrafią zrobić z niego użytek. Jak możemy uchronić swój komputer przed staniem się częścią botnetu? Przede wszystkim nie powinniśmy otwierać podejrzanych wiadomości e-mail i znajdujących się w nich załączników. Aktywne i aktualne oprogramowanie antywirusowe także jest nie bez znaczenia.
Źródło: Bitdefender
