Nos últimos anos, os troianos móbiles foron substituíndo activamente aos troianos por ordenadores persoais, polo que a aparición de novos programas maliciosos para os bos "coches" vellos e o seu uso activo por parte dos ciberdelincuentes, aínda que desagradable, segue sendo un acontecemento. Recentemente, o centro de resposta a incidentes de seguridade da información de CERT Group-IB XNUMX/XNUMX detectou un correo electrónico de phishing inusual que ocultaba un novo malware para PC que combina as funcións de Keylogger e PasswordStealer. A atención dos analistas chamou a atención sobre como o spyware chegou á máquina do usuario mediante un popular mensaxeiro de voz. Ilya Pomerantsev, un especialista en análise de malware do CERT Group-IB, explicou como funciona o malware, por que é perigoso e mesmo atopou ao seu creador no afastado Iraq.
Entón, imos en orde. Baixo o pretexto dun anexo, tal carta contiña unha imaxe, ao facer clic na cal o usuario foi levado ao sitio cdn.discordapp.com, e desde alí descargouse un ficheiro malicioso.
Usar Discord, unha mensaxería gratuíta de voz e texto, é bastante pouco convencional. Normalmente, outros mensaxeiros instantáneos ou redes sociais utilízanse para estes fins.
Durante unha análise máis detallada, identificouse unha familia de malware. Resultou ser un recén chegado ao mercado de malware - 404 Keylogger.
O primeiro anuncio para a venda dun keylogger foi publicado en hackforums por usuario baixo o alcume "404 Coder" o 8 de agosto.
O dominio da tenda rexistrouse hai pouco, o 7 de setembro de 2019.
Como din os desenvolvedores no sitio web 404proxectos[.]xyz, 404 é unha ferramenta deseñada para axudar ás empresas a coñecer as actividades dos seus clientes (co seu permiso) ou para aqueles que queiran protexer o seu binario da enxeñaría inversa. Mirando cara adiante, digamos que coa última tarefa 404 definitivamente non afronta.
Decidimos inverter un dos ficheiros e comprobar cal é o "MELLOR SMART KEYLOGGER".
Ecosistema de malware
Cargador 1 (AtillaCrypter)
O ficheiro fonte está protexido usando EaxObfuscator e realiza a carga en dous pasos AtProtect dende a sección de recursos. Durante a análise doutras mostras atopadas en VirusTotal, quedou claro que esta etapa non foi proporcionada polo propio desenvolvedor, senón que foi engadida polo seu cliente. Máis tarde determinouse que este cargador de arranque era AtillaCrypter.
Cargador de arranque 2 (AtProtect)
De feito, este cargador é unha parte integrante do malware e, segundo a intención do desenvolvedor, debería asumir a funcionalidade de contrarrestar a análise.
Non obstante, na práctica, os mecanismos de protección son extremadamente primitivos e os nosos sistemas detectan con éxito este malware.
O módulo principal cárgase usando Código Shell de Franchy diferentes versións. Non obstante, non excluímos que se puidesen utilizar outras opcións, por exemplo, Executar PE.
Ficheiro de configuración
Consolidación no sistema
A consolidación no sistema está asegurada polo cargador de arranque AtProtect, se se establece a bandeira correspondente.
- O ficheiro cópiase ao longo da ruta %AppData%GFqaakZpzwm.exe.
- Créase o ficheiro %AppData%GFqaakWinDriv.url, lanzamento Zpzwm.exe.
- No fío HKCUSoftwareMicrosoftWindowsCurrentVersionRun créase unha clave de inicio WinDriv.url.
Interacción con C&C
Cargador AtProtect
Se a bandeira adecuada está presente, o malware pode iniciar un proceso oculto iexplorador e siga a ligazón especificada para notificar ao servidor sobre a infección exitosa.
DataStealer
Independentemente do método empregado, a comunicación de rede comeza coa obtención da IP externa da vítima que utiliza o recurso [http]://checkip[.]dyndns[.]org/.
Axente de usuario: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
A estrutura xeral da mensaxe é a mesma. Cabeceira presente
|——- 404 Keylogger — {Tipo} ——-|onde {tipo} corresponde ao tipo de información que se transmite.
A seguinte é información sobre o sistema:
_______ + INFORMACIÓN DA VÍTIMA + _______
IP: {IP externa}
Nome do propietario: {nome do ordenador}
Nome do sistema operativo: {Nome do sistema operativo}
Versión do SO: {Versión do SO}
Plataforma SO: {Plataforma}
Tamaño da RAM: {tamaño da RAM}
______________________________
E por último, os datos transmitidos.
SMTP
O asunto da carta é o seguinte: 404 K | {Tipo de mensaxe} | Nome do cliente: {Nome de usuario}.
Curiosamente, para entregar cartas ao cliente 404 Keylogger Utilízase o servidor SMTP dos desenvolvedores.
Isto permitiu identificar algúns clientes, así como o correo electrónico dun dos desenvolvedores.
FTP
Ao usar este método, a información recollida gárdase nun ficheiro e lese inmediatamente desde alí.
A lóxica detrás desta acción non está totalmente clara, pero crea un artefacto adicional para escribir regras de comportamento.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Número arbitrario}.txt
pastebin
No momento da análise, este método só se usa para transferir contrasinais roubados. Ademais, úsase non como alternativa aos dous primeiros, senón en paralelo. A condición é o valor da constante igual a "Vavaa". Presumiblemente este é o nome do cliente.
A interacción prodúcese a través do protocolo https a través da API pasta. Significado api_paste_private é igual PASTE_UNLISTED, que prohibe buscar tales páxinas en pasta.
Algoritmos de cifrado
Recuperación dun ficheiro de recursos
A carga útil almacénase nos recursos do cargador de arranque AtProtect en forma de imaxes de mapa de bits. A extracción realízase en varias etapas:
- Da imaxe extráese unha matriz de bytes. Cada píxel trátase como unha secuencia de 3 bytes en orde BGR. Despois da extracción, os primeiros 4 bytes da matriz almacenan a lonxitude da mensaxe, os seguintes almacenan a propia mensaxe.
- Calcúlase a chave. Para iso, calcúlase MD5 a partir do valor "ZpzwmjMJyfTNiRalKVrcSkxCN" especificado como contrasinal. O hash resultante escríbese dúas veces.
- O descifrado realízase mediante o algoritmo AES no modo ECB.
Funcionalidade maliciosa
Download
Implementado no cargador de arranque AtProtect.
- Por contacto [activelink-repalce] Solicítase o estado do servidor para confirmar que está preparado para servir o ficheiro. O servidor debería volver "ON".
- Por referencia [link de descarga-substituír] A carga útil está descargada.
- Con FranchyShellcode a carga útil inxéctase no proceso [substituír inx].
Durante a análise do dominio 404proxectos[.]xyz identificáronse instancias adicionais en VirusTotal 404 Keylogger, así como varios tipos de cargadores.
Convencionalmente, divídense en dous tipos:
- A descarga realízase desde o recurso 404proxectos[.]xyz.
Os datos están codificados en Base64 e cifrados AES. - Esta opción consta de varias etapas e é probable que se use xunto cun cargador de arranque AtProtect.
- Na primeira fase, os datos cárganse desde pasta e decodificado mediante a función HexToByte.
- Na segunda etapa, a fonte de carga é o 404proxectos[.]xyz. Non obstante, as funcións de descompresión e decodificación son similares ás que se atopan en DataStealer. Probablemente se planeou orixinalmente implementar a funcionalidade do cargador de arranque no módulo principal.
- Nesta fase, a carga útil xa está no manifesto do recurso nunha forma comprimida. Tamén se atoparon funcións de extracción similares no módulo principal.
Atopáronse descargadores entre os ficheiros analizados njRat, SpyGate e outros RAT.
Keylogger
Período de envío do rexistro: 30 minutos.
Todos os personaxes son compatibles. Os personaxes especiais son escapados. Hai un procesamento para as teclas BackSpace e Delete. Sensible a maiúsculas e minúsculas.
ClipboardLogger
Período de envío do rexistro: 30 minutos.
Período de sondeo do búfer: 0,1 segundos.
Escape de ligazón implementado.
ScreenLogger
Período de envío do rexistro: 60 minutos.
As capturas de pantalla gárdanse en %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Despois de enviar o cartafol 404k está eliminado.
Contrasinal Stealer
| Navegadores | Clientes de correo | Clientes FTP |
|---|---|---|
| cromo | Perspectiva | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| dragón de xeo | ||
| Lúa Pálida | ||
| ciberfox | ||
| cromo | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Navegador | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Cromo | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Órbito | ||
| CocCoc | ||
| Facho | ||
| UCBbrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Ópera |
Contraacción á análise dinámica
- Comprobar se un proceso está en análise
Realízase mediante a busca de procesos encargado de tarefas, ProcessHacker, procexp64, procexp, procmon. Se se atopa polo menos un, o malware sae.
- Comprobando se estás nun entorno virtual
Realízase mediante a busca de procesos vmtoolsd, Servizo VGAuth, vmachlp, Servizo VBox, VBoxTray. Se se atopa polo menos un, o malware sae.
- Quedando durmido durante 5 segundos
- Demostración de diferentes tipos de caixas de diálogo
Pódese usar para evitar algunhas caixas de area.
- Omitir UAC
Realízase editando a clave de rexistro Activar LUA na configuración da política de grupo.
- Aplica o atributo "Oculto" ao ficheiro actual.
- Capacidade de eliminar o ficheiro actual.
Funcións inactivas
Durante a análise do cargador de arranque e do módulo principal, atopáronse funcións que eran responsables da funcionalidade adicional, pero non se usan en ningún sitio. Isto probablemente débese ao feito de que o malware aínda está en desenvolvemento e a funcionalidade ampliarase en breve.
Cargador AtProtect
Atopouse unha función que se encarga de cargar e inxectar no proceso msiexec.exe módulo arbitrario.
DataStealer
- Consolidación no sistema
- Funcións de descompresión e descifrado
É probable que en breve se implemente o cifrado de datos durante a comunicación da rede. - Finalización de procesos antivirus
| zlcliente | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdaxente | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | cinzasv |
| olydbg | F-Agnt95 | Pccwin98 | cinzas |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW 95 | symwsc |
| vsmon | Fp-Win | Rav7 | norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| codificador de teclas | F-Stopw | Rescatar | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Escanear32 | ccsetmgr |
| Acwin32 | Ibmasn | Escanear95 | ccevtmgr |
| Avanzada | Ibmavsp | Scanpm | avadmin |
| Antitroiano | Icload95 | Escrscan | avcenter |
| AntiVir | Icloadnt | Serv95 | media |
| Apvxdwin | Icmon | smc | vangarda |
| ATRACK | Icsupp95 | SERVIZO SMC | avnotificar |
| Baixo automático | Icsuppnt | Snort | avscan |
| Avconsol | Iface | Esfinxe | guardgui |
| Avenida 32 | Iomon98 | varrer 95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Bloqueo 2000 | Tbscan | clamscan |
| Avnt | Lookout | Tca | bandexa de almeixa |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | ameixa fresca |
| Avpcc | Moolive | TerminNET | oladdin |
| Avpdos32 | MPftray | Veterinaria 95 | sigtool |
| Avpm | N32 escaneo | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Pechar |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | TRAPA WEB | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | Zona alarma | avsynmgr |
| Cfiadmin | NISSERV | BLOQUEO 2000 | avcmd |
| Cfiauditoría | Nisum | RESCATE 32 | avconfig |
| Cfinet | Nprincipal | LUCOMSERVER | licmgr |
| Cfinet32 | Normista | avgcc | programado |
| Garra 95 | norton | avgcc | preupd |
| Garra 95cf | Nupgrade | avgamsvr | MsMpEng |
| Limpador | Nvc95 | avgupsvc | MSASCui |
| Limpador 3 | Avanzada | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Autodestrución
- Cargando datos do manifesto do recurso especificado
- Copiando un ficheiro ao longo dun camiño %Temp%tmpG[Data e hora actuais en milisegundos].tmp
Curiosamente, unha función idéntica está presente no malware AgentTesla. - Funcionalidade de vermes
O malware recibe unha lista de medios extraíbles. Créase unha copia do malware na raíz do sistema de ficheiros multimedia co nome Sys.exe. A execución automática implícase mediante un ficheiro autorun.inf.
Perfil do atacante
Durante a análise do centro de mando, foi posible establecer o correo electrónico e o apelido do programador: Razer, tamén coñecido como Brwa, Brwa65, HiDDen PerSOn, 404 Coder. A continuación, atopamos un vídeo interesante en YouTube que demostra o traballo co constructor.
Isto permitiu atopar a canle orixinal do programador.
Quedou claro que tiña experiencia en escribir criptógrafos. Tamén hai ligazóns a páxinas das redes sociais, así como o nome real do autor. Resultou ser un residente de Iraq.
Este é o que supostamente parece un programador de 404 Keylogger. Foto do seu perfil persoal de Facebook.
CERT Group-IB anunciou unha nova ameaza - 404 Keylogger - un centro de seguimento e resposta XNUMX horas para ameazas cibernéticas (SOC) en Bahrein.
Fonte: www.habr.com