Ji bo ku hesabkeran di êrîşek sîber de bikin armanc, hûn dikarin belgeyên xebatê yên ku ew li serhêl lê digerin bikar bînin. Tiştê ku grûpek sîber di van çend mehên borî de dike ev e, ku dergehên paşverû yên naskirî belav dike. и , her weha şîfreker û nermalava ji bo dizîna pereyên krîptoyê. Herî zêde hedef li Rûsyayê ne. Êrîş bi belavkirina reklamên xerab li ser Yandex.Direct pêk hat. Mexdûrên potansiyel ber bi malperek ve hatin şandin ku tê de ji wan hate xwestin ku pelek xirab a ku wekî şablonek belgeyê veşartî dakêşin. Yandex piştî hişyariya me reklama xirab rakirin.
Koda çavkaniyê ya Buhtrap berê li serhêl derketiye da ku her kes bikaribe wê bikar bîne. Di derbarê hebûna koda RTM-ê de agahdariya me tune.
Di vê postê de em ê ji we re vebêjin ka êrîşkaran çawa malware bi karanîna Yandex.Direct belav kirin û li GitHub mêvandar kirin. Post dê bi analîzek teknîkî ya malware bi dawî bibe.
Buhtrap û RTM dîsa di karsaziyê de ne
Mekanîzmaya belavbûn û mexdûran
Berhemên cihêreng ên ku ji mexdûran re têne şandin mekanîzmayek belavkirinê ya hevpar parve dikin. Hemî pelên xerab ên ku ji hêla êrîşkaran ve hatine afirandin di du depoyên cûda yên GitHub de hatine bicîh kirin.
Bi gelemperî, depo pelek xirab a dakêşandî heye, ku pir caran diguhere. Ji ber ku GitHub destûrê dide te ku hûn dîroka guheztinên depoyek bibînin, em dikarin bibînin ka çi malware di heyamek diyarkirî de hate belav kirin. Ji bo ku mexdûr qanih bike ku pelê xerab dakêşîne, malpera blanki-shabloni24[.]ru, ku di jimareya jor de hatî xuyang kirin, hate bikar anîn.
Sêwirana malperê û hemî navên pelên xerab yek têgehek dişopînin - form, şablon, peyman, nimûne, hwd. Ji ber ku nermalava Buhtrap û RTM berê di êrişên li ser hesabên berê de hatine bikar anîn, me texmîn kir ku stratejiya di kampanyaya nû de heman e. Tenê pirs ev e ku mexdûr çawa gihîştiye malpera êrîşkaran.
Derbasî
Bi kêmanî çend mexdûrên potansiyel ên ku li ser vê malperê bi dawî bûn ji hêla reklamên xirab ve hatin kişandin. Li jêr mînakek URL heye:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Wekî ku hûn ji lînkê jî dibînin, pankart li ser foruma hesabê ya rewa bb.f2[.]kz hate şandin. Girîng e ku were zanîn ku pankart li ser malperên cihêreng xuya bûn, hemiyan heman nasnameya kampanyayê (blanki_rsya) bûn, û piraniya wan bi karûbarên hesabkirin an alîkariya dadrêsî ve girêdayî ne. URL nîşan dide ku mexdûra potansiyel daxwaza "forma fatûreyê dakêşan" bikar anî, ku hîpoteza me ya êrîşên armanckirî piştgirî dike. Li jêr malperên ku pankart lê xuya bûn û pirsên lêgerînê yên têkildar hene.
- forma fatûreyê dakêşin - bb.f2[.]kz
- peymana nimûne - Ipopen[.]ru
- nimûneya giliyê serîlêdanê - 77metrov[.]ru
- forma peymanê - blank-dogovor-kupli-prodazhi[.]ru
- Daxwaza dadgehê nimûne - zen.yandex[.]ru
- giliyê nimûne - yurday[.]ru
- nimûne formên peymanê - Regforum[.]ru
- forma peymanê - assistentus[.]ru
- nimûne peymana apartmanê - napravah[.]com
- nimûneyên peymanên qanûnî - avito[.]ru
Malpera blanki-shabloni24[.]ru dibe ku ji bo ku nirxandinek dîtbarî ya hêsan derbas bike hate mîheng kirin. Bi gelemperî, reklamek ku li ser malperek xuyangê profesyonel bi girêdanek bi GitHub re destnîşan dike, tiştek eşkere xirab xuya nake. Wekî din, êrîşkaran pelên xerab tenê ji bo demek sînorkirî, belkî di dema kampanyayê de, li depoyê barkirin. Pir caran, depoya GitHub arşîvek zipek vala an pelek EXE ya paqij vedihewand. Ji ber vê yekê, êrîşkar dikarin bi riya Yandex.Direct reklamê li ser malperên ku bi îhtîmaleke mezin ji hêla hesabên ku di bersiva pirsên lêgerînê yên taybetî de hatine ziyaret kirin belav bikin.
Dûv re, werin em li barkêşên cihêreng ên ku bi vî rengî têne belav kirin binêrin.
Analysis Payload
Kronolojiya belavkirinê
Kampanyaya xerab di dawiya Cotmeha 2018an de dest pê kir û di dema nivîsandinê de çalak e. Ji ber ku tevahiya depo li ser GitHub-ê bi gelemperî peyda bû, me demek rast a belavkirina şeş malbatên malware yên cihêreng berhev kir (li jimareya jêrîn binêre). Me xêzek lê zêde kir ku nîşan dide kengê girêdana pankartê hate kifş kirin, wekî ku ji hêla telemetrîya ESET ve hatî pîvandin, ji bo berhevdana bi dîroka git re. Wekî ku hûn dibînin, ev bi hebûna bargiraniya li ser GitHub re têkildar e. Nakokiya di dawiya Sibatê de dikare bi vê yekê were rave kirin ku me beşek ji dîroka guheztinê tune bû ji ber ku depo ji GitHub hate rakirin berî ku em wê bi tevahî bistînin.
Wêne 1. Kronolojiya belavkirina malware.
Sertîfîkayên Îmzekirina Kodê
Kampanyayê gelek sertîfîka bikar anîn. Hin ji hêla bêtir ji yek malbatek malware ve hatine îmze kirin, ku bêtir destnîşan dike ku nimûneyên cûda yên heman kampanyayê ne. Tevî hebûna mifteya taybet, operatoran bi awayekî sîstematîk binaryan îmze nekirine û ji bo hemû nimûneyan mifteyê bi kar neanîne. Di dawiya Sibata 2019-an de, êrîşkaran dest bi çêkirina îmzayên nederbasdar kirin ku bi karanîna sertîfîkayek xwedan Google-ê ya ku kilîta wan a taybet tune bû.
Hemî sertîfîkayên ku beşdarî kampanyayê bûne û malbatên malware ku ew îmze dikin di tabloya jêrîn de têne navnîş kirin.
Me di heman demê de van sertîfîkayên îmzekirina kodê bikar aniye da ku bi malbatên din ên malware re têkilî saz bikin. Ji bo piraniya sertîfîkayan, me nimûneyên ku di nav depoyek GitHub de nehatine belavkirin nedît. Lêbelê, sertîfîkaya TOV "MARIYA" ji bo îmzekirina malware ya ku aîdê botnetê ye hate bikar anîn , adware û mîneral. Ne mimkûn e ku ev malware bi vê kampanyayê re têkildar be. Bi îhtîmaleke mezin, sertîfîka li ser tariyê hate kirîn.
Win32/Filecoder.Buhtrap
Yekem pêkhateya ku bala me kişand Win32/Filecoder.Buhtrap-a ku nû hatibû keşifkirin bû. Ev pelek binary Delphi ye ku carinan tête pak kirin. Ew bi gelemperî di Sibat-Adar 2019 de hate belav kirin. Ew wekî bernameyek ransomware tevdigere - ew li ajokarên herêmî û peldankên torê digere û pelên hatine tespîtkirin şîfre dike. Ew ne hewce ye ku pêwendiyek Înternetê were tawîz kirin ji ber ku ew bi serverê re têkilî nade ku bişkojkên şîfrekirinê bişîne. Di şûna wê de, ew "token" li dawiya peyama ransom zêde dike, û pêşniyar dike ku e-name an Bitmessage bikar bînin da ku bi operatoran re têkilî daynin.
Ji bo şîfrekirina bi qasî ku gengaz dibe çavkaniyên hesas, Filecoder.Buhtrap mijarek ku ji bo nermalava sereke ya ku dibe ku hilgirên pelan ên vekirî hebin ku agahdariya giranbiha ya ku dikare mudaxeleyî şîfrekirinê bike tê de were çêkirin, dimeşîne. Pêvajoyên armanc bi gelemperî pergalên rêveberiya databasê (DBMS) ne. Wekî din, Filecoder.Buhtrap pelên têketinê û paşkêşan jê dike da ku vegerandina daneyê dijwar bike. Ji bo vê yekê, skrîpta hevîrê ya li jêr bimeşînin.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap karûbarek qanûnî ya IP Logger-a serhêl bikar tîne ku ji bo berhevkirina agahdariya li ser mêvanên malperê hatî çêkirin. Ev armanc e ku mexdûrên ransomware bişopîne, ku berpirsiyariya rêzika fermanê ye:
mshta.exe "javascript:document.write('');"
Pelên ji bo şîfrekirinê têne hilbijartin heke ew bi sê navnîşên derxistinê re hevûdu nebin. Pêşîn, pelên bi dirêjkirina jêrîn nayên şîfrekirin: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys û .paçmêlk. Ya duyemîn, hemî pelên ku ji bo riya tevahî rêzikên pelrêça ji navnîşa jêrîn vedihewîne, têne derxistin.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Ya sêyemîn, hin navên pelan jî ji şîfrekirinê têne derxistin, di nav wan de navê pelê peyama ransom. Lîsteya li jêr tê pêşkêş kirin. Eşkere ye, van hemî îstîsnayan têne armanc kirin ku makîneyê bixebitin, lê bi rêgezek hindiktirîn.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Plana şîfrekirina pelê
Piştî ku hate darve kirin, malware cotek mifteya RSA ya 512-bit çêdike. Hêza taybet (d) û modula (n) dûv re bi mifteya giştî ya 2048-bitî ya hişk-kodkirî (nîşana giştî û modul), zlib-pakkirî, û bingeh64 têne şîfre kirin. Koda berpirsiyariya vê yekê di jimar 2 de tê nîşandan.
Wêneyê 2. Encama dekompilasyona Hex-Rays ya pêvajoya hilberîna cotê mifteyê ya 512-bit RSA.
Li jêr mînakek nivîsa sade ya bi mifteyek taybet a çêkirî heye, ku nîşanek e ku bi peyama fidyê ve girêdayî ye.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Mifteya giştî ya êrîşkaran li jêr tê dayîn.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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
Pelên bi karanîna AES-128-CBC bi mifteyek 256-bit têne şîfre kirin. Ji bo her pelê şîfrekirî, mifteyek nû û vektorek nûvekirina destpêkê têne çêkirin. Agahdariya sereke li dawiya pelê şîfrekirî tê zêdekirin. Ka em forma pelê şîfrekirî bifikirin.
Pelên şîfrekirî sernavê jêrîn hene:
Daneyên pelê çavkaniyê bi lêzêdekirina nirxa sêrbaz a VEGA bi 0x5000 baytên yekem têne şîfre kirin. Hemî agahdariya deşîfrekirinê bi pelek bi avahiya jêrîn ve girêdayî ye:
- Nîşana mezinahiya pelê nîşanek heye ku nîşan dide ka mezinahiya pelê ji 0x5000 byte mezintir e.
- Kulîlka mifteya AES = ZlibCompress (RSAEncrypt (bişkojka AES + IV, mifteya giştî ya cotê mifteya RSA ya hatî çêkirin))
- Kulîlka mifteya RSA = ZlibCompress (RSAEncrypt (mifteya taybet a RSA-yê hatî çêkirin, mifteya giştî ya RSA-ya hişk-kodkirî))
Win32 / ClipBanker
Win32/ClipBanker hêmanek e ku ji dawiya Cotmehê heya destpêka Kanûna 2018-an bi navber hate belav kirin. Rola wê çavdêrîkirina naveroka clipboardê ye, ew li navnîşanên berîkên krîptoyê digere. ClipBanker ku navnîşana berîka armancê destnîşan kir, wê bi navnîşek ku tê bawer kirin ku aîdî operatoran e diguhezîne. Nimûneyên ku me lêkolîn kirin, ne qutkirî ne û ne jî qeşeng bûn. Tekane mekanîzmaya ku ji bo maskkirina tevgerê tê bikar anîn şîfrekirina rêzikê ye. Navnîşanên berîka operatorê bi karanîna RC4 têne şîfre kirin. Pereyên krîptoyê yên armanc Bitcoin, drav Bitcoin, Dogecoin, Ethereum û Ripple ne.
Di serdemê de ku malware li berîkên Bitcoin ên êrîşkaran belav dibû, rêjeyek piçûk ji VTS re hate şandin, ku ev yek gumanê li ser serkeftina kampanyayê dike. Wekî din, ti delîl tune ku pêşniyar bike ku van danûstendinan bi tevahî bi ClipBanker re têkildar bûn.
Win32/RTM
Hêmana Win32/RTM di destpêka Adara 2019-an de çend rojan hate belav kirin. RTM bankerek Trojan e ku di Delphi de hatî nivîsandin, ji bo pergalên bankingê yên dûr ve hatî armanc kirin. Di 2017 de, lêkolînerên ESET weşandin ya vê bernameyê, şirove hîn jî têkildar e. Di Çileya 2019 de, Palo Alto Networks jî serbest hat berdan .
Buhtrap Loader
Demek, dakêşkerek li ser GitHub peyda bû ku ne mîna amûrên berê yên Buhtrap bû. Ew vedigere https://94.100.18[.]67/RSS.php?<some_id> da ku qonaxa paşîn bistînin û wê rasterast di bîranînê de bar dike. Em dikarin du tevgerên koda qonaxa duyemîn ji hev veqetînin. Di URL-ya yekem de, RSS.php rasterast paşperdeya Buhtrap derbas kir - ev paşverû pir dişibihe ya ku piştî derketina koda çavkaniyê peyda dibe.
Balkêş e, em gelek kampanyayên bi paşperdeya Buhtrap re dibînin, û ew tê gotin ku ji hêla operatorên cihêreng ve têne rêve kirin. Di vê rewşê de, ciyawaziya sereke ev e ku derya paşîn rasterast di nav bîranînê de tê barkirin û nexşeya asayî ya bi pêvajoya bicihkirina DLL-ê ya ku me behs kir bikar tîne. . Wekî din, operatoran mifteya RC4 ya ku ji bo şîfrekirina seyrûsefera torê li servera C&C tê bikar anîn guhertin. Di piraniya kampanyayên ku me dîtiye de, operatoran guh nedan vê mifteyê.
Tevgera duyemîn, tevlihevtir ev bû ku URL-ya RSS.php derbasî barkerek din bû. Wê hin tevlihevî pêk anî, wekî ji nû ve avakirina tabloya importa dînamîkî. Armanca bootloader ew e ku bi servera C&C re têkilî daynin [.]com/api/F27F84EDA4D13B15/2, têketin bişînin û li benda bersivê bisekinin. Ew bersivê wekî blob dişoxilîne, wê di bîra xwe de bar dike û dimeşîne. Barkêşana ku me dît ku vê barkerê bi darve dike, heman paşperdeya Buhtrap bû, lê dibe ku pêkhateyên din jî hebin.
Android/Spy.Banker
Balkêş e, pêkhateyek ji bo Android-ê jî di depoya GitHub de hate dîtin. Ew tenê rojekê di şaxa sereke de bû - 1 Mijdar 2018. Ji bilî ku li ser GitHub hatî şandin, telemetrîya ESET ti delîlên belavkirina vê malware nabîne.
Parçeyek wekî Pakêtek Serlêdana Android (APK) hate mêvandar kirin. Ew bi giranî veşartî ye. Tevgera xerab di JARek şîfrekirî ya ku di APK-ê de ye veşartiye. Bi karanîna vê mifteyê bi RC4 ve hatî şîfre kirin:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Heman key û algorîtma ji bo şîfrekirina rêzan têne bikar anîn. JAR tê de ye APK_ROOT + image/files. Di 4 baytên yekem ên pelê de dirêjahiya JAR-a şîfrekirî heye, ku tavilê piştî qada dirêjbûnê dest pê dike.
Piştî ku pelê deşîfre kir, me kifş kir ku ew Anubis bû - berê banker ji bo Android. Malware xwedî taybetmendiyên jêrîn e:
- tomarkirina ji mîkrofonê
- kişandina dîmenan
- koordînatên GPS-ê digirin
- keylogger
- şîfrekirina daneya cîhazê û daxwaza fîdyeyê
- şandina spam
Balkêş e, banker Twitter wekî kanalek ragihandinê ya paşverû bikar anî da ku serverek din a C&C bistîne. Nimûneya ku me analîz kir hesabê @JonesTrader bikar anî, lê di dema analîzê de ew jixwe hate asteng kirin.
Banker navnîşek serîlêdanên armanc ên li ser cîhaza Android-ê vedigire. Ew ji navnîşa ku di lêkolîna Sophos de hatî wergirtin dirêjtir e. Di navnîşê de gelek serîlêdanên banking, bernameyên kirîna serhêl ên wekî Amazon û eBay, û karûbarên krîptoyê hene.
MSIL/ClipBanker.IH
Beşa paşîn a ku wekî beşek ji vê kampanyayê hate belav kirin, .NET Windows-ê ku di Adara 2019-an de xuya bû. Piraniya guhertoyên ku hatine xwendin bi ConfuserEx v1.0.0 re hatine pak kirin. Mîna ClipBanker, ev pêkhate klipboard bikar tîne. Armanca wî cûrbecûr pereyên krîptoyê ye, û hem jî pêşniyarên li ser Steam. Wekî din, ew karûbarê IP Logger bikar tîne da ku mifteya taybet a WIF ya Bitcoin dizîne.
Mekanîzmayên Parastinê
Ji bilî feydeyên ku ConfuserEx di pêşîlêgirtina debugkirin, avêtin, û destavêtinê de peyda dike, pêkhatî şiyana tespîtkirina hilberên antivirus û makîneyên virtual vedihewîne.
Ji bo verastkirina ku ew di makîneyek virtual de dimeşe, malware rêzika fermanê ya Windows WMI-ya çêkirî (WMIC) bikar tîne da ku agahdariya BIOS-ê bixwaze, bi navê:
wmic bios
Dûv re bername derketina fermanê pars dike û li peyvên sereke digere: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Ji bo tespîtkirina hilberên antivirus, malware daxwaznameyek Rêvebiriya Windows-ê (WMI) bi kar tîne ji Navenda Ewlekariya Windows-ê re dişîne ManagementObjectSearcher API wekî ku li jêr tê nîşandan. Piştî deşîfrekirina ji base64 bang wiha xuya dike:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Wêne 3. Pêvajoya naskirina berhemên antivirus.
Wekî din, malware kontrol dike ka gelo , amûrek ji bo parastina li hember êrişên clipboard-ê û, ger were xebitandin, di wê pêvajoyê de hemî mijarên rawestîne, bi vî rengî parastinê neçalak dike.
Li sersekinî
Guhertoya malware ya ku me lêkolîn kir, xwe tê de kopî dike %APPDATA%googleupdater.exe û ji bo pelrêça google taybetmendiya "veşartî" destnîşan dike. Piştre ew nirxê diguherîne SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell di qeyda Windows-ê de û rê lê zêde dike updater.exe. Bi vî rengî, her gava ku bikarhêner têkeve malware dê were darve kirin.
Reftara xerab
Mîna ClipBanker, malware naveroka pabloyê dişopîne û li navnîşanên berîka pereyê krîptoyê digere, û gava ku were dîtin, wê bi yek ji navnîşanên operatorê diguhezîne. Li jêr navnîşek navnîşanên armanc hene ku li gorî tiştê ku di kodê de tê dîtin.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Ji bo her celeb navnîşan birêkûpêkek birêkûpêk heye. Nirxa STEAM_URL ji bo êrişkirina pergala Steam-ê tê bikar anîn, wekî ku ji vegotina birêkûpêk a ku ji bo danasîna di tamponê de tê bikar anîn tê dîtin:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Kanala derxistinê
Digel veguheztina navnîşanên di tamponê de, malware mifteyên WIF yên taybet ên Bitcoin, Bitcoin Core û Electrum Bitcoin dike hedef. Bername plogger.org-ê wekî kanalek derxistinê bikar tîne da ku mifteya taybet a WIF-ê bistîne. Ji bo kirina vê yekê, operator daneyên mifteya taybet li sernavê HTTP-Agent-User lê zêde dikin, wekî ku li jêr tê xuyang kirin.
Wêne 4. Konsolê IP Logger bi daneyên encam.
Operatoran iplogger.org bikar neanîn da ku berîkan derxînin. Ew belkî ji ber sînorê 255 karakteran di zeviyê de serî li rêbazek cûda didin User-Agentdi navgîniya webê ya IP Logger de tê xuyang kirin. Di nimûneyên ku me lêkolîn kir de, servera hilberê ya din di guhêrbara jîngehê de hate hilanîn DiscordWebHook. Ecêb e, ev guhêrbara jîngehê li tu derê kodê nayê destnîşankirin. Ev destnîşan dike ku malware hîn jî di bin pêşkeftinê de ye û guhêrbar ji makîneya ceribandinê ya operatorê re tête destnîşan kirin.
Nîşanek din heye ku bername di pêşveçûnê de ye. Di pelê binaryê de du URL-yên iplogger.org hene, û dema ku dane têne derxistin her du jî têne pirsîn. Di daxwaznameya yek ji van URLan de, nirxa di qada Referer de bi "DEV /" tê pêş. Me di heman demê de guhertoyek ku bi karanîna ConfuserEx nehatiye pakij kirin jî dît, wergirê vê URL-ê navê wî DevFeedbackUrl ye. Li ser bingeha navê guhêrbar a hawîrdorê, em bawer dikin ku operator plan dikin ku karûbarê rewa Discord û pergala wê ya guheztina tevneyê bikar bînin da ku berîkên diravê krîptoyê bidizin.
encamê
Ev kampanya mînakek ji karanîna karûbarên reklamê yên rewa di êrîşên sîber de ye. Plan rêxistinên rûsî dike armanc, lê em ê şaş nebin ku êrîşek weha bi karanîna karûbarên ne-rûsî bibînin. Ji bo ku ji lihevkirinê dûr nekevin, pêdivî ye ku bikarhêner ji navûdengê çavkaniya nermalava ku ew dakêşin pê ewle bin.
Navnîşek bêkêmasî ya nîşaneyên lihevhatinê û taybetmendiyên MITER ATT&CK li vir heye .
Source: www.habr.com