Троянец-банкер Arnold: TwoBee или не TwoBee

В начале 2017 года нами была обнаружена финансовая кампания TwoBee. Внимание ее организаторов было обращено, в первую очередь, на малый и средний бизнес, использующий обмен файлами между учетной системой и ДБО для обработки платежей. Характерной особенностью TwoBee была подмена реквизитов получателя денежного перевода в файле 1c_to_kl.txt, создаваемом бухгалтерской системой. В результате деньги уходили преступникам. Однако это была не первая подобная кампания и, как показала практика, не последняя.

Buhtrap и Fibbit

Подмена реквизитов активно использовалась Buhtrap, также как и в троянце Fibbit. Несмотря на то, что Buhtrap получил широкую известность в 2014 году, первые версии Fibbit были замечены тремя годами ранее. А в июне 2016 нам удалось найти один из модулей троянца (он назывался taz, tazsb или tazjp), который действовал по схеме, похожей на TwoBee. В августе 2016 мы получили последний конфигурационный файл для одного из его модулей:

Те же и RTM

В 2015 году параллельно с Fibbit использовался троянец Trojan-Banker.Win32.RTM. Один из его модулей — 1c_2_kl, — также использующийся для слежения за файлом 1c_to_kl.txt, привлек наше внимание: он отправлял сформированную «платежку» на сервер, но при этом ничего с ней не делал. Предположительно, на тот момент модуль находился в разработке. В 2017 он получил полноценное обновление (1c_2_kl_r), которое сами авторы, судя по всему, называют Arnold. Продукты «Лаборатории Касперского» детектируют его как Trojan-Banker.Win32.Ronald.

Путь к PDB-файлу проекта оставленный компилятором

Arnold и его «друзья»

Хотя Arnold должен был просто заменить модуль подмены «платежек», в итоге из него получился самостоятельно функционирующий бот, состоящий из загрузчика и нескольких небольших библиотек. Загрузчик инжектируется в процесс explorer.exe, с помощью алгоритма AES и ключа 01234567890123456789012345678901 расшифровывает библиотеки, после чего вызывает в них экспортируемую функцию init.

Библиотеки Arnold:

• installPlugin.dll

  Не несет полезной нагрузки, выводит сообщение «Install!» с помощью API функции OutputDebugStringA.

• hwid.dll

  Предоставляет API для получения уникального идентификатора (Hardware ID) инфицированной машины. HWID вычисляется на основе используемого процессора, версии операционной системы и имени компьютера.

• jsonParser.dll

  Предоставляет API для работы с json-файлами.

• processLinker.dll

  Предоставляет API для инжектирования в заранее заданные процессы, такие как chrome.exe, firefox.exe, javaw.exe, jp2launcher.exe, cbmain.ex, iexplore.exe, _cbank.exe, clbank.exe.

• simpleNetwork.dll

  Предоставляет API для общения с командным центром. В отличии от банкера TwoBee, активно использовавшего протокол UDP для общения с C&C, Arnold работает по HTTP. Как только бот устанавливает соединение с командным центром он запрашивает конфигурационный файл – набор правил по которым будет происходить замена в «платежке». Ответ сервера зашифрован алгоритмом AES, но ключ, в отличии от загрузчика, не зашит, а вычисляется как sha256 от имени сервера (sha256(‘arnoldfreeteacher.com’ == ‘xb0x3fx99x53xa3x92xc1x3ax70x76xf8xc9xaaxcex2cxafx5ex7dxb5x2cxc0x18x61x55x56x61x54x86x49x68xf5xa8»). В последних 4 байтах расшифрованного ответа хранится размер данных без учета выравнивания.



Пример получения зашифрованного конфигурационного файла от командного центра

Расшифрованный конфигурационный файл напоминает то, что мы уже видели в Fibbit:

[{
    «minSum»: 10000,
    «maxSum»: 100000,
    «fields»: {
        «ПолучательИНН»         : «0277913917»,
        «ПолучательСчет»        : «40702810806000018613»,
        «ПолучательРасчСчет»    : «40702810806000018613»,
        «ПолучательБИК»         : «048073601»,
        «ПолучательКПП»         : «027701001»,
        «ПолучательКорсчет»     : «30101810300000000601»
    }
  },
  {
    «minSum»: 100001,
    «maxSum»: 300000,
    «fields»: {
        «ПолучательИНН»         : «6658495579»,
        «ПолучательСчет»        : «40702810738410000202»,
        «ПолучательРасчСчет»    : «40702810738410000202»,
        «ПолучательБИК»         : «046015207»,
        «ПолучательКПП»         : «665801001»,
        «ПолучательКорсчет»     : «30101810100000000964»
    }
},
  {
    «minSum»: 300001,
    «maxSum»: 2000000,
    «fields»: {
        «ПолучательИНН»         : «9723027498»,
        «ПолучательСчет»        : «40702810026220000702»,
        «ПолучательРасчСчет»    : «40702810026220000702»,
        «ПолучательБИК»         : «046015207»,
        «ПолучательКПП»         : «772301001»,
        «ПолучательКорсчет»     : «30101810500000000207»
    }
}] 

• replacement.dll

  Основная библиотека бота, именно она отвечает за работу с файлом 1c_to_kl.txt и вносит в него изменения. Если TwoBee просто искал на компьютере файлы с определенным именем, то Arnold получает путь к нужному файлу в результате перехвата API функций CreateFileA и CreateFileW в процессах, перечисленных в processLinker.dll. Причем для Arnold имя файла не имеет значения, главное — наличие подстроки «.txt» в полном пути к файлу. Если содержимое открытого файла удовлетворяет необходимым условиям, троянец создаст его копию в директории %TEMP%, заменит реквизиты и «вернет» обратно.



Фрагмент содержимого библиотеки replacement.dll со строками и адресом командного центра

• CommandCenter.dll

  Недавно появившаяся в боте DLL. Предположительно, должна запрашивать и обрабатывать команды от C&C, но на текущий момент каких-либо команд обнаружить не удалось – ответ от сервера приходит «пустой» (четыре нулевых байта, которые бот просто игнорирует).

Заключение

Несмотря на то, что Arnold использует те же методы, что и TwoBee, новый бот имеет больше общего с уже известным Fibbit. Мы полагаем, что оба зловреда находятся в руках одной киберпреступной группы. В ближайшее время мы ожидаем увидеть активное развитие Arnold, в том числе и заимствование троянцем части функций модульного троянца. Fibbit. В качестве временного решения для защиты от текущей версии зловреда пользователи учетных систем могут использовать имя файла экспорта платежных поручений, в имени или расширении которого отсутствует сочетание «.txt».

MD5

С&С

hxxp://arnoldfreeteacher.com/data.php
hxxp://xjdhdhsoiuugvzebet.pw/data.php
hxxp://ofcwamcnqclanricwcgl.pw/data.php
hxxp://wemihqipfgtckeilix.pw/data.php
hxxp://moothhits.top/data.php
hxxp://zsulyiyrfzmwmhe.pw/data.php