Продължаваща кампания за злонамерена реклама в Google разпространява инсталатори на зловреден софтуер, които използват технологията за виртуализация KoiVM, за да избегнат откриването при инсталирането на устройството за кражба на данни Formbook.
KoiVM е плъгин за защитника ConfuserEx .NET, който замазва операционните кодове на програмата, така че виртуалната машина да разбира само тях. След това, когато бъде стартирана, виртуалната машина превежда опкодовете обратно в оригиналната им форма, така че приложението да може да бъде изпълнено.
„Рамките за виртуализация, като например KoiVM, замаскират изпълнимите файлове, като заменят оригиналния код, например инструкциите на NET Common Intermediate Language (CIL), с виртуализиран код, който е разбираем само за рамката за виртуализация“, се обяснява в нов доклад на SentinelLabs.
„Двигателят на виртуалната машина изпълнява виртуализирания код, като го превежда в оригиналния код по време на изпълнение.“
„Когато се използва за злонамерени цели, виртуализацията прави анализа на зловредния софтуер труден и също така представлява опит за избягване на механизмите за статичен анализ.“
В рекламната кампания в Google, забелязана от Sentinel Labs, извършителите прокарват зловредния софтуер Formbook, крадящ информация, като виртуализирани .NET товарачи, наречени „MalVirt“, които помагат за разпространението на крайния полезен товар, без да задействат антивирусни предупреждения.
От Sentinel Labs коментират, че макар виртуализацията KoiVM да е популярна за хакерски инструменти и кракове, тя рядко се използва при разпространението на зловреден софтуер.
Вместо това фирмата за сигурност смята, че новата тенденция в използването й може да е един от многобройните странични ефекти от деактивирането на макросите в Office от страна на Microsoft.
През последния месец изследователите са забелязали засилена злоупотреба с реклами за търсене в Google за разпространение на различни зловредни програми, включително RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys stealer, IcedID, Raccoon Stealer и много други.
В продължаващата кампания, наблюдавана от SentinelLabs, хакерите прокарват зареждащите устройства MalVirt в реклами, представящи се за реклами на 3D софтуера Blender.
Изтеглянията, предлагани от тези фалшиви сайтове, използват невалидни цифрови подписи, представящи се за Microsoft, Acer, DigiCert, Sectigo и AVG Technologies USA.
Въпреки че тези невалидни подписи няма да заблудят Windows да ги покаже като подписани, MalVirt зареждащите програми все още разполагат с функции за избягване на откриването им.
„Например, някои образци поправят функцията AmsiScanBuffer, имплементирана в amsi.dll, за да заобиколят интерфейса Anti Malware Scan Interface (AMSI), който открива злонамерени PowerShell команди“, обяснява изследователят А. Миленкоски.
„Освен това, в опит да се заобиколят механизмите за статично откриване, някои низове (като amsi.dll и AmsiScanBuffer) са кодирани по Base-64 и криптирани по AES.“
Зареждащите устройства могат също така да открият дали се изпълняват във виртуализирана среда, като правят запитване за определени ключове от регистъра, и ако това е така, изпълнението се прекратява, за да се избегне анализ.
MalVirt използва и подписан драйвер на Microsoft Process Explorer, който се зарежда при стартиране на системата като „TaskKill“, което му позволява да модифицира изпълняваните процеси, за да избегне откриване.
За да избегнат и декомпилирането на виртуализирания код, зареждащите програми използват и модифицирана версия на KoiVM, която разполага с допълнителни слоеве за обфускация, което прави дешифрирането ѝ още по-трудно.
SentinelLabs твърди, че тази персонализирана реализация на KoiVM обърква стандартните рамки за девиртуализация като „OldRod“, като замаскира своята процедура чрез аритметични операции, вместо да използва прости присвоявания.
Миленкоски казва, че е възможно да се преодолее обфускацията в тези MalVirt зареждащи програми и да се възстанови първоначалният ред на 119-те постоянни променливи на KoiVM.
Допълнителната обфускация обаче го прави трудно, изисквайки сериозен ръчен труд, тъй като съществуващите автоматизирани инструменти не могат да помогнат.
В допълнение към всички системи за избягване на откриването, използвани в зареждащото устройство на зловредния софтуер, самият Formbook използва нов трик, който помага да се прикрие реалният му C2 (команден и контролен) трафик и IP адреси.
Зловредният софтуер за кражба на информация смесва реалния си трафик с различни „димни“ HTTP заявки, чието съдържание е криптирано и кодирано, за да не се открояват.
Зловредният софтуер комуникира с тези IP адреси на случаен принцип, като ги избира от твърдо кодиран списък с домейни, хоствани от различни компании.
SentinelLabs твърди, че в пробите, които е анализирала, е видяла, че Formbook комуникира със 17 домейна, като само един от тях е бил действителният C2 сървър, а останалите са служили само като примамки за объркване на инструментите за наблюдение на мрежовия трафик.
Това е нова система на доста стар щам на зловреден софтуер, което показва, че операторите му се интересуват от това да го снабдят с нови функции, които ще го направят по-добър в това да остане скрит от инструментите за сигурност и анализаторите.
Дали хакерите са прехвърлили изцяло разпространението на зловредния код Formbook към реклами за търсене в Google, предстои да разберем, но това е още един пример, че потребителите трябва много да внимават за връзките, върху които щракват в резултатите от търсенето.
Източник: SentinelLabs
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
