Negli ultimi anni, i trojan mobili hanno sostituito attivamente i trojan per personal computer, quindi l'emergere di nuovi malware per le buone vecchie "automobili" e il loro utilizzo attivo da parte dei criminali informatici, sebbene spiacevole, è ancora un evento. Recentemente, il centro di risposta agli incidenti di sicurezza informatica del CERT Group-IB, attivo XNUMX ore su XNUMX, XNUMX giorni su XNUMX, ha rilevato un'insolita e-mail di phishing che nascondeva un nuovo malware per PC che combina le funzioni di Keylogger e PasswordStealer. L'attenzione degli analisti è stata attirata dal modo in cui lo spyware è riuscito a penetrare nel computer dell'utente, utilizzando un popolare sistema di messaggistica vocale. Ilya Pomerantsev, uno specialista nell'analisi del malware presso il CERT Group-IB, ha spiegato come funziona il malware, perché è pericoloso e ha persino trovato il suo creatore nel lontano Iraq.
Allora, andiamo con ordine. Con il pretesto di un allegato, tale lettera conteneva un'immagine, cliccando sulla quale l'utente veniva indirizzato al sito cdn.discordapp.come da lì è stato scaricato un file dannoso.
Usare Discord, un servizio di messaggistica vocale e di testo gratuito, è piuttosto non convenzionale. Solitamente per questi scopi vengono utilizzati altri servizi di messaggistica istantanea o social network.
Nel corso di un'analisi più approfondita è stata identificata una famiglia di malware. Si è rivelato essere un nuovo arrivato nel mercato del malware - Registratore di tasti 404.
È stato pubblicato il primo annuncio per la vendita di un keylogger hackforum dall'utente con il nickname "404 Coder" l'8 agosto.
Il dominio del negozio è stato registrato di recente, il 7 settembre 2019.
Come dicono gli sviluppatori sul sito web 404progetti[.]xyz, 404 è uno strumento progettato per aiutare le aziende a conoscere le attività dei propri clienti (con il loro permesso) o per coloro che desiderano proteggere il proprio binario dal reverse engineering. Guardando al futuro, diciamolo con l'ultimo compito 404 sicuramente non ce la fa.
Abbiamo deciso di invertire uno dei file e verificare cosa sia "BEST SMART KEYLOGGER".
Ecosistema malware
Caricatore 1 (AtillaCrypter)
Il file sorgente è protetto utilizzando EaxObfuscator ed esegue il caricamento in due fasi AtProtect dalla sezione risorse. Durante l'analisi di altri campioni trovati su VirusTotal, è apparso chiaro che questa fase non era stata fornita dallo sviluppatore stesso, ma era stata aggiunta dal suo cliente. Successivamente è stato stabilito che questo bootloader era AtillaCrypter.
Bootloader 2 (AtProtect)
Questo caricatore, infatti, è parte integrante del malware e, secondo le intenzioni dello sviluppatore, dovrebbe assumere la funzionalità di analisi di contrasto.
Tuttavia, in pratica, i meccanismi di protezione sono estremamente primitivi e i nostri sistemi rilevano con successo questo malware.
Il modulo principale viene caricato utilizzando Franchy Shell Code versioni diverse. Non escludiamo tuttavia che avrebbero potuto essere utilizzate altre opzioni, ad esempio, RunPE.
File di configurazione
Consolidamento nel sistema
Il consolidamento nel sistema è assicurato dal bootloader AtProtect, se è impostato il flag corrispondente.
- Il file viene copiato lungo il percorso %AppData%GFqaakZpzwm.exe.
- Il file è in fase di creazione %AppData%GFqaakWinDriv.url, lancio Zpzwm.exe.
- Nel filo HKCUSoftwareMicrosoftWindowsVersione correnteRun viene creata una chiave di avvio WinDriv.url.
Interazione con C&C
Caricatore AtProtect
Se è presente il flag appropriato, il malware può avviare un processo nascosto IExplorer e seguire il collegamento specificato per notificare al server l'avvenuta infezione.
Ladro di dati
Indipendentemente dal metodo utilizzato, la comunicazione di rete inizia con l'ottenimento dell'IP esterno della vittima utilizzando la risorsa [http]://checkip[.]dyndns[.]org/.
Agente utente: Mozilla/4.0 (compatibile; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
La struttura generale del messaggio è la stessa. Intestazione presente
|——- 404 Keylogger — {Tipo} ——-|Dove {tipo} corrisponde al tipo di informazione trasmessa.
Di seguito sono riportate le informazioni sul sistema:
_______ + INFORMAZIONI SULLA VITTIMA + _______
IP: {IP esterno}
Nome del proprietario: {Nome computer}
Nome del sistema operativo: {Nome del sistema operativo}
Versione del sistema operativo: {Versione del sistema operativo}
Piattaforma del sistema operativo: {Piattaforma}
Dimensione RAM: {dimensione RAM}
______________________________
E infine, i dati trasmessi.
SMTP
L'oggetto della lettera è il seguente: 404K| {Tipo di messaggio} | Nome cliente: {Nome utente}.
È interessante notare che consegnare lettere al cliente Registratore di tasti 404 Viene utilizzato il server SMTP degli sviluppatori.
Ciò ha permesso di identificare alcuni clienti, nonché l'e-mail di uno degli sviluppatori.
FTP
Quando si utilizza questo metodo, le informazioni raccolte vengono salvate in un file e immediatamente lette da lì.
La logica dietro questa azione non è del tutto chiara, ma crea un ulteriore artefatto per scrivere regole comportamentali.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Numero arbitrario}.txt
Pastebin
Al momento dell'analisi, questo metodo viene utilizzato solo per trasferire le password rubate. Inoltre, viene utilizzato non in alternativa ai primi due, ma in parallelo. La condizione è il valore della costante pari a “Vavaa”. Presumibilmente questo è il nome del cliente.
L'interazione avviene tramite il protocollo https tramite l'API pastebin... Valore api_paste_private è INCOLLA_NON ELENCATO, che vieta la ricerca di tali pagine in pastebin.
Algoritmi di crittografia
Recupero di un file dalle risorse
Il carico utile è archiviato nelle risorse del bootloader AtProtect sotto forma di immagini bitmap. L’estrazione avviene in più fasi:
- Dall'immagine viene estratto un array di byte. Ogni pixel viene trattato come una sequenza di 3 byte in ordine BGR. Dopo l'estrazione, i primi 4 byte dell'array memorizzano la lunghezza del messaggio, i successivi memorizzano il messaggio stesso.
- La chiave è calcolata. A tale scopo, MD5 viene calcolato dal valore "ZpzwmjMJyfTNiRalKVrcSkxCN" specificato come password. L'hash risultante viene scritto due volte.
- La decrittografia viene eseguita utilizzando l'algoritmo AES in modalità ECB.
Funzionalità dannosa
Downloader
Implementato nel bootloader AtProtect.
- Contattando [activelink-repalce] Viene richiesto lo stato del server per confermare che è pronto a servire il file. Il server dovrebbe tornare "SOPRA".
- il collegamento [downloadlink-sostituisci] Il payload viene scaricato.
- Con FranchyShellcode il carico utile viene iniettato nel processo [inj-sostituisci].
Durante l'analisi del dominio 404progetti[.]xyz ulteriori istanze sono state identificate su VirusTotal Registratore di tasti 404, così come diversi tipi di caricatori.
Convenzionalmente si dividono in due tipologie:
- Il download viene eseguito dalla risorsa 404progetti[.]xyz.
I dati sono codificati Base64 e crittografati AES. - Questa opzione è composta da diverse fasi e molto probabilmente viene utilizzata insieme a un bootloader AtProtect.
- Nella prima fase, i dati vengono caricati da pastebin e decodificato utilizzando la funzione HexToByte.
- Nella seconda fase, la fonte di caricamento è il 404progetti[.]xyz. Tuttavia, le funzioni di decompressione e decodifica sono simili a quelle presenti in DataStealer. Probabilmente originariamente era stato previsto di implementare la funzionalità bootloader nel modulo principale.
- In questa fase, il payload è già nel manifest della risorsa in forma compressa. Funzioni di estrazione simili sono state trovate anche nel modulo principale.
Tra i file analizzati sono stati trovati downloader njRat, SpyGate e altri RATTI.
Keylogger
Periodo di invio del registro: 30 minuti.
Tutti i caratteri sono supportati. I caratteri speciali vengono sfuggiti. È in corso l'elaborazione per i tasti BackSpace ed Elimina. Maiuscole e minuscole.
ClipboardLogger
Periodo di invio del registro: 30 minuti.
Periodo di polling del buffer: 0,1 secondi.
Escape del collegamento implementato.
ScreenLogger
Periodo di invio del registro: 60 minuti.
Gli screenshot vengono salvati in %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Dopo aver inviato la cartella 404k è rimosso.
PasswordStealer
| i browser | Client di posta | Client FTP |
|---|---|---|
| Chrome | Outlook | fileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| Icedragon | ||
| Luna pallida | ||
| Cyberfox | ||
| Chrome | ||
| Brave Browser | ||
| QQBrowser | ||
| Browser Iridium | ||
| XvastBrowser | ||
| Chedot | ||
| 360Browser | ||
| ComodoDragon | ||
| 360Cromo | ||
| Superuccello | ||
| CentBrowser | ||
| browser fantasma | ||
| IronBrowser | ||
| cromo | ||
| Vivaldi | ||
| Browser Slimjet | ||
| orbita | ||
| Coccoc | ||
| Torcia | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Contrasto all'analisi dinamica
- Verificare se un processo è in fase di analisi
Eseguito utilizzando la ricerca del processo taskmgr, ProcessHacker, processox64, procex, procmone. Se ne viene trovato almeno uno, il malware esce.
- Verifica se ti trovi in un ambiente virtuale
Eseguito utilizzando la ricerca del processo vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Se ne viene trovato almeno uno, il malware esce.
- Addormentarsi per 5 secondi
- Dimostrazione di diversi tipi di finestre di dialogo
Può essere utilizzato per bypassare alcuni sandbox.
- Ignora l'UAC
Eseguito modificando la chiave di registro EnableLUA nelle impostazioni dei Criteri di gruppo.
- Applica l'attributo "Nascosto" al file corrente.
- Possibilità di eliminare il file corrente.
Funzionalità inattive
Durante l'analisi del bootloader e del modulo principale, sono state trovate funzioni responsabili di funzionalità aggiuntive, ma non vengono utilizzate da nessuna parte. Ciò è probabilmente dovuto al fatto che il malware è ancora in fase di sviluppo e le sue funzionalità verranno presto ampliate.
Caricatore AtProtect
È stata trovata una funzione responsabile del caricamento e dell'inserimento nel processo msiexec.exe modulo arbitrario.
Ladro di dati
- Consolidamento nel sistema
- Funzioni di decompressione e decrittazione
È probabile che presto verrà implementata la crittografia dei dati durante la comunicazione in rete. - Interruzione dei processi antivirus
| zlclient | Dvp95_0 | Pavsche | avgserv9 |
| egui | Motore elettrico | Pavw | avgserv9schedapp |
| bdagent | E sicuro | PCCIOMON | avgemc |
| npfmsg | ESPwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| Wireshark | Fprot | Perseveranza | ashserv |
| avastui | F-Prot | POP3TRAPPOLA | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 | norton |
| mbam | frw | Rav7win | Protezione automatica Norton |
| keycrambler | F-Stopw | Salvataggio | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
| Avamposto | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scansione | avcenter |
| ANTIVIR | Icloadnt | Servi95 | Avgnt |
| Apvxdwin | Icmone | Smc | avguard |
| UNA TRACCIA | ICsupp95 | SMCSERVICE | avnotify |
| Abbassamento automatico | Icsupp | sbuffo | avscan |
| Avconsol | Io affronto | Sfinge | guardgui |
| Ave32 | Iomon98 | Spazzare95 | cenno32krn |
| Avgctrl | Jedi | SYMPROSSIVC | nod32kui |
| Avkserv | Blocco2000 | Tbscan | clamscan |
| Avnt | Attenzione | TCA | clamTray |
| avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafè | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | Oladdin |
| Avpdos32 | MPftray | veterinario95 | sigtool |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Vicino |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | McShield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Nerod | Navwnt | Wfindv32 | vsstat |
| Ghiaccio nero | Neo Watch | ZoneAlarm | avsynmgr |
| Cfiadmin | NISSERV | BLOCCO2000 | avcmd |
| Cfiaudit | Nisum | SALVATAGGIO32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normista | avgcc | sched |
| artiglio95 | NORTON | avgcc | preupd |
| Artiglio95cf | Nuovo aggiornamento | avgamsvr | MsMpIng |
| Depuratore | Nvc95 | avgupsvc | MSASCui |
| Detergente3 | Avamposto | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- autodistruzione
- Caricamento dei dati dal manifesto della risorsa specificato
- Copiare un file lungo un percorso %Temp%tmpG[Data e ora correnti in millisecondi].tmp
È interessante notare che una funzione identica è presente nel malware AgentTesla. - Funzionalità del verme
Il malware riceve un elenco di supporti rimovibili. Una copia del malware viene creata nella radice del file system multimediale con il nome Sys.exe. L'esecuzione automatica viene implementata utilizzando un file autorun.inf.
Profilo dell'attaccante
Durante l'analisi del centro di comando, è stato possibile stabilire l'e-mail e il soprannome dello sviluppatore: Razer, alias Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Successivamente, abbiamo trovato un video interessante su YouTube che mostra il lavoro con il costruttore.
Ciò ha permesso di trovare il canale dello sviluppatore originale.
È diventato chiaro che aveva esperienza nella scrittura di crittografi. Sono presenti anche collegamenti a pagine sui social network, oltre al vero nome dell'autore. Si è scoperto che era residente in Iraq.
Questo è l'aspetto che dovrebbe avere uno sviluppatore Keylogger 404. Foto dal suo profilo Facebook personale.
CERT Group-IB ha annunciato una nuova minaccia - 404 Keylogger - un centro di monitoraggio e risposta XNUMX ore su XNUMX per le minacce informatiche (SOC) in Bahrein.
Fonte: habr.com