Kampania obejmuje oparte na przeglądarce oprogramowanie wyłudzające okup oraz zestaw narzędzi do tworzenia exploitów (narzędzi pozwalających na wykorzystywanie luk w zabezpieczeniach systemów operacyjnych i aplikacji). Od 23 lipca mobilny komponent kampanii został zamknięty, ponieważ serwer kontroli zaczął wysyłać do ofiar wykorzystujących urządzenia mobilne polecenia ‘Uninstall’, skutecznie usuwające szkodliwą aplikację. Jednak pozostałe szkodliwe komponenty przeznaczone dla użytkowników komputerów PC – w tym zestaw do tworzenia exploitów – nadal są aktywne. Kaspersky Lab monitoruje to szkodliwe oprogramowanie, które po raz pierwszy zostało opisane przez badacza ds. bezpieczeństwa znanego pod pseudonimem Kaffeine.
Osoby stojące za atakami stosowały nietypową metodę w celu skanowania systemów ofiar i oferowania oprogramowania ransomware dostosowanego do lokalizacji i typu urządzenia – urządzenie mobilne czy PC. Kolejny krok stanowiła infrastruktura przekierowania, po tym jak ofiara odwiedziła jedną z co najmniej 48 szkodliwych stron pornograficznych wykorzystywanych przez operatorów Kolera. Wykorzystanie sieci pornograficznej dla tego oprogramowania ransomware nie jest przypadkowe: ofiary są bardziej skłonne czuć się winne z powodu przeglądania takich stron i zapłacić rzekomą karę nałożoną przez “władze”.
Strony pornograficzne przekierowują użytkowników do węzła centralnego, który wykorzystuje Keitaro Traffic Distribution System (TDS) do powtórnego przekierowywania użytkowników. W zależności od kilku czynników, to drugie przekierowanie może prowadzić do trzech różnych scenariuszy:
- Zainstalowanie mobilnego oprogramowania ransomware o nazwie Koler. W przypadku gdy użytkownik wykorzystuje urządzenie mobilne, strona internetowa automatycznie przekierowuje go do szkodliwej aplikacji. Jednak użytkownik wciąż musi potwierdzić pobranie i instalację aplikacji – o nazwie animalporn.apk – która w rzeczywistości stanowi oprogramowanie ransomware o nazwie Koler. Szkodnik ten blokuje ekran zainfekowanego urządzenia i w zamian za odblokowanie go żąda okupu w wysokości 100 – 300 dolarów. Szkodnik wyświetla zlokalizowany komunikat “policyjny”, który czyni żądanie bardziej realistycznym.
- Przekierowanie na dowolną ze stron internetowych ransomware. Specjalny kontroler sprawdza, czy (a) użytkownik znajduje się w jednym z 30 państw objętych kampanią (m.in. w Polsce), (b) użytkownik nie korzysta z urządzenia z Androidem i (c) użytkownik nie korzysta z Internet Explorera. Jeżeli wszystkie trzy warunki zostaną spełnione, użytkownik zobaczy ekran blokujący identyczny jak ten wykorzystywany w przypadku urządzeń mobilnych. W tym przypadku nie dochodzi do żadnej infekcji, pojawia się jedynie okienko wyskakujące pokazujące szablon blokujący. Użytkownik może jednak łatwo cofnąć blokadę, stosując prostą systemową kombinację klawiszy Alt+F4.
- Przekierowanie do strony internetowej zawierającej Angler Exploit Kit. Jeżeli użytkownik wykorzystuje przeglądarkę Internet Explorer, wykorzystywana w kampanii infrastruktura przekierowywania wysyła go na strony zawierające zestaw narzędzi Angler Exploit Kit, który posiada exploity dla komponentu Silverlight firmy Microsoft, Adobe Flash oraz Java. W czasie analizy przeprowadzonej przez Kaspersky Lab kod exploita był w pełni funkcjonalny, nie dostarczał jednak żadnej funkcji szkodliwej (co może się jednak zmienić w najbliższej przyszłości).
Komentując nowe odkrycia dotyczące Kolera, Vicente Diaz, główny badacz ds. bezpieczeństwa w Kaspersky Lab, powiedział: “Najbardziej interesująca jest wykorzystywana w tej kampanii sieć dystrybucji. Dziesiątki generowanych automatycznie stron internetowych przekierowują ruch do węzła centralnego przy pomocy systemu dystrybucji ruchu, gdzie użytkownicy zostają przekierowani po raz kolejny. Uważamy, że infrastruktura ta pokazuje, jak dobrze zorganizowana i niebezpieczna jest cała kampania. Dzięki pełnej automatyzacji osoby atakujące mogą szybko stworzyć podobną infrastrukturę, zmieniając szkodliwą funkcję lub biorąc na celownik innych użytkowników. Ponadto cyberprzestępcy wymyślili kilka sposobów zarobienia na tej kampanii”.
Spośród prawie 200 000 odwiedzających mobilną domenę infekcji od początku kampanii, większość użytkowników znajduje się w Stanach Zjednoczonych (80% – 146 650), w dalszej kolejności w Wielkiej Brytanii (13 692), Australii (6 223), Kanadzie (5 573), Arabii Saudyjskiej (1 975) i Niemczech (1 278).
Kaspersky Lab poinformował o swoich odkryciach zarówno Europol, jak i Interpol i współpracuje z organami ścigania w celu zbadania możliwości zamknięcia tej infrastruktury.