Авторы
Введение
Существует множество видов crimeware — вредоносного ПО, используемого для совершения киберпреступлений. Злоумышленники пытаются нажиться на своих жертвах всеми возможными способами и поэтому распространяют вредоносные программы разных типов, предназначенные для различных платформ. За последние месяцы мы поделились с клиентами приватными отчетами на самые разные темы, связанные с crimeware, в том числе о новых кроссплатформенных шифровальщиках, стилерах для macOS и кампаниях по распространению вредоносного ПО. В этой статье мы приводим выдержки из наших отчетов о кампании FakeSG, шифровальщике Akira и стилере AMOS.
Чтобы узнать больше о нашем сервисе информирования о crimeware, напишите по адресу crimewareintel@kaspersky.com.
FakeSG
Название FakeSG мы дали новой кампании по распространению NetSupport RAT. Мы выбрали это имя, потому что злоумышленники подражают другой печально известной кампании по распространению этого зловреда — SocGholish. Они заражают легитимные сайты, которые в результате показывают посетителю уведомление о необходимости обновить браузер. Пример можно увидеть на скриншоте ниже. Когда пользователь нажимает на уведомление, на его устройство загружается вредоносный файл. Чтобы оставаться незамеченными как можно дольше, злоумышленники постоянно меняют домен, с которого загружается вредоносное ПО. Однако путь в рамках домена по неизвестной нам причине остается прежним (/cdn/wds.min.php).
Пример лендинговой страницы
Загруженный файл содержит обфусцированный код на JavaScript. При выполнении он загружает еще один скрипт из удаленного хранилища и устанавливает файл cookie. Затем он выводит уведомление о необходимости обновить браузер и начинает автоматически загружать третий скрипт. На этот раз речь идет о batch-файле, загружающем еще один batch-файл, архив в формате 7z и исполняемый файл архиватора 7z.
Второй batch-файл отвечает за закрепление в системе путем создания в планировщике задачи с именем VCC_runner2, извлечение и копирование вредоносного ПО, и другие задачи. Часть содержимого 7z-архива представляет собой конфигурационный файл зловреда, содержащий адрес командного сервера (см. рисунок ниже).
Адрес командного сервера
Akira
Akira — это относительно новый (впервые обнаружен в апреле этого года) шифровальщик, написанный на C++ и работающий в Windows и Linux. Несмотря на то что инструмент существует недавно, злоумышленники, использующие Akira, весьма активны и заразили уже более 60 организаций по всему миру. Своими целями они выбирают крупные организации в различных отраслях, таких как розничная торговля, потребительские товары и образование.
Во многом Akira не отличается от других семейств шифровальщиков: программа удаляет теневые копии (с помощью комбинации PowerShell и WMI) и шифрует содержимое логических дисков, пропуская определенные типы файлов и каталогов, при этом похищенные данные размещаются на сайте в сети Tor, который также используется для связи со злоумышленниками.
Однако интересно сходство Akira с Conti. Например, список папок, исключаемых из процесса шифрования, в нем такой же. В него входит, в частности, папка winnt, которая присутствует только в Windows 2000. Кроме того, оба шифровальщика используют схожие функции обфускации строк.
Своеобразным «лицом» киберпреступной группы является панель управления зловредом. В ходе наших расследований и совместной работы с правоохранительными органами по всему миру мы имели дело со множеством таких веб-интерфейсов. Однако сайт Akira, предназначенный для связи со злоумышленниками, отличается от остальных. Он создан в минималистичном ретростиле с использованием библиотеки JQuery Terminal. Разработчики приняли ряд мер для его защиты. Например, если попытаться открыть сайт с помощью отладчика в браузере, возникнет ошибка.
AMOS
Популярность стилеров неуклонно растет. Некоторые известные стилеры, такие как Redline и Raccoon, существуют уже на протяжении многих лет. Другие, о которых мы также рассказывали в предыдущих статьях, появились совсем недавно. В начале года мы обнаружили несколько новых стилеров для macOS, в том числе XLoader, MacStealer и Atomic MacOS, также известный как AMOS.
Впервые AMOS был замечен в апреле 2023 года. Объявление в Telegram предлагало киберпреступникам воспользоваться им за 1000 долларов в месяц. Первоначальная версия, написанная на языке Go, содержала типичные для стилеров функции, такие как кража паролей, файлов и данных браузера. Она также создавала поддельные окна запроса пароля, через которые злоумышленники могли заполучить системный пароль.
В новой версии произошло несколько изменений. Наиболее заметным из них является язык программирования. Теперь AMOS написан на C, а не на Go. Нам также удалось определить вектор заражения: вредоносная реклама. Как и в случае с кампаниями Redline и Rhadamantys, злоумышленники клонируют сайты с популярным программным обеспечением и заманивают туда пользователей, обманом заставляя их загрузить вредоносный DMG-файл. При его открытии появляются инструкции по установке зловреда под видом легитимного ПО, как показано на скриншоте ниже.
Инструкции по установке вредоносного ПО
Первым делом вредоносная программа получает имя пользователя и проверяет, нужен ли ему пароль для входа в систему, и если да, то не пустой ли этот пароль. Если пароль требуется и не пуст, а пользователь не вошел в систему, с помощью osascript создается всплывающее окно с запросом пароля. После того как все настроено, собираются следующие данные:
- база данных приложения «Заметки»;
- документы с рабочего стола и из папки «Документы»;
- файлы cookie, логины, пароли и другая информация из браузеров, в частности Chrome и Edge;
- криптовалютные кошельки (например, Binance и Exodus);
- данные мессенджеров (например, Telegram и Discord).
Данные упаковываются с помощью библиотеки miniz и отправляются на командный сервер по протоколу HTTP. Часть запроса составляет UUID, идентифицирующий кампанию или покупателя вредоносного ПО.
Мы обнаружили заражения AMOS по всему миру, однако большинство случаев приходится на Россию и Бразилию.
Если вы хотите получать свежую информацию о новейших тактиках, техниках и процедурах злоумышленников или задать вопрос о наших приватных отчетах, пишите по адресу crimewareintel@kaspersky.com.
Индикаторы компрометации
NetSupportManagerRAT
C60AC6A6E6E582AB0ECB1FDBD607705B
Akira
00141f86063092192baf046fd998a2d1
0885b3153e61caa56117770247be0444
2cda932f5a9dafb0a328d0f9788bd89c
AMOS
3d13fae5e5febfa2833ce89ea1446607e8282a2699aafd3c8416ed085266e06f
9bf7692f8da52c3707447deb345b5645050de16acf917ae3ba325ea4e5913b37
Авторы
Кампания FakeSG, шифровальщик Akira и AMOS — стилер для macOS