Криптор, стилер и банковский троянец

Введение

До тех пор, пока киберпреступники охотятся за деньгами, они не прекратят создавать вредоносное ПО, а пока они создают вредоносное ПО, мы продолжим его анализировать, публиковать отчеты и предлагать защитные решения. В прошлом месяце мы рассказали подписчикам нашего сервиса информирования о нескольких вредоносных кампаниях. Например, мы опубликовали закрытый отчет о новом зловреде, обнаруженном на теневых форумах, который мы называем ASMCrypt (связан с загрузчиком DoubleFinger). Однако в мире киберкриминала происходят и другие события, поэтому мы также опубликовали отчеты о новых версиях стилера Lumma и банковского троянца для Android под названием Zanubis. В статье мы приводим выдержки из этих отчетов.

Если вы хотите больше узнать о нашем сервисе информирования о ПО, используемом для совершения киберпреступлений (crimeware), напишите по адресу crimewareintel@kaspersky.com.

ASMCrypt

Как мы писали в предыдущей статье, мы отслеживаем активность на различных подпольных форумах. На одном из таких форумов мы увидели объявление о новом «крипторе и загрузчике» ASMCrypt. Этот зловред используется для загрузки итоговой полезной нагрузки так, чтобы процесс загрузки или сама полезная нагрузка остались незамеченными антивирусом или EDR-решением. В этом он очень похож на DoubleFinger, который мы описывали здесь.

Анализ показал, что с высокой долей вероятности ASMCrypt — более поздняя версия DoubleFinger. Однако ASMCrypt работает немного по-другому: он выступает скорее как «фасад» для службы, которая выполняется в сети TOR.

Сначала покупатель приобретает бинарный файл ASMCrypt, который подключается к серверной службе через сеть TOR с использованием жестко закодированных учетных данных. Если подключение установлено успешно, открывается меню выбора параметров.

Покупатель может задать следующие параметры:

• метод скрытого или невидимого внедрения;
• процесс, в который будет внедрена полезная нагрузка;
• имя папки для закрепления в автозагрузке;
• тип полезной нагрузки: либо сам зловред, который маскируется под Apple Quicktime, либо легитимное приложение, которое динамически загружает вредоносный DLL-файл.

После того как покупатель выберет нужные параметры и запустит сборку, приложение создаст зашифрованный блок данных, спрятанный в PNG-файле. Этот файл необходимо отправить на веб-сайт для хостинга изображений. Кроме того, создается вредоносная DLL-библиотека либо бинарный файл (в зависимости от выбранного параметра), который и распространяют злоумышленники.

Когда вредоносная DLL-библиотека выполняется в целевой системе, она загружает PNG-файл, расшифровывает его, загружает в память и выполняет.

Lumma

Стилер Arkei, написанный на языке C++, впервые был замечен в мае 2018 года. За последние несколько лет появилось множество его вариантов: Vidar, Oski, Mars и, наконец, — Lumma (код этого стилера на 46% совпадает с Arkei). Основные функции всех вариантов оставались одинаковыми: кража кэшированных файлов, конфигурационных файлов и логов криптовалютных кошельков. Зловред может работать как плагин для браузера, но также совместим с приложением Binance.

Lumma распространяется через поддельный веб-сайт для преобразования файлов .docx в .pdf, который маскируется под легитимный. Отправленный на него файл возвращается с двойным расширением pdf.exe.

Этот стилер впервые появился в поле нашего зрения в августе 2022 года, когда мы обнаружили неизвестные прежде образцы. Примерно в то же время исследователь-любитель Fumik0_ опубликовал твит о том, что Lumma — это форк или результат рефакторинга кода Mars. С того момента в коде Lumma произошли изменения, некоторые из которых мы рассмотрим ниже:

• Мы нашли только один образец (MD5: 6b4c224c16e852bdc7ed2001597cde9d), который мог составлять список системных процессов. Этот же образец использовал URL-адрес для обмена данными с командным сервером, отличный от адреса для предыдущих версий (/winsock вместо /socket.php).
• Мы также нашли образец (MD5: 844ab1b8a2db0242a20a6f3bbceedf6b), похожий на отладочную версию. Когда при выполнении доходит очередь до определенных фрагментов кода, на командный сервер отправляется уведомление. И снова используется другой URL-адрес (/windbg).
• В более свежем образце (MD5: a09daf5791d8fd4b5843cd38ae37cf97) атакующие изменили значение поля User-Agent на HTTP/1.1. Причина этого непонятна.
• Все ранние образцы, включая три указанных выше, загружали с командного сервера дополнительные библиотеки для 32-разрядных систем, позволяющие парсить файлы, специфичные для браузеров (пароли и т. п.). В отличие от них образец с MD5-хешем 5aac51312dfd99bf4e88be482f734c79 просто отправляет всю базу данных на командный сервер.
• Образец с MD5-хешем d1f506b59908e3389c83a3a8e8da3276 содержит алгоритм шифрования строк. Строки в нем преобразуются в шестнадцатеричный код и шифруются XOR-ключом (первые 4 байта строки).
• Одно из самых крупных изменений произошло с образцом с MD5-хешем c2a9151e0e9f4175e555cf90300b45c9. Он поддерживает динамические конфигурационные файлы, которые присылает командный сервер. Конфигурация закодирована по методу Base64, а затем к ней применена операция XOR с первыми 32 байтами конфигурационного файла.

Образец кода «отладочного» образца

Zanubis

Банковский троянец Zanubis для Android был впервые обнаружен в августе 2022 года. Тогда он использовался для атаки на пользователей финансовых организаций и криптовалютных бирж в Перу. Zanubis имитирует легитимные перуанские приложения для Android и запрашивает у пользователя доступ к специальным возможностям с целью получения полного контроля над устройством.

Примерно в апреле 2023 года мы обнаружили новые образцы Zanubis, которые выдают себя за Android-приложение перуанского госучреждения SUNAT (Национальное управление таможенной и налоговой администрации). Мы изучили обновившуюся функциональность троянца, ставшего за это время более продвинутым.

Зловред обфусцирован с помощью Obfuscapk, популярного обфускатора APK-файлов для Android. После того как жертва предоставляет Zanubis доступ к специальным возможностям, он начинает работать в фоновом режиме и загружает в окне WebView легитимный веб-сайт SUNAT для проверки задолженностей. Таким образом Zanubis имитирует обычное приложение в экосистеме SUNAT, чтобы не вызывать подозрений у пользователя.

Для подключения к командному серверу используются протокол WebSocket и библиотека Socket.IO. С помощью последней вредоносное ПО устанавливает отказоустойчивое соединение с командным сервером, позволяющее переключаться с WebSocket на HTTP и наоборот. Также библиотека предоставляет командному серверу доступ к масштабируемой среде, где все новые устройства, зараженные Zanubis, могут при необходимости массово получать команды (также называемые событиями) от командного сервера. После запуска зловреда имплант вызывает функцию проверки подключения к C2. Он устанавливает два соединения с одним и тем же командным сервером, но эти подключения выполняют разные задачи, и второе соединение устанавливается только по запросу командного сервера.

В коде Zanubis нет жестко заданного списка приложений для атаки. В последние годы разработчики вредоносного ПО обычно динамически обновляют список целей, добавляя или удаляя названия приложений. Чтобы внести приложения в этот список, командный сервер отправляет событие config_packages. JSON-объект, рассылаемый вместе с событием, содержит массив со списком приложений, которые должен отслеживать зловред. Вредоносное ПО парсит список целей каждый раз, когда на экране происходит какое-либо событие (например, открывается приложение), которое троянец отслеживает с помощью функции onAccessibilityEvent. Как только Zanubis обнаруживает, что на устройстве открыто приложение из списка целей, троянец крадет данные пользователя при помощи одного из двух действий в зависимости от настроек: отслеживания событий/перехвата данных, вводимых с клавиатуры, или же записи экрана.

Ранее мы упоминали о втором соединении с командным сервером, которое позволяет зловреду выполнять еще больше действий. После того как Zanubis устанавливает новое соединение с командным сервером, зловред отправляет серверу событие VncInit, сообщая о том, что инициализация дополнительных функций выполнена. После этого он будет каждую секунду отправлять на сервер данные рендеринга экрана (например, размер дисплея). Можно предположить, что таким образом операторы получают контроль над зараженным телефоном или внедряют бэкдор.

Среди дополнительных функций особого внимания заслуживает событие bloqueoUpdate. Это одно из наиболее агрессивных и мешающих пользователю действий зловреда: он имитирует обновление Android, препятствующее использованию телефона — троянец мониторит попытки заблокировать или разблокировать устройство и пресекает их.

Фальшивое обновление препятствует использованию телефона

Согласно нашему анализу, вредоносное ПО нацелено на приложения банков и финансовых учреждений Перу. Этот факт в сочетании с данными телеметрии позволяет сделать вывод о том, что мишенью Zanubis являются пользователи из Перу. Список приложений — целей троянца насчитывает более 40 имен пакетов. Собранные на данный момент образцы Zanubis могут заразить любой телефон на базе Android, но все они предназначены в первую очередь для устройств, на которых в качестве языка системы установлен испанский.

Заключение

Вредоносное ПО постоянно эволюционирует — это ясно показывает пример Lumma, разные варианты которого обладают разной функциональностью. Другой пример — Zanubis, который становится все более опасным банковским троянцем, способным красть деньги и персональные данные мобильных пользователей. Постоянные изменения во вредоносном коде и смена тактик, техник и процедур (TTP) злоумышленников затрудняют работу специалистов по кибербезопасности. Организация сможет защититься от новых угроз, если будет узнавать о них сразу после возникновения. Отчеты об угрозах помогают быть в курсе новых вредоносных инструментов и TTP преступников. Если вы хотите получить свежую информацию о новейших тактиках, техниках и процедурах злоумышленников или задать вопрос о наших приватных отчетах, напишите по адресу crimewareintel@kaspersky.com.

Индикаторы компрометации (хеши MD5)

Lumma
6b4c224c16e852bdc7ed2001597cde9d
844ab1b8a2db0242a20a6f3bbceedf6b
a09daf5791d8fd4b5843cd38ae37cf97
5aac51312dfd99bf4e88be482f734c79
d1f506b59908e3389c83a3a8e8da3276
c2a9151e0e9f4175e555cf90300b45c9

Zanubis
054061a4f0c37b0b353580f644eac554
a518eff78ae5a529dc044ed4bbd3c360
41d72de9df70205289c9ae8f3b4f0bcb
9b00a65f117756134fdb9f6ba4cef61d
8d99c2b7cf55cac1ba0035ae265c1ac5
248b2b76b5fb6e35c2d0a8657e080759
a2c115d38b500c5dfd80d6208368ff55