M
Mr.Dante
Гость
Всем снова наш бинарный безопасный привет! Сегодня у нас новости про уже всем привычное ПО MSI Afterburner. Многим геймерам не нужно объяснять, что это за софтина. Для неопытных читателей уточним. MSI Afterburner используется для разгона видеокарт и тонкой их настройки. Казалось бы, что здесь может быть опасного? Увы, но и тут неопытных пользователей могут ожидать «подводные камни». Ну что, перейдем к подробностям?
Итак, в сети появился поддельный софт MSI Afterburner. То есть, работает он так же, как и стандартное ПО. Только помимо выполнения своих прямых функций, потихоньку майнит крипту на вашем ПК. И, главное – эта зараза «знает» какая у вас карта и мощность всего ПК. Майнинг производится в рамках разумной нагрузки. То есть, пользователь особо и не замечает, что мощности его ПК «уплывают» на совсем другие нужды.
Помимо этого, на ПК проникает троян, который буквально крадет информацию. Учитывая, что программой пользуется огромное количество человек, можно только представить, насколько быстро она распространяется. Например, по изученным данным, динамика фишинговых сайтов с этим вредоносом выглядит следующим образом:
А сама фишинговая страница, с которой ПО грузится автоматически, выглядит вот так:
Сам загрузочный пакет с файлами визуально отображен на изображении ниже. Причем самый опасный файл – первый:
При запуске в ПК проникает XMR-майнер, который и будет тихонечко майнить крипту, когда жертва даже не подозревает.
Загрузчик «browser_assistant.exe» — это 64-битный исполняемый файл PyInstaller с SHA256: 0e154eed00b71c0d11bd2caeb64fa2efcbb10524b797c076895752affa0f46c. Дополнительная информация представлена на рисунке ниже.
После выполнения «browser_assistant.exe» запускает несколько файлов, поддерживающих Python, которые помещаются в каталог %temp% . На рисунке ниже показаны файлы «.pyc», «.pyd» и «.dll», извлеченные из исполняемого файла PyInstaller.
Скомпилированный на Python файл «Binary_Stub_Replacer.pyc» отвечает за активность майнера XMR. Во время выполнения он извлекает и внедряет майнер XMR в «explorer.exe», используя следующие шаги:
Итак, в сети появился поддельный софт MSI Afterburner. То есть, работает он так же, как и стандартное ПО. Только помимо выполнения своих прямых функций, потихоньку майнит крипту на вашем ПК. И, главное – эта зараза «знает» какая у вас карта и мощность всего ПК. Майнинг производится в рамках разумной нагрузки. То есть, пользователь особо и не замечает, что мощности его ПК «уплывают» на совсем другие нужды.
Помимо этого, на ПК проникает троян, который буквально крадет информацию. Учитывая, что программой пользуется огромное количество человек, можно только представить, насколько быстро она распространяется. Например, по изученным данным, динамика фишинговых сайтов с этим вредоносом выглядит следующим образом:
А сама фишинговая страница, с которой ПО грузится автоматически, выглядит вот так:
Сам загрузочный пакет с файлами визуально отображен на изображении ниже. Причем самый опасный файл – первый:
При запуске в ПК проникает XMR-майнер, который и будет тихонечко майнить крипту, когда жертва даже не подозревает.
Загрузчик «browser_assistant.exe» — это 64-битный исполняемый файл PyInstaller с SHA256: 0e154eed00b71c0d11bd2caeb64fa2efcbb10524b797c076895752affa0f46c. Дополнительная информация представлена на рисунке ниже.
После выполнения «browser_assistant.exe» запускает несколько файлов, поддерживающих Python, которые помещаются в каталог %temp% . На рисунке ниже показаны файлы «.pyc», «.pyd» и «.dll», извлеченные из исполняемого файла PyInstaller.
Скомпилированный на Python файл «Binary_Stub_Replacer.pyc» отвечает за активность майнера XMR. Во время выполнения он извлекает и внедряет майнер XMR в «explorer.exe», используя следующие шаги:
- Первоначально «Binary_Stub_Replacer.pyc» декодирует фактические данные с помощью функции замены, сначала преобразует заглушку в двоичный формат, а затем изменяет его в формат ASCII, как показано на рисунке.
- Декодированная заглушка формирует новый код Python, содержащий встроенное содержимое в кодировке base64. Этот код Python декодирует закодированную в base64 заглушку, которая создает шелл-код.
- Затем шелл-код внедряется в «browser_assistant.exe» с помощью API-функции CreateThread().
- После этого загруженный Шеллкод извлекает закодированные необработанные данные (XMR Miner) из репозитория GitHub ( hxxps[:]//raw.githubusercontent[.]com:443/CyberSECx/Dimitri_Quaser_LASTSM_B64/main/RawData ), декодирует их, внедряет в explorer.exe и вызывает explorer.exe с параметрами майнинга.
- После этого загруженный Шеллкод извлекает закодированные необработанные данные (XMR Miner) из репозитория GitHub ( hxxps[:]//raw.githubusercontent[.]com:443/CyberSECx/Dimitri_Quaser_LASTSM_B64/main/RawData ), декодирует их, внедряет в explorer.exe и вызывает explorer.exe с параметрами майнинга.
- Введенный майнер XMR далее запускает команды для подключения майнингового пула для операций майнинга криптовалюты, как показано на рисунке ниже.
- Вредоносное ПО одновременно собирает конфиденциальную информацию, такую как имя компьютера, имя пользователя, графический процессор, процессор и другие данные из системы жертвы, и отправляет их на указанный ниже API-интерфейс сервера C&C (Command and Control):
hxxp[:]//45[.]87[.]0[.]89/api/конечная точка[.]php
А вот как выглядят похищенные данные:
И вот теперь уже вредоносное ПО начинает майнинг, используя адрес кошелька на машине жертвы для получения дохода. На приведенном ниже рисунке показана панель управления пулом майнинга XMR, на которой отображается статистика, такая как общая сумма выплаченных денег, баланс и т. д., что указывает на возможность получения финансовой выгоды с помощью этого XMRminer.
Post Scriptum
Если вы не желаете стать жертвой, качайте MSI Afterburner только с проверенных ресурсов. А лучше всего – с официальных. Так вы избежите проблем с вашим ПК, и никто на вас не будет делать крипту.
С вами был форум IT-безопасности «РУ-СФЕРА». Не забывайте поставить этой статье палец вверх и подписаться на Дзен канал. А если у вас возникли вопросы, всегда будем рады видеть вас:- На нашем форуме: Ру-Сфера: Исследование защиты и обсуждение IT-безопасности;
- На нашем ТГ-канале: Ru-Sfera channel;
- В нашей VK-группе: Ру-Сфера: Исследование защиты. | VK.
- Всем до новых встреч!