«Лаборатория Касперского» выпустила серию материалов про различные любопытные тактики, применяемые наиболее опасными современными троянами. Суммируем информацию о трех главных угрозах.
Первое. КБ-исследователи из компании Cofense обнаружили фишинговую кампанию, в рамках которой злоумышленники рассылают банковский троян TrickBot через Google Docs, обходя почтовые фильтры.
Для этого мошенники создали в онлайн-редакторе страницу, содержащую поддельное сообщение об ошибке 404 и призыв перейти по ссылке для загрузки файла. В сообщении, отправленном через легитимный инструмент «Поделиться по электронной почте», они уточняли у адресата, получил ли тот документы, и призывали перейти на фишинговую страницу для загрузки файла.
По данным исследователей, TrickBot начал перехватывать трафик для страницы входа в Verizon Wireless 5 августа 2019 года , тогда же он начал добавлять два новых поля для ввода PIN-кода к стандартной форме входа Verizon. Эту модификацию легко не заметить, хотя Verizon обычно не запрашивает PIN-код для своего веб-сайта.
Совсем недавно, в конце июля 2019 года эксперты АКБ рассказывали про еще одно усовершенствование банковского трояна TrickBot: теперь он в реальном времени отключает Защитник Windows, для чего использует по ситуации одну из 13 (!) отмычек. До ого очередная версия TrickBot начала собирать учетные данные электронной почты и контактов из ящиков жертвы, а также рассылать вредоносный спам с ее адреса. С 2016 года вредонос претерпел кардинальные преобразования: изначально он был нацелен только на кражу финансовых данных, к 2018 году список мишеней TrickBot пополнился криптобиржами, а более современные версии зловреда умеют воровать учетные данные к службам удаленного доступа.
Как сообщают эксперты, в том случае, если получатель не распознавал фишинговую атаку, то попадал на импровизированный лендинг с вредоносной ссылкой. Перейдя по ней, вместо обещанного документа жертва скачивала исполняемые файлы TrickBot, замаскированные под PDF-документ.
Попав на устройство, зловред добавлял свои копии в папки C:\ProgramData и C:\Users\REM\AppData\Roaming\speedLan, а также создавал в Планировщике задач задание по запуску дубликатов каждые 11 минут и при загрузке ОС. Помимо того, троян внедрялся в память процесса svchost.exe.
Второе. Операторы трояна Astaroth также использовали новую технику, чтобы проникать на компьютеры жертв в обход защитных систем. Как выяснил ИБ-исследователь Марсель Афраим (Marcel Afrahim), злоумышленники взяли на вооружение службу Cloudflare Workers, легитимное онлайн-решение для работы с JavaScript.
Облачный провайдер Cloudflare продвигает сервис как возможность эффективно выполнять код в любой точке мира без забот о сопутствующей инфраструктуре. Злоумышленники же обратили внимание на то, что при обработке скриптов система возвращает результат через случайные URL. Это позволяло преступникам доставлять полезную нагрузку через множество адресов и избегать блокировки. На момент публикации Cloudflare закрыла возможность атаки.
Атака Astaroth происходит следующим образом: вы получаете e-mail с упакованным в архив файлом-ярлыком. Его ссылка содержит обфусцированную команду для запуска JS-скрипта на удаленном сервере. Выполнение сценария инициируется при помощи системной утилиты wmic.exe, что затрудняет обнаружение вредоносной активности защитными сканерами. Используя тот же инструмент, вредоносное ПО собирает сведения о геолокации инфицированной машины и передает их злоумышленникам.
Далее в ходе атаки Astaroth получает полезную нагрузку с другого командного сервера. С этой целью JS-сценарий трояна задействует легитимную программу BITSAdmin, предназначенную для загрузки обновлений Windows. Зловред доставляет на компьютер двенадцать файлов, замаскированных под изображения JPG и GIF, или же вообще не имеющих расширения. Все эти загадочные файлы-диверсанты предназначены для сбора системной информации, а также кражи логинов и паролей.
На первом этапе атаки жертва получала фишинговое письмо с HTML-файлом во вложении. В его коде Афраим обнаружил обфусцированный JavaScript-сценарий, который загружал JSON-объект с удаленного сервера, упаковывал его в ZIP-файл и разворачивал полученный результат на целевой машине.
Исследователь подчеркивает, что в каждом случае на компьютер попадал новый архив, который создавался динамически, исходя из особенностей пораженного устройства. Это позволяло преступникам использовать один управляющий узел для запуска множества параллельных кампаний и обходить ограничения на загрузку файлов. Кроме того, злоумышленники таким образом избегали антивирусных песочниц. При попадании на 32-битную машину (а это, как правило, виртуализированные среды) доставка полезной нагрузки блокировалась.
Внутри ZIP-архива находилась ссылка, ведущая на панель Cloudflare Workers, где и размещался вредоносный скрипт. Именно этот URL менялся от кампании к кампании. По подсчетам Афраима, организаторы кампании использовали 10 узлов Cloudflare Workers, что позволяло им создать около 900 млн уникальных ссылок.
После загрузки сценария он выполнялся через Windows Script Host. В результате на пользовательскую машину доставлялась финальная полезная нагрузка — вредоносная DLL-библиотека, известная экспертам как Astaroth.
Третье. Операторы шифровальщика Sodinokibi также продвигают его через фальшивые веб-страницы, которые они разворачивают на взломанных WordPress-сайтах методом оверлея. Об угрозе сообщил в Twitter независимый КБ-эксперт под ником @SecurityAura. По его данным, преступники внедряют в HTML-код ресурса JavaScript-сценарий, который меняет оформление и контент страницы на окно интернет-форума.
Содержание постов при этом подгоняется под тему атакованного сайта — некий пользователь якобы интересуется вопросом, который освещается на взломанной странице, «администратор» дает ему ссылку на нужный материал. Для большей убедительности злоумышленники сочинили несколько последующих постов с благодарностями за помощь.
В июле 2019 года «Лаборатория Касперского» нашла еще один умный вирус — шифровальщик Sodin aka Sodinokibi и REvil, который использует нестандартную технику уклонения от анализа и обнаружения. Чтобы обойти защитные решения, Sodin использует легитимные функции процессора. Применяемая зловредом техника «Небесные врата» (Heaven’s Gate) позволяет выполнять 64-разрядный код в 32-разрядном адресном пространстве процесса (!), что затрудняет анализ и своевременное обнаружение вредоносного кода.
На самом деле приведенный URL ведет на архив с загрузчиком вымогателя Sodinokibi. Название файла, как и наименование JavaScript-зловреда внутри, совпадает с темой страницы, на которой размещен ложный форум. Если жертва открывает архив, программа соединяется с удаленным сервером и получает оттуда зашифрованный пакет данных.
Он превращается в GIF-файл со встроенной PowerShell-командой. Ее выполнение запускает библиотеку Sodinokibi и блокирует пользовательские данные. Параллельно зловред удаляет теневые тома Windows, чтобы затруднить восстановление информации.
Эксперты отмечают, что, хотя вредоносный JavaScript-компонент неизменно загружается на взломанных ресурсах, атакам подвергаются не все пользователи. Фальшивое содержимое появляется, только если посетитель заходит на сайт в первый раз. При обновлении на экране отображается настоящая страница, и это определенно новая тактика в мире троянов.
Читайте также по этой теме на АКБ:
Просто конь, проходите мимо: обновленный троян Dridex невидим для антивирусов
Бесфайловый троян Astaroth атакует компьютер из его же памяти
Рил ток, синк эбаут ит: Android-троян Riltok из России пошел захватывать мир
