Троянец Dimnie устанавливает шифровальщик Purga

Несколько дней назад мы обнаружили вредоносную кампанию по распространению известного шифровальщика Purga. В данном случае использовалась версия зловреда, которая добавляет к зашифрованным файлам расширение .bomber, а целями атаки были организации и частные лица в России.

Проанализировав всю цепочку заражения, мы выяснили, что к установке шифровальщика Purga имеет отношение другой хорошо известный троянец — Dimnie. Распространялся троянец посредством спама; письма содержали вредоносное вложение или ссылку на вредоносный файл. И в том, и в другом случае зловред был замаскирован под офисный документ: договор, платежное поручение, инструкция и т.д.

Кроме того, в рамках этой вредоносной кампании мы наблюдали установку других вредоносных компонентов:

• Троянец TeamBot / RTM
• Банковский троянец Buhtrap

Dimnie

Зловред известен с 2014 года, он был замечен в ряде атак как на обычных пользователей, так и на юридических лиц, в первую очередь на финансовые организации. Dimnie способен загружать дополнительные модули для:

• кражи учетных данных ОС и онлайн-ресурсов;
• поиска и отправки на удаленный сервер пользовательских файлов;
• поиска и передачи на удаленный сервер информации о запущенных приложениях;
• перехвата нажимаемых клавиш и содержимого буфера обмена;
• получения снимков экрана.

Для коммуникации с управляющим сервером Dimnie использует протокол HTTP. А для того, чтобы избежать обнаружения, троянец использует ряд маскировок. Так, например, после успешного резолва доменного имени C&C-сервера троянец подключается к полученному IP-адресу, однако в качестве полей заголовка HTTP запросов указываются адреса популярного поискового сервиса.

Маскировка HTTP запросов троянца Dimnie

Общение с C&C, отправка и получение данных, команды и дополнительные модули зашифрованы с помощью алгоритма шифрования AES. Для их маскировки в начале зашифрованных данных прикрепляется стандартный заголовок файла формата JPEG.

Маскировка загружаемых модулей под картинку

TeamBot / RTM

Загружаемый Dimnie файл троянца TeamBot представляет собой самораспаковывающийся RAR-архив. Из него в директорию %TEMP%\UeIqC\ извлекаются легальные компоненты ПО для удалённого доступа TeamViewer, вредоносная библиотека TV.dll и конфигурационный файл config.bin.

После распаковки архива происходит автоматический запуск TeamViewer.exe, в ходе которого вредоносная библиотека TV.dll методом DLL hijacking получает управление. Далее она расшифровывает конфигурационный файл config.bin и извлекает из него адрес C&C-сервера и параметр «comment», использующийся злоумышленниками, видимо, как идентификатор кампании.

Конфигурационные данные из рассматриваемого сэмпла TeamBot

Псевдокод процедуры, извлекающей параметры из конфигурационного файла

Далее троянец выполняет перехват нескольких системных вызовов с целью скрыть от жертвы наличие запущенного приложения TeamViewer.

Фрагмент псевдокода процедуры, устанавливающей перехваты

После этого TeamBot собирает информацию о системе и отправляет её на C&C-сервер. Среди отправляемой информации есть следующие параметры:

• os — версия операционной системы
• pcuser — имя пользователя
• cpu — модель процессора
• ram — объём оперативной памяти
• av — установленный антивирусный продукт
• admin — имеет ли учётная запись пользователя административные привилегии
• comment — строка «hTV_bot_[v1.2a]»

HTTP-запрос TeamBot с информацией о заражённой системе

В результате заражения TeamBot скомпрометированная система оказывается открытой для удалённого доступа злоумышленников, которые могут подключиться и выполнять на ней любые действия, в том числе загружать и запускать произвольные файлы.

Purga

Шифровальщики семейства Trojan-Ransom.Win32.Purga (оно же Globe, Amnesia и Scarab) известны примерно с середины 2016 года. Последние модификации, включая и данную, используют следующую криптографическую схему:

1. При запуске генерируется пара сессионных ключей RSA, приватный сессионный ключ шифруется содержащимся в теле зловреда публичным ключом RSA злоумышленников. Данная информация будет затем записана в файл с требованиями злоумышленников.


Пример файла, содержащего требования злоумышленников

2. Файлы шифруются по алгоритму AES-256-CBC, ключ и вектор для каждого файла генерируются непосредственно перед шифрованием.
3. Ключ и вектор AES зашифровываются сессионным публичным ключом RSA и записываются в конец зашифрованного файла.

В зависимости от указанной конфигурации, троянцы семейства Purga также могут шифровать имена файлов. Исследуемый образец шифрует имя файла алгоритмом RC4, используя в качестве ключа строку, содержащую зашифрованные ключ и вектор AES. Полученный буфер будет закодирован алгоритмом Base64 с нестандартным алфавитом.

Пример директории после работы шифровальщика

Защитные решения «Лаборатории Касперского» детектируют рассмотренные угрозы со следущими вердиктами:

• PDM:Trojan.Win32.Generic
• Trojan.Win32.Dimnie
• Backdoor.Win32.TeamBot
• Trojan-Ransom.Win32.Purga

Для проактивного обнаружения описанных угроз использовались:

• Технология защиты от шифровальщиков.
• Технология поведенческого детектирования.
• Технологии, основанные на машинном обучении.

IoCs
CC74E57FA7575573E12255A4EF6D77E3
FB7CED608F0A962C59DC04D817530C4B
FACD04FC6428C73BD75771B7D3376A83
799AB035023B655506C0D565996579B5

Dimnie MD5
8cf5f8a6f0f616337a6decae8bd14956
fb7ced608f0a962c59dc04d817530c4b
0713c5f42820c65442aad0707830f802
90c15f6da1b0de3ec273f410b7875394
3a4ccf6c97bc3dc109e715f0b3fe48a6
57ee4f77c5d58591b70400c4b4860399
dd7970c50f3e2f789bb18e4290dfa27b

Dimnie C&C
webwerkt.trade
taxhelpline.date
incapsula.site
185.99.133.134
cryptobase.bit
analyticslab.science —
ketpatontjohnbet.xyz —
clicksmarket.trade —
tedhemtefortti.xyz
torsdinthertpegot.xyz
vebabdingparab.online
sonygame.bit
wasswiteneventwo.xyz
fortoftletningtoft.online
wittitreskerol.xyz
103.208.86.157
103.208.86.3
stackshare.loan
forusebutuldno.online
techweeds.club
hedahinneaning.online
himaughsofres.online
gosmos.bit
gouldsittorswit.online
geekflare.win
213.252.244.133