Описание вредоносного ПО

Вредоносные спам-рассылки с банковскими троянцами

В середине марта 2021 года мы наблюдали две новые спам-кампании. В обоих случаях пользователи получали письма на английском языке с вложенными ZIP-файлами или ссылками на такие файлы. Дальнейшее исследование показало, что обе спам-рассылки распространяли банковских троянцев. В большинстве случаев полезной нагрузкой служил IcedID (Trojan-Banker.Win32.IcedID), но в некоторых случаях нам также попадались экземпляры QBot (Backdoor.Win32.Qbot, он же QakBot). На пике кампаний наблюдалась повышенная активность этих троянцев: наши решения блокировали более сотни попыток загрузки в день.

IcedID — это банковский троянец, способный внедрять код в веб-страницы, обнаруживать виртуальные машины и совершать другие вредоносные действия. Зловред состоит двух частей: загрузчика и главного модуля, который отвечает за всю вредоносную активность. Главный модуль спрятан в PNG-изображении, которое скачивает и дешифрует загрузчик.

QBot — тоже банковский троянец. Он состоит из одного исполняемого файла со встроенной DLL-библиотекой (главным модулем), который может скачивать и запускать дополнительные модули для различных вредоносных действий, в том числе веб-инжекта, сбора электронных писем и перехвата паролей.

Оба этих семейства уже знакомы нам: они и ранее распространялись с помощью спам-рассылок и различных загрузчиков, в том числе недавно ликвидированного ботнета Emotet. Однако вариант IcedID, обнаруженный в мартовских кампаниях, претерпел некоторые изменения по сравнению с более ранними известными нам версиями.

Технические подробности

Первичное заражение

DotDat

Первую спам-кампанию мы назвали DotDat. Злоумышленники рассылали письма с вложенными ZIP-файлами, которые якобы содержали результаты отмененной операции или документы о компенсациях. Названия файлов имели следующий формат: [тип документа (необязательно)]-[несколько цифр]-[дата в формате ММДДГГГГ]. Мы полагаем, что даты соответствовали пикам спам-кампании. Вложенные ZIP-архивы содержали вредоносный файл MS Excel с таким же названием.

Файл Excel с помощью макроса (см. ниже) скачивал вредоносную полезную нагрузку по URL в формате [хост]/[цифры].[цифры].dat и запускал его. URL-адрес создавался во время выполнения с помощью функции NOW() (она же ТДАТА()) в Excel. В качеств полезной нагрузки скачивался загрузчик IcedID (Trojan.Win32.Ligooc) или троянец QBot, упакованный при помощи полиморфного упаковщика.

Сведения о макросе в файле Excel (3e12880c20c41085ea5e249f8eb85ded)

Файл Excel содержал обфусцированные формулы макроса в формате Excel 4.0 для скачивания и запуска полезной нагрузки (IcedID или QBot). Макрос формировал URL-адрес, а затем скачивал по нему полезную нагрузку с помощью функции WinAPI URLDownloadToFile.

Макрос скачивает загрузчик IcedID

Далее эта полезная нагрузка запускалась посредством функции EXEC и исполняемого файла Windows Rundll32.

Макрос запускает полезную нагрузку

Summer.gif

Письма из второй спам-рассылки содержали ссылки на взломанные веб-сайты с вредоносными архивами documents.zip, document-XX.zip и doc-XX.zip, где XX — две случайные цифры. Как и в первом случае, в архивах находился файл Excel с макросом, который скачивал загрузчик IcedID. По нашим данным, пик спам-кампании пришелся на 17 марта 2021 года. К апрелю вредоносная активность сошла на нет.

Сведения о макросе в файле Excel (c11bad6137c9205d8656714d362cc8e4)

В этом случае так же, как и в первом, использовались формулы макроса в формате Excel 4.0 и функция URLDownloadToFile. Главное отличие в механизме скачивания заключается в том, что URL-адрес хранился в ячейке внутри вредоносного файла.

Скачивание полезной нагрузки

На первый взгляд URL ведет на страницу с файлом summer.gif, но на самом деле полезная нагрузка — исполняемый файл, а не GIF-изображение. Для запуска полезной нагрузки макрос использует WMI и инструменты regsvr32.

Макрос запускает полезную нагрузку

IcedID

Как было указано выше, IcedID состоит из двух частей: загрузчика и главного модуля. Загрузчик отправляет некоторую информацию о пользователе (имя, MAC-адрес, версию Windows и т. д.) командному серверу и получает главный модуль. Ранее главный модуль распространялся в виде шелл-кода, спрятанного внутри PNG-изображения. Интернет-загрузчик получал изображение, дешифровал главный модуль в памяти и запускал его. Главный модуль отображал себя в память и начинал совершать вредоносные действия, в том числе веб-инжект, эксфильтрацию данных и их передачу на командный сервер, скачивание и запуск дополнительных полезных нагрузок, а также эксфильтрацию системной информации.

Новый загрузчик IcedID

Помимо повышенной активности IcedID мы также обратили внимание на то, что авторы троянца немного изменили загрузчик. В предыдущих версиях он был скомпилирован как x86-совместимый исполняемый файл, а конфигурация зловреда после расшифровки содержала поддельные адреса командных серверов. Мы предполагаем, что так злоумышленники пытались затруднить анализ образцов. В новой версии авторы перешли с x86 на x86-64 и удалили поддельные адреса командных серверов из конфигурации.

Конфигурация старой версии загрузчика IcedID

Конфигурация новой версии

Мы также заметили небольшое изменение в главном модуле зловреда. Он по-прежнему распространялся под видом PNG-изображения, способы расшифровки и связи с командным сервером также остались прежними, но авторы отказались от использования шелл-кода. Вместо этого главный модуль IcedID распространялся как обычный PE-файл, содержащий некоторые данные загрузчика в самом начале.

География атак IcedID

В марте 2021 года больше всего пользователей, атакованных Ligooc (загрузчик IcedID), было зафиксировано в Китае (15,88%), Индии (11,59%), Италии (10,73%), США (10,73%) и Германии (8,58%).

Qbot

В отличие от IcedID, QBot представляет собой один исполняемый файл со встроенной DLL-библиотекой (главным модулем), которая хранится в разделе ресурсов PE-файла. Для перехвата трафика, кражи паролей, внедрения кода и удаленного управления зараженной системой зловред загружает дополнительные модули: модуль веб-инжекта, hVNC (модуль удаленного управления), сборщик электронной почты, захватчик паролей и другие. Полные сведения о Qbot, а также индикаторы компрометации, информация о техниках и тактиках MITRE ATT&CK, правила YARA и хеши, относящиеся к этой атаке, доступны пользователям наших сервисов информирования об угрозах для финансовых организаций.

География атак Qbot

В марте 2021 года QBot, как и IcedID, был особенно активен в Китае (10,78%), Индии (10,78%) и США (4,66%). Также значительное число попыток заражения было зафиксировано в России (7,60%) и Франции (7,60%).

Индикаторы компрометации

Хеши файлов (MD5)
Excel с макросами

042b349265bbac709ff2cbddb725033b
054532b8b2b5c727ed8f74aabc9acc73
1237e85fe00fcc1d14df0fb5cf323d6b
3e12880c20c41085ea5e249f8eb85ded

Documents.zip

c11bad6137c9205d8656714d362cc8e4

Trojan.Win32.Ligooc

997340ab32077836c7a055f52ab148de

Trojan-Banker.Win32.QBot

57f347e5f703398219e9edf2f31319f6

Домены/IP-адреса

Apoxiolazio55[.]space
Karantino[.]xyz
uqtgo16datx03ejjz[.]xyz
188.127.254[.]114

Вредоносные спам-рассылки с банковскими троянцами

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике