Установено е, че в неотдавнашна кампания за зловреден софтуер е използван даунлоудърът Satacom като канал за внедряване на скрит зловреден софтуер, който може да извлича криптовалута, като използва измамно разширение за браузъри, базирани на Chromium.

„Основната цел на зловредния софтуер, който се пуска от Satacom downloader, е да открадне BTC от сметката на жертвата, като извършва уеб инжекции в целеви уебсайтове за криптовалута“, заявиха изследователите на Kaspersky Хаим Зигел и Олег Купреев.

Целите на кампанията включват потребители на Coinbase, Bybit, KuCoin, Huobi и Binance, намиращи се предимно в Бразилия, Алжир, Турция, Виетнам, Индонезия, Индия, Египет и Мексико.

Satacom downloader, наричан още Legion Loader, се появи за първи път през 2019 г. като дропър за следващите етапи на полезния товар, включително крадци на информация и миньори на криптовалути.

Веригите на заразяване, включващи зловредния софтуер, започват, когато потребителите, търсещи кракнат софтуер, се пренасочват към фалшиви уебсайтове, които хостват ZIP архивни файлове, съдържащи зловредния софтуер.

„За разпространението на зловредния софтуер се използват различни видове уебсайтове“, обясняват изследователите. „Някои от тях са злонамерени уебсайтове с твърдо кодирана връзка за изтегляне, докато при други бутонът „Изтегляне“ е инжектиран чрез легитимен рекламен плъгин.“

В архивния файл присъства изпълним файл, наречен „Setup.exe“, който е с размер около 5 MB, но е раздут до около 450 MB с нулеви байтове в опит да се избегне анализ и откриване.

Стартирането на бинарния файл инициира рутинната процедура на зловредния софтуер, която завършва с изпълнението на програмата за изтегляне на Satacom, която на свой ред използва DNS заявки като метод за командване и управление (C2), за да извлече URL адреса, на който се намира действителният зловреден софтуер.

Документираната от Kaspersky кампания води до скрипт на PowerShell, който изтегля добавката за браузъра от отдалечен сървър на трета страна. Той също така търси файлове с преки пътища на браузъра (.LNK) в компрометирания хост и модифицира параметъра „Target“ с флага „–load-extension“, за да стартира браузъра с изтегленото разширение.

 

Нещо повече, добавката се маскира като разширение на Google Drive и използва уеб инжекции, изпратени от сървъра C2, когато жертвата посещава един от целевите уебсайтове за криптовалути, за да манипулира съдържанието и да открадне криптовалути.

Адресът на C2 е скрит в полетата script и addr на последната транзакция с биткойн, свързана с адреса на портфейла, контролиран от извършителя, като се използва същата техника като при зловредния софтуер за ботнет Glupteba, за да се заобиколят блокадите или свалянето на домейни.

„Разширението извършва различни действия по сметката, за да я контролира дистанционно с помощта на скриптове за уеб инжектиране, и накрая разширението се опитва да изтегли валутата BTC в портфейла на авторите на заплахата“, казват изследователите.

В допълнителен опит за прикриване на дейността си зловредното разширение съдържа скриптове за прикриване на имейл потвърждението на измамната транзакция в услугите на Gmail, Hotmail и Yahoo! чрез инжектиране на HTML код.

Последица от това инжектиране е, че жертвата не знае, че е извършен незаконен трансфер към портфейла на  заплахата. Друг забележителен аспект на добавката е способността ѝ да извлича системни метаданни, бисквитки, история на браузъра, скрийншоти на отворените табове и дори да получава команди от C2 сървъра.

„Разширението може да актуализира функционалността си благодарение на използваната техника за извличане на C2 сървъра чрез последната транзакция на конкретен BTC портфейл, която може да бъде променена по всяко време чрез извършване на друга транзакция към този портфейл“, казват изследователите.

„Това позволява на киберпрестъпниците да променят URL адреса на домейна на друг, в случай че той е забранен или блокиран от антивирусните доставчици.“

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
Бъдете социални
Още по темата
21/01/2025

ИИ в киберсигурността: 20 г...

Изкуственият интелект се превърна в ключов...
17/01/2025

DORA: Провеждане на тестове...

Международният валутен фонд изчислява, че през...
17/01/2025

CISO работят по-усилено от ...

CISO съобщават, че обхватът на тяхната...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!