Mokes и Buerak раздаются под видом сертификатов безопасности

Техника распространения вредоносного ПО под видом обновлений для ПО легитимного не нова. Как правило, злоумышленники предлагают установить новую версию браузера или Adobe Flash Player. Однако недавно мы обнаружили новый подход к исполнению известной техники: посетителям зараженного сайта сообщали об истечении некоего Security Certificate. Обновление для сертификата, само собой, оказывалось в итоге вредоносной программой.

Заражение мы обнаружили на сайтах различной тематики — от зоопарка до магазина, торгующего автозапчастями. Самые ранние из найденных случаев заражения датируются 16 января 2020 года.

Схема атаки

Вот что видел пользователь, зашедший на любой из взломанных сайтов:

Тревожное сообщение представляет собой iframe поверх исходной страницы, содержимое которого подгружается со стороннего ресурса ldfidfa[.]pw. Соответственно, в адресной строке посетитель видит все тот же нужный ему легитимный адрес. Вот как выглядит вредоносная часть кода, вставленная в исходную HTML-страничку:

На скриншоте видно, что параметры скрипта зависят от значений referrer, user_agent и cookie пользователя. Тогда как в роли строк user_agent_X и timestamp_X использованы фиксированные значения:

• user_agent_X = Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
• timestamp_X = 1579118411.0231 (01/15/2020 @ 8:00pm (UTC))

Вставленный злоумышленником код подгружает внешний вредоносный скрипт ldfidfa[.]pw/jquery.js?&up= &ts= &r= &u= &c=

Вредоносный скрипт jquery.js

Скрипт jquery.js добавляет на страницу iframe на 100% ее размера. Содержимое iframe расположено по адресу https[:]//ldfidfa[.]pw//chrome.html. В результате вместо исходной страницы пользователь видит довольно убедительный баннер с настоятельным предложением установить некий сертификат.

Нажатие на кнопку Install (Recommended) на баннере инициирует загрузку файла Certificate_Update_v02.2020.exe, который мы детектируем как Exploit.Win32.ShellCode.gen. Исследование файла показало, что он представляет собой Trojan-Downloader.Win32.Buerak, упакованный при помощи Nullsoft Scriptable Install System. Это не единственный зловред, который раздавали злоумышленники: например, ранее в январе посредством этой кампании распространялся Backdoor.Win32.Mokes.

IoC

Exploit.Win32.ShellCode.gen
B3290148681F8218ECB80CA430F9FDBA (Certificate_Update_v02.2020.exe)

Trojan-Downloader.Win32.Buerak
CE1931C2EB82B91ADB5A9B9B1064B09F
213ABFD3705109BC14BB55F43355CF87

Backdoor.Win32.Mokes
094ADE4F1BC82D09AD4E1C05513F686D
F869430B3658A2A112FC85A1246F3F9D
5FB9CB00F19EAFBF578AF693767A8754
47C5782560D2FE3B80E0596F3FBA84D3

Trojan-Spy.Win32.Agent.gen
D0E68CCF739B398226C2ED77A49CFB66

C&C
kkjjhhdff[.]site (47.245.30[.]255)
oderstrg[.]site
download-manager[.]site
download-getter[.]site