Описание вредоносного ПО

Блокировщик рекламы с майнером в комплекте

Некоторое время назад мы обнаружили ряд поддельных приложений, доставляющих на компьютеры пользователей майнер криптовалюты Monero. Они распространяются через сайты злоумышленников, на которые жертва может попасть из поисковых систем. Судя по всему, это продолжение летней кампании, о которой писали наши коллеги из компании Avast. Тогда злоумышленники распространяли вредоносное ПО под видом установщика антивируса Malwarebytes.

В текущей кампании мы видели несколько приложений, под которые маскировались зловреды: блокировщики рекламы AdShield и Netshield, а также сервис OpenDNS. В данной статье мы проанализируем только атаку с использованием AdShield, однако в других случаях заражение происходит по такому же сценарию.

Технические детали

Зловред распространяется под именем adshield[.]pro и выдает себя за Windows-версию мобильного блокировщика рекламы AdShield. После того как пользователь запускает программу, она меняет настройки DNS на устройстве так, что все домены начинают разрешаться через серверы злоумышленников, которые, в свою очередь, не дают пользователям получить доступ к сайтам некоторых антивирусов, например к Malwarebytes.com.

После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки. Часть строк в исполняемом файле, в том числе строка с адресом командного сервера, зашифрована для усложнения статического детектирования.

Фрагмент кода Updater.exe, содержащий зашифрованный адрес

Updater.exe скачивает с сайта transmissionbt[.]org и запускает модифицированный торрент-клиент Transmission (оригинальный дистрибутив находится по адресу transmissionbt.com). Модифицированная программа отсылает на командный сервер информацию об установке вместе с идентификатором зараженной машины и загружает с него модуль для майнинга.

Оповещение С&С об успешной установке

Модуль для майнинга состоит из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe и файла «лицензии» lic.data. Последний содержит шестнадцатеричный хэш SHA-256 от некоторых параметров машины, для которой предназначен модуль, и данных из файла data.pak. Модифицированный клиент Transmission запускает flock.exe, который первым делом вычисляет хэш от параметров зараженного компьютера и данных из файла data.pak, после чего сравнивает его с хэшем из файла lic.data. Это необходимо, поскольку командный центр генерирует для каждой машины уникальный набор файлов, чтобы затруднить статическое детектирование и предотвратить запуск майнера в различных виртуальных окружениях, предназначенных для анализа.

Если хэши различаются, выполнение прекращается. В противном случае flock.exe расшифровывает данные из файла data.pak с помощью алгоритма AES-128-CTR, при этом ключ для расшифровки и вектор инициализации собираются из нескольких частей, хранящихся в коде образца. После расшифровки получается файл бинарных ресурсов Qt, в котором находятся два исполняемых файла — майнер с открытым исходным кодом XMRig (такой же использовался и в летней атаке) и библиотека bxsdk64.dll.

Расшифрованный файл data.pak

Файл bxsdk64.dll является частью ПО для создания виртуального окружения BoxedApp SDK, однако в данном случае он используется для запуска майнера под видом легитимного приложения find.exe. Дело в том, что для реализации своей функциональности bxsdk перехватывает вызовы системных функций и может манипулировать их выполнением. В данном случае с помощью функции BoxedAppSDK_CreateVirtualFileA в директории C:\ProgramData\Flock создается файл find.exe (который представляет собой копию файла C:\Windows\System32\find.exe). Дальнейшие манипуляции с find.exe происходят в оперативной памяти и не затрагивают файл на диске. При запуске процесса find.exe bxsdk перехватывает это событие и запускает файл из директории C:\ProgramData\Flock, а затем с помощью функций WriteProcessMemory и CreateRemoteThread внедряет в память процесса расшифрованное тело майнера.

Для обеспечения постоянной работы майнера в планировщике Windows создается задача servicecheck_XX, где XX — случайные цифры. Задача запускает flock.exe с аргументом minimize.

Статистика

По данным Kaspersky Security Network, на момент написания статьи с начала февраля 2021 года были зафиксированы попытки установки поддельных приложений на устройства более 7 тыс. пользователей. На пике текущей кампании атаке подвергались более 2,5 тыс. уникальных пользователей в день, преимущественно из России и стран СНГ.

Количество атакованных пользователей, август 2020 г. — февраль 2021 г. (скачать)

Защитные решения «Лаборатории Касперского» детектируют описанные угрозы со следующими вердиктами:

  • Win64.Patched.netyyk
  • Win32.DNSChanger.aaox
  • Win64.Miner.gen
  • HEUR:Trojan.Multi.Miner.gen

Как удалить майнер

Если на вашем устройстве обнаружен файл QtWinExtras.dll, переустановите программу Malwarebytes. Если приложения Malwarebytes нет в списке приложений, необходимо удалить все папки из следующего списка, которые есть на диске:

  • %program files%\malwarebytes
  • program files (x86)\malwarebytes
  • %windir%\.old\program files\malwarebytes
  • %windir%\.old\program files (x86)\malwarebytes

Если на вашем устройстве обнаружен файл flock.exe, примите следующие меры:

  • Удалите ПО NetshieldKit, AdShield, а также удалите или переустановите OpenDNS (в зависимости от того, что именно установлено на устройстве).
  • Переустановите торрент-клиент Transmission или удалите его, если не планируете использовать.
  • Удалите папки (если они есть на диске)
    • C:\ProgramData\Flock
    • %allusersprofile%\start menu\programs\startup\flock
    • %allusersprofile%\start menu\programs\startup\flock2
  • Удалите задачу servicecheck_XX (где XX — это любые случайные числа) из планировщика задач Windows.

Индикаторы компрометации

DNS

142[.]4[.]214[.]15
185[.]201[.]47[.]42
176[.]31[.]103[.]74
37[.]59[.]58[.]122
185[.]192[.]111[.]210

Домены

adshield[.]pro
transmissionbt[.]org
netshieldkit[.]com
opendns[.]info

Хэш-суммы

5aa0cda743e5fbd1d0315b686e5e6024 (установщик AdShield)
81BC965E07A0D6C9E3EB0124CDF97AA2 (updater.exe)
ac9e74ef5ccab1d5c2bdd9c74bb798cc (модифицированный установщик transmission)
9E989EF2A8D4BC5BA1421143AAD59A47 (установщик NetShield)
2156F6E4DF941600FE3F44D07109354E (установщик OpenDNS)

Блокировщик рекламы с майнером в комплекте

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Алексей

    «Тогда злоумышленники распространяли вредоносное ПО под видом установщика антивируса Malwarebytes.»
    Кто-то ещё качает такие программы не с сайта разработчика???

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике