Отчеты о crimeware

Стилер там, стилер здесь, стилеры везде!

Введение

Стилеры — это вредоносное ПО для сбора учетных данных с целью их последующей продажи в даркнете или проведения кибератак в будущем. Злоумышленники активно распространяют зловреды этого типа, причем некоторые из них доступны по подписке, что привлекает новичков. По данным сервиса Kaspersky Digital Footprint Intelligence, в 2023 году почти 10 миллионов устройств, персональных и корпоративных, подверглись атакам с использованием стилеров. Однако реальное количество атакованных устройств может быть еще больше, поскольку не все операторы стилеров публикуют данные сразу после кражи.

За этот год мы проанализировали довольно много уже известных и новых стилеров, о чем подробно рассказали в наших закрытых отчетах. Ниже приводим выдержки из них. Если вы хотите узнать больше о нашем сервисе информирования о crimeware (вредоносном ПО, которое используется для совершения киберпреступлений), напишите по адресу crimewareintel@kaspersky.com.

Kral

В середине 2023 года мы обнаружили загрузчик Kral, который в то время использовался для распространения стилера Aurora. Однако в феврале этого года нам на глаза попался новый стилер Kral, который мы отнесли к тому же семейству вредоносных программ, что и загрузчик: на это указывает определенное сходство кода.

Стилер Kral доставляется исключительно загрузчиком Kral. Сам загрузчик проникает на устройство пользователя, когда тот посещает сайт для взрослых, на котором размещена вредоносная реклама. Рекламное объявление перенаправляет жертву на фишинговую страницу, где ей предлагают скачать файл. Это и будет загрузчик Kral. Изначально, в 2023 году, код загрузчика был написан на комбинации C++ и Delphi, в результате чего размер образцов был довольно большим. Теперь же загрузчик написан исключительно на C++, благодаря чему размер полезной нагрузки уменьшился в 10 раз.

Стилер Kral в некотором роде схож с загрузчиком. Оба файла подписаны и используют одну и ту же функцию для проверки целостности бинарных файлов ( WinVerifyTrust()). Кроме того, в них используется один и тот же ключ для шифрования строк. И что не менее важно, имя Kral фигурирует в путях к файлам PDB обоих бинарных файлов.

Сам стилер проявляет особый интерес к криптовалютным кошелькам и данным браузера. По пути C:\ProgramData\ создается папка со случайным именем, в которую сохраняются украденные данные, а также информация о системе (местное время, часовой пояс, сведения о процессоре и т. д.). Затем папка архивируется и отправляется на командный сервер с использованием COM-интерфейса Background Intelligent Transfer Service (BITS). Стилер собирает данные только один раз. Однако если пользователь запустит его снова, сбор данных будет произведен повторно.

AMOS

Впервые стилер AMOS, нацеленный на macOS был замечен в начале 2023 года. В июне 2024 года мы обнаружили новый домен, распространяющий это вредоносное ПО под видом менеджера пакетов Homebrew. После более глубокого исследования мы выяснили, что пользователи попадают на этот сайт через вредоносную рекламу.

Поддельный сайт Homebrew

Поддельный сайт Homebrew

Как видно на изображении выше, доступно два варианта установки вредоносной программы. Можно сразу загрузить зараженный DMG-образ или же воспользоваться установочным скриптом.

Скрипт довольно простой. Он загружает вредоносный образ и устанавливает его, после чего загружает и устанавливает легитимный пакет Homebrew. Если же пользователь скачивает DMG-файл, то отображается следующий экран:

DMG-файл с вложенными файлами

DMG-файл с вложенными файлами

Как можно видеть, пользователя вводят в заблуждение, заставляя думать, что он запускает приложение Homebrew, хотя на самом деле это стилер AMOS. При старте запускаются несколько экземпляров терминала и bash-скрипты. Они начинают собирать информацию о системе и создавать новые скрытые файлы истории сеансов. Стилер также прибегает к нестандартной уловке, чтобы заполучить логин и пароль пользователя macOS. Вместо того чтобы регистрировать нажатия клавиш, вредоносная программа выводит на экран фальшивые диалоговые окна с просьбой ввести учетные данные.

Vidar / ACR

Злоумышленники распространяют стилер Vidar через комментарии на YouTube, где они размещают ссылку на ZIP- или RAR-архив, хранящийся на одной из файлообменных платформ, причем платформа меняется каждую неделю. Архив защищен паролем, но этот пароль хранится по тому же адресу, что и архив.

Содержимое облачного хранилища

Содержимое облачного хранилища

Внутри архива находится еще один защищенный паролем архив, содержащий следующие файлы:

  1. converter.exe — легитимное приложение ImageMagick;
  2. vcomp100.dll — вредоносная DLL, используемая для реализации техники подмены DLL;
  3. bake.docx — зашифрованный загрузчик первого этапа;
  4. blindworm.avi — загрузчик IDAT loader, полезная нагрузка второго этапа.

Легитимное приложение converter.exe содержит уязвимость, позволяющую подменять DLL. При запуске это приложение загружает vcomp100.dll. После этого вредоносная библиотека считывает зашифрованный файл bake.docx, получает полезную нагрузку и ключ по заданному смещению, а затем расшифровывает эту полезную нагрузку. Полученный файл является вариантом загрузчика Penguish, содержащим образец, упакованный в виде чанка IDAT. Это означает, что мы можем использовать экстрактор для загрузчика IDAT loader и извлечь конечную полезную нагрузку, которой является стилер Vidar.

Примечательно, что вместо кражи данных Vidar просто загружает стилер ACR. Как и многие другие стилеры в наши дни, он нацелен на данные браузера и кошельки. Vidar обычно охотится за теми же типами данных, однако в данном случае он использует ACR для их эксфильтрации.

Согласно нашей телеметрии, большинство жертв находятся в Бразилии.

Заключение

Стилеры встречаются повсюду и пользуются большой популярностью среди злоумышленников. Украденные данные могут использовать для дальнейших атак или же продавать их в даркнете. Несмотря на то что стилеры нацелены в первую очередь на кражу криптовалютных данных, утечка учетных данных может нанести не меньший (или даже больший) вред, особенно если эти учетные данные используются для доступа к корпоративным сетям. Не исключено, что в дальнейшем они будут использованы в атаках шифровальщиков.

При этом стоит отметить, что такие относительно простые меры, как двухфакторная аутентификация, использование уникальных паролей, загрузка программ только с официальных сайтов и тщательная проверка адреса сайта перед началом загрузки, могут значительно затруднить подобные атаки.

Если вы хотите получать свежую информацию о новейших тактиках, методах и процедурах злоумышленников или задать вопрос о наших закрытых отчетах, напишите по адресу crimewareintel@kaspersky.com.

Индикаторы компрометации

Kral
02c168aebb26daafe43a0cccd85397b2
039bebb6ccc2c447c879eb71cd7a5ba8
0509cc53472b265f8c3fc57008e31dbe

Amos
ec7f737de77d8aa8eece7e355e4f49b9
dd2832f4bf8f9c429f23ebb35195c791

Vidar
6f9d3babdeea3275489589ee69bc3f31

Стилер там, стилер здесь, стилеры везде!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике