IOC_Комета_070918

Усім доброго вечора.

Як ви можливо знаєте, нещодавно стало відомо про те, що одне із популярних на заході розширень Google Chrome було скомпрометовано. Розширення стосувалося ресурсу, який не є популярним серед української спільноти.

Замість теми про безпеку даних оригінального Google Chrome ми хотіли би попередити вас про шкідливе ПЗ на базі Google Chrome.

Мова йде про так званий браузер “Комета” h11p:\ kometa-browser{.} ru/
За основу взятий код Chrome і додані функції збору інформації та генерування криптовалют.
Крім того цей браузер може перенаправляти користувачів на потенційно небезпечні ресурси.

Результати аналізу коду:
1- Модуль браузера
2 – Модуль оновлення

Це досить специфічна загроза. Можливо ваші користувачі навіть не чули про неї.
Але ми наполегливо рекомендуємо перевірити перелік встановленого ПЗ та журнали Proxy сервера на предмет з’єднань специфічних для цього додатку.

Важливо!
“Комета” підписана дійсним сертифікатом та не потребує підвищення привілеїв для встановлення (подібно до Chrome пише себе у каталог користувача).

Зразок, який ми отримали на аналіз є старою версією та характеризується наступними маркерами:

SHA-256 e1497ce0ff723aa5dac1c34565678fc5f8ddb4f109a77ffec286a2354cef0ab8
File name kometa.exe (chrome_exe)
File size 1.03 MB

First Seen In The Wild 2009-10-26 15:58:50
First Submission 2015-06-09 16:10:15
Last Submission 2018-05-18 10:18:40

SHA-256 053e28a3d3ba6a77e6c3f1b3cd648ace05e5d95cfaa7fd45f21c7768ad370c24
File name kometaup.exe
File size 1.04 MB

First Seen In The Wild 2014-11-11 15:09:41
First Submission 2015-06-03 14:08:33
Last Submission 2016-06-11 08:28:18

Активність браузера: (User Agent = Mozilla/5.0 (Chrome/43.0.2357.65)

Мережеві з'єднання
------------------
185.50.24.116 kometa-online{.} ru GET / HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
88.212.201.193 counter.yadro{.} ru GET /logo?26.1 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
88.212.201.193 counter.yadro{.} ru GET /logo?26.1 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
46.4.70.113 bnstero.com GET /widget/bc.js HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
144.76.52.40 cookie.cooster{.} ru GET /user?domain=http%3A%2F%2Fkometa-online{.} ru HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
172.217.20.206 redirector.gvt1.com GET /edgedl/chromewebstore/L2Nocm9tZV9leHRlbnNpb24vYmxvYnMvNGYxQUFVU3NyMGY1T2dNS2lzS1FLVmJsZw/0.3.0.5_lccekmodgklaepjeofjdjpbminllajkg.crx HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
Процес:IP
----------
kometa.exe 4008 172.217.20.206 443 ESTABLISHED 
kometa.exe 4008 172.217.20.202 443 ESTABLISHED 
kometa.exe 4008 185.50.24.116 80 ESTABLISHED 
kometa.exe 4008 185.50.24.116 80 ESTABLISHED 
kometa.exe 4008 185.50.24.116 80 ESTABLISHED 
kometa.exe 4008 172.217.20.206 80 ESTABLISHED 
kometa.exe 4008 213.180.193.106 443 ESTABLISHED 
kometa.exe 4008 144.76.52.40 80 ESTABLISHED 
kometa.exe 4008 172.217.20.202 443 ESTABLISHED 
kometa.exe 4008 172.217.20.206 80 ESTABLISHED 
kometa.exe 4008 185.158.208.209 80 ESTABLISHED 
kometa.exe 4008 185.158.208.209 80 ESTABLISHED 
kometa.exe 4008 185.158.208.209 80 ESTABLISHED 
kometa.exe 4008 172.217.20.195 443 ESTABLISHED 
kometa.exe 4008 172.217.20.195 443 SYN_SENT 
kometa.exe 4008 216.58.214.206 443 ESTABLISHED 
kometa.exe 4008 185.158.210.14 80 ESTABLISHED 
kometa.exe 4008 185.158.210.14 80 ESTABLISHED 
kometa.exe 4008 185.158.210.14 80 ESTABLISHED

# # #

Активність модуля оновлення: (без User Agent)

Автозапуск
----------------
kometaup Kometa browser updater Kometa LCC c:\users\operator\appdata\local\kometa\kometaup.exe 02.06.2015 18:43
Мережеві з'єднання
------------------
62.210.61.24 kometa-update{.} ru HEAD /kometaup/index.json HTTP/1.1 
62.210.61.24 kometa-update{.} ru GET /kometaup/index.json HTTP/1.1 
194.58.112.173 kometa-bin{.} ru HEAD /kometaup/i.exe HTTP/1.1 
188.166.151.208 s.kometa-stat{.} ru HEAD /?prod=up&version=1.0.0.423&action=online&guid=E393FC5FB91F4517A4EBEB2A795776F3&mid=A6F551A97DB2BB3B7B4F216DBB1DF0C2&os=6.1&bit=64&sig=6e2e46520a5e0273b4ff066e667a2a0c HTTP/1.1 
5.9.253.103 kometa-stat{.} ru HEAD /pixel.gif?prod=up&action=online HTTP/1.1

# # #

Нові версії матимуть інший User Agent проте джерела з яких він оновлюються залишаться незмінними.
Перевірте чи ніхто із ваших користувачів не встановив собі таке “щастя”.
Будьте уважні та обережні.

VR

Tags: , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: