Отчеты о crimeware

Необычные методы заражения вредоносным ПО и его дальнейшего распространения

Введение

Нас часто спрашивают, как происходит заражение вредоносным ПО. Обычно мы даем один и тот же ответ — через фишинг (целевой или обычный). Конечно, встречаются и исключения: время от времени мы находим уязвимости удаленного выполнения кода (RCE), а злоумышленники, которым уже удалось проникнуть в сеть, часто используют такие инструменты, как PsExec. Но в большинстве случаев этим все и ограничивается.

Однако в прошлом месяце мы сосредоточились на методах заражения, к которым злоумышленники прибегают значительно реже, и в этой статье приводим выдержки из отчетов.

Если у вас возникли вопросы или вы хотите получить дополнительную информацию о нашем сервисе информирования о ПО для финансовых преступлений, пишите по адресу crimewareintel@kaspersky.com.

BlackBasta: новый метод распространения

BlackBasta, известный шифровальщик, о котором мы уже писали, недавно был обновлен. В нем появился второй дополнительный параметр командной строки: -bomb.

При использовании этого параметра зловред выполняет следующие действия:

  1. подключается к Active Directory, используя библиотеку LDAP, и получает список компьютеров в сети;
  2. используя список компьютеров, копирует на них вредоносное ПО;
  3. используя модель компонентных объектов (COM), запускает вредоносное ПО на компьютере в удаленном режиме.

Фрагмент кода с функциональностью LDAP

Фрагмент кода с функциональностью LDAP

Преимущество встроенного механизма распространения состоит в том, что он оставляет в системе меньше следов, чем общедоступные инструменты. Например, один из любимых инструментов злоумышленников, PsExec, можно легко обнаружить в сети, тогда как этот метод усложняет выявление вредоносной активности.

CLoader: заражение через торренты

Киберпреступники редко размещают вредоносные файлы, предназначенные для заражения целевых компьютеров, в торрент-сервисах. Однако, как показывает пример CLoader, этот метод не стоит полностью сбрасывать со счетов.

Кампания CLoader была обнаружена в апреле 2022 года. Злоумышленники использовали взломанные игры и программы как приманку для установки вредоносного ПО. Загруженные файлы представляли собой NSIS-установщики, содержащие вредоносный код в скрипте установки.

Вредоносный скрипт. Красным выделены команды загрузки вредоносного ПО

Вредоносный скрипт. Красным выделены команды загрузки вредоносного ПО

Всего мы обнаружили шесть разных полезных нагрузок, загруженных пользователями:

  • вредоносный прокси-сервис Microleaves — работает как прокси на зараженном компьютере.
  • Вредоносный прокси-сервис Paybiz — работает как прокси на зараженном компьютере.
  • Загрузчик MediaCapital — может устанавливать дополнительное вредоносное ПО в системе.
  • Загрузчик CSDI — может устанавливать дополнительное вредоносное ПО в системе.
  • Загрузчик Hostwin64 — может устанавливать дополнительное вредоносное ПО в системе.
  • Бэкдор Inlog — устанавливает легитимное приложение NetSupport для удаленного доступа к компьютеру.

В список жертв входят пользователи со всего мира, но в основном из США, Бразилии и Индии.

OnionPoison: заражение через поддельный браузер Tor

В августе 2022 года мы обнаружили кампанию, проводимую по меньшей мере с января 2022 года и направленную на пользователей из Китая. На популярном китайскоязычном YouTube-канале, посвященном анонимности в Интернете, был размещен видеоролик с инструкциями по установке браузера Tor. В самом этом факте нет ничего необычного, так как Tor запрещен в Китае, однако, если пользователь переходит по ссылке в описании, вместо легитимного браузера он загружает зараженную версию.

Зараженная версия очень похожа на оригинальную, поэтому пользователь не замечает разницы. Отличия состоят в следующем:

  • Установщик не имеет цифровой подписи.
  • Одна из DLL-библиотек (freebl3.dll), входящих в оригинальный браузер, полностью изменена и содержит код с бэкдором.
  • Добавлен новый файл (freebl.dll), идентичный оригинальной библиотеке freebl3.dll.
  • Исполняемый файл Firefox, входящий в пакет установки Tor, отличается от оригинального одним символом в URL-адресе, используемом для обновлений браузера. Это сделано для отключения автоматического обновления браузера.
  • Конфигурационный файл браузера также изменен и обеспечивает пользователям меньшую степень анонимности. Например, история браузера сохраняется на диск.

Библиотека freebl3.dll с бэкдором работает довольно просто. Она перенаправляет все функции исходной DLL-библиотеке и загружает дополнительную DLL-библиотеку с командного сервера.

Эта загруженная библиотека содержит большую часть вредоносной функциональности. Ее возможности включают:

  • выполнение команд в системе;
  • отправку истории браузера Tor на командный сервер;
  • отправку идентификаторов учетных записей WeChat и QQ, принадлежащих жертве, на командный сервер.

AdvancedIPSpyware: модифицированный легитимный инструмент с цифровой подписью

Более распространенный метод — добавление вредоносного кода в легитимные программы для скрытия вредоносной активности и обмана пользователя. Однако мы нечасто встречаем исполняемые файлы с внедренным бэкдором, у которых есть цифровая подпись. Таков случай AdvancedIPSpyware — модифицированной версии легитимного инструмента Advanced IP Scanner, который используют сетевые администраторы для контроля локальных сетей. Сертификат, которым подписан зловред, был, скорее всего, украден. Вредоносное ПО размещалось на двух сайтах, домены которых отличаются от легитимного домена только одной буквой. Более того, внешний вид этих сайтов также был скопирован с сайта Advanced IP Scanner. Единственное различие — добавленная кнопка «бесплатной загрузки».

Информация о цифровых подписях легитимного и вредоносного файлов

Информация о цифровых подписях легитимного и вредоносного файлов

Еще одна необычная характеристика AdvancedIPSpyware — модульная архитектура. Как правило, модульная архитектура применяется во вредоносных программах, спонсируемых государством. Для программ, используемых для финансовых преступлений, это необычно. Мы обнаружили три следующих компонента, которые взаимодействовали друг с другом через IPC:

  • Основной модуль служит для обновления, удаления или создания дополнительного экземпляра зловреда.
  • Модуль выполнения команд выполняет обычные функции шпионского ПО, такие как сбор информации и выполнение команд.
  • Модуль сетевого взаимодействия выполняет все функции, связанные с сетью, такие как отправка сигнальных сообщений.

География жертв кампании AdvancedIPSpyware обширна. Мы обнаружили несколько жертв в Латинской Америке, Африке, Западной Европе, Южной Азии, Австралии и странах СНГ. Всего за все время проведения кампании было обнаружено около 80 жертв.

Заключение

Хотя операторы вредоносного ПО чаще всего используют электронную почту как основной вектор атаки, не следует забывать и о других возможностях. Тайпсквоттинг (регистрация доменных имен, почти идентичных легитимным) и распространение зараженного ПО через торрент-сервисы — лишь два примера альтернативных техник, которые злоумышленники используют, чтобы вынудить своих жертв установить вредоносное ПО.

Разработчики шифровальщиков также постоянно их обновляют. Так, в BlackBasta была добавлена функциональность, затрудняющая обнаружение и расследование зловреда, так как теперь он может распространяться в сети самостоятельно.

Если вы хотите получать свежую информацию о последних методах, тактиках и процедурах кибератак или у вас возникли вопросы о наших приватных отчетах, пишите по адресу crimewareintel@kaspersky.com.

Необычные методы заражения вредоносным ПО и его дальнейшего распространения

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике