Бэкдор DCRat рассылался под видом «федерального антивируса»

В середине марта российские СМИ сообщили о целевой почтовой рассылке, содержащей предложение установить «федеральный антивирус». Мы провели исследование этого инцидента, установили вредоносное ПО, выдававшее себя за антивирус, и провели его технический анализ. Собранной в результате расследования информацией хотим поделиться в этой статье.

Инцидент

В ночь с десятого на одиннадцатое марта была зафиксирована почтовая рассылка, содержащая призыв установить некий федеральный антивирус «Аврора», якобы разработанный МВД России в связи с возросшим числом кибератак. В теле письма присутствовали ссылка на архив, размещенный на облачном хостинг-сервисе, и пароль к этому архиву. Рассылка не была массовой, а носила таргетированный характер – об этом свидетельствуют количество обнаруженных писем, выбор целей и использованные в письмах методы социальной инженерии. По информации из СМИ её получателями были сотрудники обслуживающих организаций сферы коммунального хозяйства, общественных организаций, сферы соцобеспечения и др.

Технические детали

Архив содержал исполняемый файл (MD5 C6CD8E517C4EA9A37EC99D1340D788A4) с именем «Федеральный Ативирус Аврора.exe» (орфография сохранена), который при запуске выполнял «установку» и последующий запуск основной нагрузки в директорию %AppData%\Local\drivers\. В процессе создавались и использовались скрипт 60cHQ3GfjDw0.vbe и batch-файл GlzCfOCm.bat, служащие для запуска основной составляющей – ещё одного исполняемого файла conhost.exe (MD5 F1DAEFFB459211F7A663FC487E37AD59).

Файл conhost.exe детектируется нашим антивирусным решением как HEUR:Trojan-Spy.MSIL.Stealer.gen и относится к семейству вредоносного программного обеспечения, известному как DCRat и DarkCrystal RAT. Представители данного семейства обладают классическими возможностями бэкдоров: позволяют производить удаленное управление зараженной системой, загружать, выгружать и исполнять файлы на зараженной системе, управлять клавиатурой и буфером обмена, передавать изображение экрана. В автоматическом режиме зловред способен собирать сведения об операционной системе, установленном программном обеспечении, текущем состоянии сетевых подключений, воровать учетные данные из браузеров и криптокошельков.
Для реализации перечисленных возможностей DCRat содержит дополнительные модули, ниже приведен список содержащихся в исследуемом образце. Названия модулей соответствуют функциям, которые они выполняют.

Список модулей, извлеченных из образца DCRat

Помимо модулей зловред содержит конфигурационный файл для настройки некоторых из них.

Конфигурационный файл для модулей DCRat

В этом файле указано, например, какие окна/процессы следует попытаться закрыть модулю ProcessKiller, в каких данных заинтересован CryptoStealer, в какой Telegram-канал передаёт данные TelegramNotifier («chat_id»: «-1001721797992», «token»: «5281125229:AAHmvJoThrkq9XD4GF84nnHefIgeezrCIAs»).
Для отправки собранных в зараженной системе данных и получения дополнительных инструкций DCRat обращается к командному серверу по протоколу HTTP/HTTPS, используя POST-запрос с зашифрованными данными. Список командных серверов содержится в запакованном виде внутри DCRat и после распаковки имеет следующий вид:

Некоторые модули не включены в «исходную комплектацию» и способны загружаться дополнительно. В частности, мы зафиксировали загрузку с командного сервера отдельного модуля WebcamViewer (MD5 60A78ABEA40C2C8635962277647F551D), отвечающего за взаимодействие DCRat с веб-камерой.

Распространение DCRat

Хотя вредоносная рассылка была целевой, использованное в ней вредоносное ПО не является новым, редким или продвинутым. DCRat существует и используется злоумышленниками по всему миру уже около трёх лет, объявления о продаже различных сборок и модификации данного ВПО постоянно появляются на подпольных и хакерских форумах. Согласно данным нашей телеметрии, только с начала 2022 года попытки заражения ВПО Trojan-Spy.MSIL.Stealer.gen были предотвращены у более чем 50 тысяч пользователей по всему миру.

Тот же самый командный сервер использовался другими зловредами из того же семейства, что позволяет предположить существование схожих почтовых рассылок, осуществленных в другие даты. В частности, в период с 19 по 22 февраля 2022 года рассылались предыдущие версии DCRat, однако в качестве темы в письмах использовалась установка не антивируса, а CRM-системы.

Индикаторы компрометации (IoC)

C&C-сервер
95.214.8.52

Рассмотренная версия DCRat
C6CD8E517C4EA9A37EC99D1340D788A4
F1DAEFFB459211F7A663FC487E37AD59

Предыдущие версии DCRat идентичной конфигурации
03351B6DA21CD28F63DD95D136025A6B
1CAD04D9049D66D5686803C6E1E9653C
40C176D43619E4E7315A0A0EB3FA0377
BEE145B42F23692F3F6F679AA592F274
A337C50DE2B82B4CB13E861AF7354977
8F326D5F05C82A1B8CA8366A84AB9B08