Stfw.RuSymantec обнаружила новую троянскую программу, которая показывает пользователям поддельные рекламные объявления во время просмотра web-страниц. Троян использует расширение для протокола отправки электронной почты SPF (Sender Policy Framework, структура политики отправителя) для получения инструкций от злоумышленников. Такая техника позволяет вредоносной программе оставаться незамеченной на компьютере жертвы.
Главной задачей трояна, который получил название Spachanel, является внедрение вредоносного Java-сценария в каждую web-страницу, которая открывается в браузере пользователя. Об этом в своем блоге заявил специалист из компании Symantec Такаши Катцуки (Takashi Katsuki).
Вредоносная программа вставляет элементы HTML-сценария, которые, в свою очередь, загружают файлы с Java с удаленного URL-адреса. Код Java-сценария отображает поддельные рекламные объявления, которые появляются во всплывающих окнах, и после каждого нажатия на него пользователями злоумышленники генерируют определенный доход.
Наиболее интересным аспектом вредоносной программы является способ, которым она получает обновленные URL-адреса от злоумышленников для использования поддельных HTML-сценариев.
Троян периодически генерирует доменное имя в соответствии с заданным алгоритмом и подыскивает подходящий SPF-протокол. Мошенники заранее знают, какой именно домен будет сгенерирован, они регистрируют его и настраивают для него SPF с IP-адресами и хостами, которые позволят вредоносной программе создать новые URL-адреса.
Отметим, что политика с использованием SPF-протокола должна проверять подлинность писем электронной почты. Однако, в случае с трояном Spachanel, этот протокол генерирует список поддельных хостов. Это позволяет злоумышленникам скрыть вредоносный трафик от межсетевых экранов и другого ПО, обеспечивающего безопасность компьютерных систем и блокирующего прямые подключения с уже известными вредоносными C&C-серверами.
В целях выполнения поиска по SPF-протоколу, вредоносная программа обращается к доверенному DNS-серверу, который расположен в локальной сети или сети интернет-провайдера. Далее этот сервер отправляет запросы на другие DNS-серверы, и так до того времени, пока запрос не достигнет надежного DNS-сервера, предоставляющего доменные имена, отвечающего на запрос TXT- или SPF-записями, содержащими политики SPF-протокола.
«В некоторых случаях определенные домены блокируются локальным DNS-сервером, однако обнаруженный троян создает такие доменные имена, которые редко фильтруются», - отметил Катцуки.
