- Регистрация
- 03.06.2012
- Сообщения
- 6 171
- Репутация
В дополнении этой темы:ВАЖНО - (Не)торрент: новый майнер с валидной подписью
Анализ Лаборатории Касперского:
На прошлой неделе эксперты «Лаборатории Касперского»
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
подробный разбор вредоносной кампании, направленной в основном на русскоязычных пользователей. Ссылки на вредоносные программы продвигаются в результатах поиска, результатом установки такого ПО является полный перехват контроля над системой злоумышленниками. Хотя подобные атаки никак нельзя назвать новыми, данная кампания представляет интерес как локализацией (большинство потенциальных жертв находятся в России), так и нестандартными методиками закрепления в системе.
Атака начинается с клика по ссылке в результатах поиска. Как видно на примере выше, вредоносный сайт зачастую оказывается достаточно высоко в результатах поиска в «Яндексе». Среди популярного софта, эксплуатируемого злоумышленниками, авторы исследования называют uTorrent, Microsoft Excel и Word, Minecraft, Discord. Веб-страница, как правило, имитирует либо официальный сайт разработчика программного обеспечения, либо популярные площадки для распространения пиратского ПО.
Результатами поиска организаторы атаки не ограничиваются. Софт также распространяется в ряде Telegram-каналов. В YouTube идентичное вредоносное программное обеспечение распространяется в виде ссылок под англоязычными видеороликами. Для этого канала распространения используются, скорее всего, взломанные учетные записи на видеохостинге.
Так или иначе потенциальная жертва загружает архив в формате ZIP, внутри которого имеется инсталлятор .MSI и текстовый файл с паролем.
Исполняемый файл запрашивает пароль при запуске и без него не работает — это одна из мер против автоматического исследования файла защитными решениями. После ввода правильного пароля управление в итоге передается BAT-файлу, который распаковывает вредоносный код для следующего этапа атаки из зашифрованного архива. Помимо этого, еще один батник прописывается в автозапуск с привилегиями системы, а также инициируется перезагрузка.
Следующий этап атаки реализован достаточно необычно. Для запуска вредоносного A3X-скрипта используется легитимный интерпретатор
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Кроме него в зашифрованном архиве находится легитимная динамическая библиотека с валидной цифровой подписью. Скрипт для AutoIt в формате A3X внедрен в цифровую подпись этой библиотеки:Такой подход интересен тем, что он, во-первых, не вредит легитимности цифровой подписи. Во-вторых, он не мешает запуску скрипта, так как AutoIt ищет особую сигнатуру, и игнорирует прочее содержимое библиотеки:
Вредоносный имплант проводит поиск процессов, указывающих на наличие отладочного или защитного ПО, и пытается их завершить. Далее устанавливается набор файлов финальной «полезной нагрузки». С помощью системы Windows Management Instrumentation обеспечивается регулярный запуск элементов вредоносного кода. Раз в три минуты выполняется утилита netcat, вывод которой передается на командный сервер злоумышленников. Каждые 5, 10 и 15 минут запускаются следующие элементы атаки, с дублированием выполнения ряда компонентов для надежности. Помимо WMI закрепление также происходит через ключи реестра и с помощью других методов.
Вторая необычная особенность данной атаки — использование опенсорсной SIEM-системы
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
для удаленного контроля над системой и сбора телеметрии. Через этот легитимный инструмент злоумышленники могут выполнять на компьютере жертвы произвольные команды. Помимо этого канала коммуникации, скрипт A3X также передает информацию организаторам через Telegram-канал. Конечной целью организаторов атаки является установка майнера криптовалют Monero и Zephyr.Исследователи «Лаборатории Касперского» отмечают достаточно высокую сложность этой массовой атаки с применением нестандартных инструментов и методов. Хотя основной целью является майнинг криптовалют, вредоносная кампания направлена и на кражу криптовалюты у пользователей путем подмена адресов в буфере обмена. Конечно, это не исключает и иные вредоносные действия. По данным «Лаборатории Касперского», абсолютное большинство атак (88%) приходится на пользователей из России.