Авторы
Введение
Специалисты «Лаборатории Касперского» регулярно исследуют новые образцы и семейства вредоносного ПО и следят за развитием уже известных угроз. Подписчикам нашего сервиса информирования о crimeware — вредоносном ПО, которое используется в преступных целях, — мы предоставляем технические отчеты с актуальной информацией. В этой статье мы приводим выдержки из недавних отчетов и рассказываем о вредоносном ПО, активном менее года:
- GoPIX — стилер, использующийся для атак на платежную систему PIX, набирающую популярность в Бразилии.
- Lumar — многопрофильный стилер с рекламной кампанией в даркнете.
- Rhysida — шифровальщик, совместимый со старыми версиями Windows.
Если вы хотите узнать больше о нашем сервисе информирования о crimeware, напишите по адресу crimewareintel@kaspersky.com.
GoPIX
Платежная система PIX стремительно набирает популярность в Бразилии. А киберпреступники, само собой, стараются не отставать от трендов и не упускают шанс нажиться на пользователях сервиса. Хорошая иллюстрация этой тенденции — вредоносная кампания GoPIX, активная с декабря 2022 года.
Цикл атаки начинается с того, что потенциальная жертва вводит в поисковой системе запрос «WhatsApp web». Злоумышленники оплачивают рекламу своих страниц, поэтому ссылки на них появляются на первых строчках результатов поиска. По клику на ссылку происходит переадресация, и в итоге пользователь попадает на вредоносный лендинг. Примечательно, что на сайте работает IP Quality Score: решение для защиты от мошенничества, с помощью которого злоумышленники вычисляют ботов. Если оно подтверждает, что по ссылке перешел реальный пользователь, открывается поддельная страница загрузки WhatsApp.
Еще один интересный момент: для скачивания зловреда используются две ссылки. Первая идет в ход, если на устройстве жертвы открыт порт 27275. Этот порт обычно использует ПО Avast для защиты банковских операций. Если на устройстве жертвы есть это ПО, скачается ZIP-архив с файлом LNK, который выполняет обфусцированный скрипт PowerShell. Скрипт, в свою очередь, загружает следующий этап. Если порт 27275 закрыт, LNK-файл не используется и сразу же загружается следующий этап: установочный пакет NSIS. Можно сделать вывод, что две различные ссылки нужны с единственной целью: доставить зловред в систему в обход ПО Avast.
В установочном пакете NSIS содержится несколько скриптов PowerShell. При запуске он загружает дополнительные скрипты и вредоносную программу GoPIX. После расшифровки полезной нагрузки и выполнения различных шелл-кодов наконец происходит загрузка дроппера с помощью проекта sRDI (англ. Shellcode Reflective DLL Injection, рефлексивная DLL-инъекция для внедрения шелл-кода), который можно найти на GitHub. Дроппер запускает процесс svchost в приостановленном состоянии и внедряет в него GoPIX.
Сам по себе GoPIX — типичный стилер, подменяющий информацию в буфере обмена. Он крадет данные транзакций PIX, использующиеся для идентификации запросов на оплату, и подставляет вместо них данные, полученные от командного сервера. Зловред также может подменять адреса Bitcoin- и Ethereum-криптокошельков. Однако эти реквизиты злоумышленников в явном виде прописаны в коде GoPIX и их не нужно запрашивать у командного сервера. Помимо этого стилер может выполнять полученные с сервера команды, но такие команды связаны исключительно с его удалением с машины жертвы.
Как и следовало ожидать, большинство попыток заражения GoPIX приходится на Бразилию.
Lumar
Lumar (не путайте со стилером Lumma, о котором мы писали ранее) — новый стилер, стремительно набирающий популярность среди киберпреступников. В июле 2023 года автор Lumar, пользователь под именем Collector, заявил о нем на теневом форуме. В рекламе стилера фигурировали следующие возможности:
- перехват сессий в мессенджере Telegram;
- сбор паролей, файлов cookie, данных автозаполнения и другой информации;
- кража файлов с компьютера жертвы;
- извлечение данных из различных криптовалютных кошельков.
Полный список функций Lumar приводится в нашем закрытом отчете.
Несмотря на такой внушительный арсенал, Lumar — относительно легкий зловред (весит всего 50 КБ). Отчасти это связано с тем, что он написан на языке С.
Принцип действия Lumar заключается в следующем: после запуска стилер вызывает API-функции из DLL-библиотек, используя CRC32. Затем зловред проверяет, какой язык установлен для интерфейса операционной системы, и останавливает работу, если на устройстве установлен один из языков стран СНГ. Если язык системы иной, запускается процесс первичного сбора информации — например, о процессоре, памяти и раскладке клавиатуры. Все полученные данные отправляются на командный сервер злоумышленников. Далее Lumar запускает три различных потока, каждый из которых отвечает за сбор определенных данных:
- файлы .txt, .doc, .jpg, .rdp, .xls и другие;
- файлы cookie и кэшированные пароли;
- файлы, связанные с криптокошельками.
Все полученные данные после сбора архивируются и также отправляются на командный сервер злоумышленников.
Сервер находится под контролем автора Lumar, так как зловред предоставляется по схеме «вредоносное ПО как услуга» (MaaS). Для входа в систему необходимо ввести имя пользователя и пароль. После успешного входа отобразится интерфейс панели командного сервера с тремя вкладками:
- Home;
- Stats (статистика по жертвам);
- Logs (собранная зловредом информация, которую можно скачать в ZIP-архиве).
Кроме того, через панель можно загрузить последнюю версию Lumar и настроить получение уведомлений о новых похищенных данных через Telegram.
Rhysida
Rhysida — относительно новый вариант шифровальщика. По данным нашей телеметрии, он появился в мае этого года. Rhysida обладает всеми типичными чертами современных шифровальщиков: например, распространяется по модели RaaS («шифровальщик как услуга»), запускает скрытый сервис TOR и использует LibTomCrypt.
Однако у этого семейства есть свои особенности. Во-первых, механизм самоуничтожения реализуется через команду PowerShell в системе.
Использование PowerShell в Rhysida
Во-вторых, этот шифровальщик до сих пор поддерживает версии Windows до Windows 10: список его исключений содержит папку Documents and Settings. И в-третьих, зловред написан на языке C++ и скомпилирован с использованием MinGW с общими библиотеками по умолчанию. Это означает, что эти библиотеки должны присутствовать в системе на момент выполнения.
Как уже было сказано выше, Rhysida — относительно новый шифровальщик, о чем свидетельствует количество жертв, указанное на onion-сайте группы. Кроме того, в самом начале злоумышленники сделали несколько ошибок в конфигурации onion-сервера, из-за которых раскрыли конфиденциальные данные. Однако они довольно быстро все исправили.
Заключение
Киберпреступники следуют трендам и постоянно разрабатывают новое вредоносное ПО. В частности, как только новые приложения и сервисы становятся популярными (как произошло с платежной системой PIX), авторы crimeware добавляют их в список своих целей. Так появляются семейства зловредов вроде стилера GoPIX. Новые вредоносные программы, рекламируемые на подпольных форумах, часто ориентированы на малоопытных преступников и распространяются по схеме «вредоносное ПО как услуга». Такая тактика позволяет авторам зловредов быстро получать прибыль, вновь и вновь подвергая опасности отдельных пользователей и целые компании. Чтобы быть на шаг впереди злоумышленников, организациям необходимо постоянно мониторить меняющийся ландшафт угроз.
Если вы хотите получать свежую информацию о новейших тактиках, методах и процедурах злоумышленников или у вас есть вопросы о наших приватных отчетах, пишите по адресу crimewareintel@kaspersky.com.
Индикаторы заражения (хэши MD5)
GoPIX
EB0B4E35A2BA442821E28D617DD2DAA2
6BA5539762A71E542ECAC7CF59BDDF79
333A34BD2A7C6AAF298888F3EF02C186
Lumar
5fc82bd3590eae30c26f1a42f4e711f4
46b892398cfb1a1c59683fc8abfcc5fc
Rhysida
0c8e88877383ccd23a755f429006b437
274be1fac3bab38af7483a476a2dea90
36d142294f1ca4c4768dbe15b6553975
Авторы
От тех же авторов
В той же категории
Новый шифровальщик Rhysida и стилеры GoPIX и Lumar