Mba hikendry ny kaonty amin'ny fanafihana cyber, azonao atao ny mampiasa ny antontan-taratasy momba ny asa tadiaviny amin'ny Internet. Izany no ataon'ny vondrona cyber tato anatin'ny volana vitsivitsy izay, mizara ireo varavarana ambadika fantatra. и , ary koa ny encryptors sy ny logiciel fangalarana vola crypto. Ny ankamaroan'ny lasibatra dia any Rosia. Ny fanafihana dia natao tamin'ny alàlan'ny fametrahana dokam-barotra ratsy tao amin'ny Yandex.Direct. Ireo mety ho niharam-boina dia nalefa tany amin'ny tranonkala iray izay nangatahana azy ireo hisintona rakitra maloto saron-tava ho maodely antontan-taratasy. Nesorin'ny Yandex ilay dokambarotra ratsy taorian'ny fampitandremanay.
Ny kaody loharanon'i Buhtrap dia tafaporitsaka tamin'ny aterineto taloha ka azon'ny rehetra ampiasaina izany. Tsy manana fampahalalana momba ny fisian'ny kaody RTM izahay.
Amin'ity lahatsoratra ity dia holazainay aminao ny fomba nizaran'ireo mpanafika malware tamin'ny fampiasana Yandex.Direct ary nampiantrano azy tao amin'ny GitHub. Ny lahatsoratra dia hifarana amin'ny fanadihadiana ara-teknika momba ny malware.
Niverina niasa indray i Buhtrap sy RTM
Mekanisma fiparitahana sy ireo niharam-boina
Ny enta-mavesatra isan-karazany aterina amin'ireo niharam-boina dia manana rafitra fampielezam-peo iraisana. Ny rakitra ratsy rehetra noforonin'ireo mpanafika dia napetraka tao amin'ny tahiry GitHub roa samy hafa.
Amin'ny ankapobeny, misy rakitra maloto iray azo alaina ny tahiry, izay niova matetika. Satria ny GitHub dia mamela anao hijery ny tantaran'ny fiovana amin'ny tahiry iray, dia hitantsika hoe inona ny malware nozaraina nandritra ny fe-potoana iray. Mba handresen-dahatra ilay niharam-boina hisintona ilay rakitra maloto dia nampiasaina ny tranokala blanki-shabloni24[.]ru, aseho amin'ny sary etsy ambony.
Ny famolavolana ny tranokala sy ny anaran'ireo rakitra maloto rehetra dia manaraka foto-kevitra tokana - endrika, modely, fifanarahana, santionany, sns. Raha jerena fa ny rindrambaiko Buhtrap sy RTM dia efa nampiasaina tamin'ny fanafihana ny kaonty taloha, dia nihevitra izahay fa ny ny paikady amin'ny fampielezan-kevitra vaovao dia mitovy. Ny hany fanontaniana dia ny fomba nahatongavan'ilay niharam-boina tany amin'ny tranokalan'ireo mpanafika.
aretina
Farafaharatsiny, maro ireo mety ho tra-boina izay niafara tamin'ity tranokala ity no voasinton'ny dokam-barotra ratsy. Ity misy ohatra URL iray:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Araka ny hitanao amin'ny rohy dia navoaka tao amin'ny forum ara-dalàna bb.f2[.]kz ny sora-baventy. Zava-dehibe ny manamarika fa ny sora-baventy dia niseho tamin'ny tranonkala samihafa, samy nanana ny id fampielezan-kevitra (blanki_rsya) mitovy avokoa, ary ny ankamaroany dia mifandraika amin'ny sampan-draharaha momba ny kaonty na ny fanampiana ara-dalàna. Asehon'ny URL fa nampiasa ilay fangatahana “misintona taratasy faktiora” ilay olona mety ho tra-boina, izay manohana ny hevitray momba ny fanafihana nokendrena. Ireto ambany ireto ny tranokala nisehoan'ny sora-baventy sy ny fangatahana fikarohana mifandraika amin'izany.
- alaivo ny taratasy faktiora – bb.f2[.]kz
- fifanarahana santionany - Ipopen[.]ru
- santionany fitarainana fangatahana - 77metrov[.]ru
- endrika fifanarahana - blank-dogovor-kupli-prodazhi[.]ru
- santionany fanangonan-tsonia fitsarana - zen.yandex[.]ru
- santionany fitarainana - yurday[.]ru
- santionany taratasy fifanarahana – Regforum[.]ru
- endrika fifanarahana – assistentus [.]ru
- santionany fifanarahana trano - napravah [.]com
- santionan'ny fifanarahana ara-dalàna - avito[.]ru
Ny tranokala blanki-shabloni24[.]ru dia mety natsangana mba handalo fanombanana tsotra. Amin'ny ankapobeny, ny doka iray izay manondro tranonkala toa matihanina misy rohy mankany amin'ny GitHub dia toa tsy misy zavatra ratsy. Fanampin'izany, nampiakatra rakitra ratsy tao amin'ny tahiry ireo mpanafika nandritra ny fe-potoana voafetra ihany, angamba nandritra ny fampielezan-kevitra. Ny ankamaroan'ny fotoana, ny tahiry GitHub dia misy arisiva zip tsy misy na rakitra EXE banga. Noho izany, ireo mpanafika dia afaka mizara dokam-barotra amin'ny Yandex.Direct amin'ny tranokala izay azo inoana fa notsidihan'ny kaonty izay tonga ho valin'ny fangatahana fikarohana manokana.
Manaraka izany, andeha hojerentsika ireo entana isan-karazany zaraina amin'izany fomba izany.
Famakafakana Payload
Kronolojian'ny fizarana
Nanomboka tamin'ny faran'ny volana oktobra 2018 ny fampielezan-kevitra ratsy ary navitrika tamin'ny fotoana nanoratana. Koa satria hita ampahibemaso tao amin'ny GitHub ny tahiry manontolo, dia nanangona fandaharam-potoana marina momba ny fizarana fianakaviana malware enina samihafa izahay (jereo ny sary etsy ambany). Nanampy tsipika izahay mampiseho ny fotoana nahitana ny rohy sora-baventy, araka ny fandrefesana ny telemetry ESET, raha ampitahaina amin'ny tantara git. Araka ny hitanao dia mifandray tsara amin'ny fisian'ny karama ao amin'ny GitHub izany. Ny tsy fitovian-kevitra amin'ny faran'ny volana febroary dia azo hazavaina amin'ny hoe tsy nanana ampahany tamin'ny tantaran'ny fanovana isika satria nesorina tao amin'ny GitHub ny tahiry alohan'ny ahafahantsika mahazo azy feno.
Sary 1. Ny fizaran'ny fizarana malware.
Taratasy sonia kaody
Nampiasa mari-pankasitrahana marobe ny fanentanana. Ny sasany dia nosoniavin'ny fianakaviana malware mihoatra ny iray, izay manondro fa ny santionany samihafa dia an'ny fanentanana iray ihany. Na dia eo aza ny fisian'ny fanalahidy manokana, ny mpandraharaha dia tsy nanao sonia ny binary ary tsy nampiasa ny lakile ho an'ny santionany rehetra. Tamin'ny faramparan'ny Febroary 2019, nanomboka namorona sonia tsy mety ny mpanafika tamin'ny fampiasana taratasy fanamarinana an'ny Google izay tsy nananany ny fanalahidy manokana.
Ny taratasy fanamarinana rehetra tafiditra amin'ny fampielezan-kevitra sy ny fianakaviana malware soniavin'izy ireo dia voatanisa ao amin'ny tabilao etsy ambany.
Nampiasa ireo mari-pankasitrahana fanasoniavana kaody ireo ihany koa izahay mba hametrahana rohy amin'ireo fianakaviana malware hafa. Ho an'ny ankamaroan'ny mari-pankasitrahana dia tsy nahita santionany tsy nozaraina tamin'ny alàlan'ny tahiry GitHub izahay. Na izany aza, ny taratasy fanamarinana TOV "MARIYA" dia nampiasaina hanasonia ny malware an'ny botnet , adware ary mpitrandraka. Tsy azo inoana fa mifandray amin'ity fanentanana ity ity malware ity. Azo inoana fa novidina tamin'ny darknet ilay taratasy fanamarinana.
Win32/Filecoder.Buhtrap
Ny singa voalohany nisarika ny sainay dia ny Win32/Filecoder.Buhtrap vao hita. Ity dia rakitra binary Delphi izay misy fonosana indraindray. Nozaraina indrindra tamin’ny Febroary–Martsa 2019 izany. Mitondra tena mifanaraka amin'ny programa ransomware izy io - mikaroka ny kapila eo an-toerana sy ny lahatahiry tamba-jotra ary manidy ireo rakitra hita. Tsy mila fifandraisana Aterineto izy io raha te hikorontana satria tsy mifandray amin'ny mpizara handefa lakilen'ny encryption. Fa kosa, manampy "token" amin'ny faran'ny hafatra momba ny vidim-panavotana, ary manoro hevitra ny fampiasana mailaka na Bitmessage hifandraisana amin'ireo mpandraharaha.
Mba hanafenana loharano saro-pady betsaka araka izay azo atao, Filecoder.Buhtrap dia mitantana kofehy natao hanakanana ny rindrambaiko manan-danja izay mety manana mpitantana rakitra misokatra misy fampahalalana sarobidy izay mety hanelingelina ny fanafenana. Ny fizotry ny kendrena dia rafitra fitantanana angon-drakitra (DBMS) indrindra. Fanampin'izany, ny Filecoder.Buhtrap dia mamafa ny rakitra log sy ny backups mba hanasarotra kokoa ny fanarenana ny angona. Mba hanaovana izany, tanteraho ny script batch etsy ambany.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap dia mampiasa serivisy IP Logger ara-dalàna an-tserasera natao hanangonana vaovao momba ny mpitsidika tranonkala. Izany dia natao hanaraha-maso ireo niharam-boina tamin'ny ransomware, izay andraikitry ny andalana baiko:
mshta.exe "javascript:document.write('');"
Ny rakitra ho an'ny fanafenana dia voafantina raha tsy mifanaraka amin'ny lisitry ny fanilihana telo. Voalohany, ny rakitra miaraka amin'ireto fanitarana manaraka ireto dia tsy misy encryption: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ary .bat. Faharoa, voahilika avokoa ny rakitra rehetra misy ny lalana feno misy tady lahatahiry avy amin'ny lisitra etsy ambany.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Fahatelo, tsy tafiditra ao anatin'ny encryption koa ny anaran'ny rakitra sasany, anisan'izany ny anaran'ny rakitra misy ny hafatra momba ny vidim-panavotana. Ny lisitra dia aseho eto ambany. Mazava ho azy fa ireo maningana rehetra ireo dia natao hitazonana ny milina, saingy amin'ny fahamendrehana kely indrindra.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Rafitra fanafenana rakitra
Rehefa novonoina, ny malware dia mamorona mpivady fanalahidy RSA 512-bit. Ny exponent manokana (d) sy ny modulus (n) dia voarakotra miaraka amin'ny fanalahidin'ny daholobe 2048-bit (produit public sy modulus), feno zlib ary base64 voakodia. Ny kaody tompon'andraikitra amin'izany dia aseho amin'ny sary 2.
Sary 2. Vokatry ny famotsorana ny Hex-Rays amin'ny fizotry ny famoronana mpivady fanalahidy RSA 512-bit.
Ity ambany ity ny ohatra iray amin'ny lahatsoratra tsotra miaraka amin'ny fanalahidy manokana noforonina, izay famantarana mifatotra amin'ny hafatra momba ny vidim-panavotana.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Omena etsy ambany ny fanalahidin'ny mpanafika.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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
Ny rakitra dia voarakotra amin'ny AES-128-CBC miaraka amin'ny lakile 256-bit. Ho an'ny rakitra voafefy tsirairay dia misy lakile vaovao sy zezika fanombohana vaovao. Ny fampahalalana fototra dia ampiana amin'ny faran'ny rakitra miafina. Andeha hojerentsika ny endrik'ilay rakitra miafina.
Ny rakitra voasivana dia manana ity lohateny manaraka ity:
Ny angon-drakitra loharano miaraka amin'ny sanda majika VEGA dia voarakotra amin'ny 0x5000 bytes voalohany. Ny fampahalalana decryption rehetra dia mifamatotra amin'ny rakitra misy ity rafitra manaraka ity:
- Ny mari-pamantarana ny haben'ny rakitra dia misy marika manondro raha lehibe noho ny 0x5000 bita ny haben'ilay rakitra
- Blob lakile AES = ZlibCompress(RSAEncrypt(fanalahidy AES + IV, fanalahidin'ny daholobe amin'ny mpivady fanalahidy RSA novokarina))
- RSA clé blob = ZlibCompress(RSAEncrypt(voateraka RSA fanalahidy manokana, RSA voasokajy mafy))
Win32/ClipBanker
Win32/ClipBanker dia singa iray izay nozaraina tsindraindray nanomboka tamin'ny faran'ny Oktobra ka hatramin'ny voalohandohan'ny Desambra 2018. Ny anjara asany dia ny manara-maso ny votoatin'ny clipboard, mitady ny adiresin'ny poketra cryptocurrency. Rehefa avy namaritra ny adiresin'ny kitapom-bola kendrena, ny ClipBanker dia manolo izany amin'ny adiresy inoana fa an'ny mpandraharaha. Ny santionany nodinihinay dia sady tsy nofonosina baoritra no tsy nofonosina. Ny hany mekanika ampiasaina hanakonana ny fitondran-tena dia ny encryption string. Ny adiresin'ny kitapom-bolan'ny mpandraharaha dia voafehin'ny RC4. Ny kendrena cryptocurrencies dia Bitcoin, Bitcoin cash, Dogecoin, Ethereum ary Ripple.
Nandritra ny vanim-potoana niparitaka tamin'ny kitapom-bolan'ny Bitcoin mpanafika, dia nisy vola kely nalefa tany amin'ny VTS, izay mampisalasala ny fahombiazan'ny fanentanana. Fanampin'izany, tsy misy porofo milaza fa mifandray amin'ny ClipBanker mihitsy ireo fifampiraharahana ireo.
Win32/RTM
Ny singa Win32/RTM dia nozaraina nandritra ny andro maromaro tamin'ny fiandohan'ny volana martsa 2019. RTM dia banky Trojan voasoratra amin'ny Delphi, mikendry ny rafitra banky lavitra. Tamin'ny taona 2017, namoaka ny mpikaroka ESET amin'ity programa ity, mbola manan-danja ny famaritana. Tamin'ny Janoary 2019, navoaka ihany koa ny Palo Alto Networks .
Buhtrap Loader
Nandritra ny fotoana kelikely, nisy downloader iray hita tao amin'ny GitHub izay tsy mitovy amin'ny fitaovana Buhtrap teo aloha. Mitodika any amin'ny https://94.100.18[.]67/RSS.php?<some_id> mba hahazoana ny dingana manaraka sy hampiditra azy mivantana ao amin'ny fitadidiana. Afaka manavaka fitondran-tena roa amin'ny fehezan-dalàna dingana faharoa isika. Ao amin'ny URL voalohany, RSS.php nandalo mivantana ny Buhtrap backdoor - ity backdoor ity dia tena mitovy amin'ilay misy taorian'ny nivoahan'ny code source.
Mahavariana fa mahita fanentanana maromaro miaraka amin'ny varavarana ambadiky ny Buhtrap isika, ary voalaza fa ataon'ny mpandraharaha samihafa izy ireo. Amin'ity tranga ity, ny fahasamihafana lehibe dia ny backdoor dia entina mivantana ao anaty fitadidiana ary tsy mampiasa ny rafitra mahazatra miaraka amin'ny fizotran'ny fametrahana DLL izay noresahintsika. . Ankoatr'izay, nanova ny fanalahidin'ny RC4 nampiasaina hanodinana ny fifamoivoizana amin'ny tambajotra amin'ny mpizara C&C ireo mpandraharaha. Tamin'ny ankamaroan'ny fampielezan-kevitra hitanay, dia tsy niraharaha ny fanovana io fanalahidy io ny mpandraharaha.
Ny fihetsika faharoa, sarotra kokoa dia ny nampitaina tamin'ny mpanondrana hafa ny URL RSS.php. Nametraka fanakorontanana, toy ny fanamboarana indray ny latabatra fanafarana mavitrika. Ny tanjon'ny bootloader dia ny hifandray amin'ny mpizara C&C [.]com/api/F27F84EDA4D13B15/2, alefaso ny diary ary miandry valiny. Izy io dia manodina ny valinteny ho toy ny blob, mampiditra azy ao anaty fitadidiana ary manatanteraka azy. Ny enta-mavesatra hitanay manatanteraka an'ity mpanentana ity dia ny varavarana ambadika Buhtrap ihany, saingy mety misy singa hafa.
Android/Spy.Banker
Mahaliana fa nisy singa iray ho an'ny Android hita tao amin'ny tahiry GitHub. Iray andro monja izy no tao amin'ny sampana lehibe - 1 Novambra 2018. Ankoatra ny navoaka tao amin'ny GitHub, ny telemetry ESET dia tsy mahita porofo amin'ny fizarana ity malware ity.
Ny singa dia nampiantranoana ho Android Application Package (APK). Saron-tava be. Ny fitondran-tena ratsy dia miafina ao amin'ny JAR miafina hita ao amin'ny APK. Izy io dia voarakotra amin'ny RC4 mampiasa ity fanalahidy ity:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Ny fanalahidy sy algorithm mitovy ihany no ampiasaina amin'ny encryption ny tady. JAR dia ao amin'ny APK_ROOT + image/files. Ny 4 bytes voalohany amin'ny rakitra dia misy ny halavan'ny JAR voa-encrypt, izay manomboka avy hatrany aorian'ny saha lava.
Rehefa novakianay ilay rakitra dia hitanay fa Anubis io - taloha banky ho an'ny Android. Ny malware dia manana ireto endri-javatra manaraka ireto:
- firaketana mikrô
- maka pikantsary
- mahazo koordinate GPS
- keylogger
- fanafenana angon-drakitra sy fangatahana vidim-panavotana
- mandefa spam
Mahaliana fa nampiasa Twitter ho toy ny fantsom-pifandraisana backup ilay banky mba hahazoana mpizara C&C hafa. Ny santionany nodinihinay dia nampiasa ny kaonty @JonesTrader, saingy tamin'ny fotoana nanaovana fanadihadiana dia efa voasakana izany.
Ny banky dia misy lisitry ny rindranasa kendrena amin'ny fitaovana Android. Lava kokoa noho ny lisitra azo tamin'ny fianarana Sophos izany. Ny lisitra dia ahitana fampiharana banky maro, programa fiantsenana an-tserasera toy ny Amazon sy eBay, ary serivisy cryptocurrency.
MSIL/ClipBanker.IH
Ny singa farany nozaraina tamin'ity fanentanana ity dia ny .NET Windows executable, izay niseho tamin'ny martsa 2019. Ny ankamaroan'ny dikan-teny nodinihina dia nofonosina tamin'ny ConfuserEx v1.0.0. Tahaka ny ClipBanker, ity singa ity dia mampiasa ny takelaka. Ny tanjony dia karazana cryptocurrencies, ary koa ny tolotra amin'ny Steam. Fanampin'izany, mampiasa ny serivisy IP Logger izy hangalatra ny lakilen'ny WIF manokana Bitcoin.
Mekanisma fiarovana
Ho fanampin'ny tombontsoa omen'ny ConfuserEx amin'ny fisorohana ny debugging, ny fanariana ary ny fanodinkodinana, ny singa dia ahitana ny fahafahana mamantatra ny vokatra antivirus sy ny milina virtoaly.
Mba hanamarinana fa mandeha amin'ny milina virtoaly izy io, ny malware dia mampiasa ny baikon'ny baikon'ny Windows WMI naorina (WMIC) mba hangataka fampahalalana BIOS, izany hoe:
wmic bios
Avy eo ny programa dia mamadika ny famoahana baiko ary mitady teny fanalahidy: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Mba hamantarana ny vokatra antivirus, ny malware dia mandefa fangatahana Windows Management Instrumentation (WMI) amin'ny Windows Security Center mampiasa ManagementObjectSearcher API araka ny aseho eto ambany. Rehefa avy decoding avy amin'ny base64 dia toa izao ny antso:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Sary 3. Fomba hamantarana ny vokatra antivirus.
Ankoatr'izay, ny malware dia manamarina raha , fitaovana iray hiarovana amin'ny fanafihan'ny clipboard ary, raha mihazakazaka, dia mampiato ny kofehy rehetra ao anatin'izany dingana izany, ka manakana ny fiarovana.
ny fikirizana
Ny dikan'ny malware izay nianarantsika dia mandika ny tenany %APPDATA%googleupdater.exe ary mametraka ny toetra "miafina" ho an'ny lahatahiry google. Avy eo dia manova ny sandany izy SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell ao amin'ny rejisitra Windows ary ampio ny lalana updater.exe. Amin'izany fomba izany, ny malware dia hovonoina isaky ny miditra ny mpampiasa.
Fitondran-dratsy
Tahaka ny ClipBanker, ny malware dia manara-maso ny votoatin'ny takelaka ary mitady ny adiresin'ny poketra cryptocurrency, ary rehefa hita dia manolo izany amin'ny iray amin'ireo adiresin'ny mpandraharaha. Ity ambany ity ny lisitry ny adiresy kendrena mifototra amin'izay hita ao amin'ny code.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Ho an'ny karazana adiresy tsirairay dia misy fomba fiteny mahazatra mifanaraka amin'izany. Ny sanda STEAM_URL dia ampiasaina hanafika ny rafitra Steam, araka ny hita amin'ny fomba fiteny mahazatra izay ampiasaina hamaritana ao amin'ny buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Fantsona exfiltration
Ankoatra ny fanoloana adiresy ao amin'ny buffer, ny malware dia mikendry ny fanalahidin'ny WIF manokana an'ny Bitcoin, Bitcoin Core ary Electrum Bitcoin poketra. Ny programa dia mampiasa plogger.org ho fantsona exfiltration hahazoana ny fanalahidy manokana WIF. Mba hanaovana izany, ny mpandraharaha dia manampy angon-drakitra manokana amin'ny lohatenin'ny User-Agent HTTP, araka ny aseho etsy ambany.
Sary 4. Console IP Logger miaraka amin'ny angona mivoaka.
Tsy nampiasa iplogger.org ny operatera mba handroahana poketra. Mety nampiasa fomba hafa izy ireo noho ny fetran'ny tarehintsoratra 255 eo amin'ny saha User-Agentaseho ao amin'ny interface Internet IP Logger. Ao amin'ny santionany nodinihinay, ny mpizara vokatra hafa dia voatahiry ao amin'ny fari-piainan'ny tontolo iainana DiscordWebHook. Mahagaga fa tsy voatendry na aiza na aiza ao amin'ny kaody ity fari-piainan'ny tontolo iainana ity. Midika izany fa mbola eo an-dalam-pandrosoana ny malware ary apetraka amin'ny milina andrana ataon'ny mpandraharaha ny fari-piadidiana.
Misy famantarana iray hafa fa eo amin'ny fampandrosoana ny programa. Ny rakitra binary dia misy URL roa iplogger.org, ary samy anontaniana izy roa rehefa mivoaka ny angona. Amin'ny fangatahana amin'ny iray amin'ireo URL ireo, ny sanda ao amin'ny saha Referer dia ialohavan'ny "DEV /". Nahita dikan-teny tsy nofonosina tamin'ny fampiasana ConfuserEx ihany koa izahay, DevFeedbackUrl ny mpandray an'ity URL ity. Miorina amin'ny anaran'ny fari-piainan'ny tontolo iainana, mino izahay fa mikasa ny hampiasa ny serivisy ara-dalàna Discord sy ny rafitra fisakanana amin'ny Internet ny mpandraharaha mba hangalatra ny poketra cryptocurrency.
famaranana
Ity fanentanana ity dia ohatra iray amin'ny fampiasana serivisy dokam-barotra ara-dalàna amin'ny fanafihana an-tserasera. Ny tetika dia mikendry ireo fikambanana Rosiana, saingy tsy ho gaga isika raha mahita fanafihana toy izany amin'ny fampiasana serivisy tsy Rosiana. Mba hisorohana ny marimaritra iraisana, ny mpampiasa dia tsy maintsy matoky ny lazan'ny loharanon'ny rindrambaiko alaina.
Misy lisitra feno amin'ny tondro MITRE ATT&CK momba ny marimaritra iraisana sy ny toetra .
Source: www.habr.com