Исследование

Сохрани и открой меня

Совсем недавно у нас был обнаружен интересный PNG-файл. При его открытии появляется изображение, которое призывает пользователя открыть файл в MS Paint’е и пересохранить его в формате HTA.

Оригинальная PNG-картинка

Мне это показалось довольно подозрительным, так как HTA-файл может выполнять деструктивную деятельность. Этот формат фактически не отличается от HTML, за исключением того, что последний работает в контексте браузера, а HTA – в контексте отдельного приложения.

Первым делом, для разбора исходной картинки, я решил её распаковать, так как все PNG-файлы упакованы алгоритмом deflate. На выходе мною было получено неупакованное BMP-изображение. Открыв его в Hiew, я сразу же понял замысел злоумышленников. Практически сразу за BMP-заголовком располагается скрипт, написанный на JavaScript. Таким образом, пересохранив файл в HTA и открыв его, пользователь фактически запустит скрипт.

Фрагмент оригинального PNG-файла, преобразованного в BMP

Сам скрипт обладает крайне любопытным функционалом. Вначале он прописывается в автозагрузку, что довольно стандартно. А затем он обращается к разделу “random” популярного портала 4chan.org, выдёргивая из тем произвольные фразы. Далее с помощью встроенного EXE-файла происходит генерация новой картинки, в которой, помимо предложения о пересохранении в HTA, используются взятые с 4chan.org слова. Самым последним этапом является публикация полученного изображения в ту же самую ветку форума, из которой извлекались случайные слова.

В этом скрипте используется оригинальный способ для обхода CAPTCHA. Он базируется на использовании популярных английский слов и сервиса RECAPTCHA от Google. На скриншотах представлены фрагменты кода, отвечающего за использование обоих методов.

Фрагменты скрипта, отвечающего за обход механизма CAPTCHA

В итоге полный цикл работы зловреда выглядит следующим образом: добавление HTA-файла в автозагрузку, генерация новой картинки и, наконец, публикация поста, содержащего сгенерированное изображение, на форуме. По сути, никакой истинно вредоносной нагрузки для пользователя этот зловред не несёт, но сам факт распространения и внесения изменений в систему не является легальным. Очень интересным оказался механизм переноса скрипта в запакованной PNG-картинке. Совершенно непонятно, какую цель преследовали разработчики данной поделки. Возможно, им хотелось продемонстрировать возможный способ скрытого переноса вредоносного кода.

Сохрани и открой меня

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике