Продължаваща кампания за злонамерена реклама в Google разпространява инсталатори на зловреден софтуер, които използват технологията за виртуализация KoiVM, за да избегнат откриването при инсталирането на устройството за кражба на данни Formbook.

KoiVM е плъгин за защитника ConfuserEx .NET, който замазва операционните кодове на програмата, така че виртуалната машина да разбира само тях. След това, когато бъде стартирана, виртуалната машина превежда опкодовете обратно в оригиналната им форма, така че приложението да може да бъде изпълнено.

„Рамките за виртуализация, като например KoiVM, замаскират изпълнимите файлове, като заменят оригиналния код, например инструкциите на NET Common Intermediate Language (CIL), с виртуализиран код, който е разбираем само за рамката за виртуализация“, се обяснява в нов доклад на SentinelLabs.

„Двигателят на виртуалната машина изпълнява виртуализирания код, като го превежда в оригиналния код по време на изпълнение.“
„Когато се използва за злонамерени цели, виртуализацията прави анализа на зловредния софтуер труден и също така представлява опит за избягване на механизмите за статичен анализ.“
В рекламната кампания в Google, забелязана от Sentinel Labs, извършителите прокарват зловредния софтуер Formbook, крадящ информация, като виртуализирани .NET товарачи, наречени „MalVirt“, които помагат за разпространението на крайния полезен товар, без да задействат антивирусни предупреждения.

От Sentinel Labs коментират, че макар виртуализацията KoiVM да е популярна за хакерски инструменти и кракове, тя рядко се използва при разпространението на зловреден софтуер.

Вместо това фирмата за сигурност смята, че новата тенденция в използването й може да е един от многобройните странични ефекти от деактивирането на макросите в Office от страна на Microsoft.

Злоупотреба с реклами за търсене в Google

През последния месец изследователите са забелязали засилена злоупотреба с реклами за търсене в Google за разпространение на различни зловредни програми, включително RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys stealer, IcedID, Raccoon Stealer и много други.

В продължаващата кампания, наблюдавана от SentinelLabs, хакерите прокарват зареждащите устройства MalVirt в реклами, представящи се за реклами на 3D софтуера Blender.

Изтеглянията, предлагани от тези фалшиви сайтове, използват невалидни цифрови подписи, представящи се за Microsoft, Acer, DigiCert, Sectigo и AVG Technologies USA.

Въпреки че тези невалидни подписи няма да заблудят Windows да ги покаже като подписани, MalVirt зареждащите програми все още разполагат с функции за избягване на откриването им.

„Например, някои образци поправят функцията AmsiScanBuffer, имплементирана в amsi.dll, за да заобиколят интерфейса Anti Malware Scan Interface (AMSI), който открива злонамерени PowerShell команди“, обяснява изследователят А. Миленкоски.

„Освен това, в опит да се заобиколят механизмите за статично откриване, някои низове (като amsi.dll и AmsiScanBuffer) са кодирани по Base-64 и криптирани по AES.“

Зареждащите устройства могат също така да открият дали се изпълняват във виртуализирана среда, като правят запитване за определени ключове от регистъра, и ако това е така, изпълнението се прекратява, за да се избегне анализ.

MalVirt използва и подписан драйвер на Microsoft Process Explorer, който се зарежда при стартиране на системата като „TaskKill“, което му позволява да модифицира изпълняваните процеси, за да избегне откриване.

За да избегнат и декомпилирането на виртуализирания код, зареждащите програми използват и модифицирана версия на KoiVM, която разполага с допълнителни слоеве за обфускация, което прави дешифрирането ѝ още по-трудно.

SentinelLabs твърди, че тази персонализирана реализация на KoiVM обърква стандартните рамки за девиртуализация като „OldRod“, като замаскира своята процедура чрез аритметични операции, вместо да използва прости присвоявания.

Миленкоски казва, че е възможно да се преодолее обфускацията в тези MalVirt зареждащи програми и да се възстанови първоначалният ред на 119-те постоянни променливи на KoiVM.

Допълнителната обфускация обаче го прави трудно, изисквайки сериозен ръчен труд, тъй като съществуващите автоматизирани инструменти не могат да помогнат.

Скриване на инфраструктурата

В допълнение към всички системи за избягване на откриването, използвани в зареждащото устройство на зловредния софтуер, самият Formbook използва нов трик, който помага да се прикрие реалният му C2 (команден и контролен) трафик и IP адреси.

Зловредният софтуер за кражба на информация смесва реалния си трафик с различни „димни“ HTTP заявки, чието съдържание е криптирано и кодирано, за да не се открояват.

Зловредният софтуер комуникира с тези IP адреси на случаен принцип, като ги избира от твърдо кодиран списък с домейни, хоствани от различни компании.

SentinelLabs твърди, че в пробите, които е анализирала, е видяла, че Formbook комуникира със 17 домейна, като само един от тях е бил действителният C2 сървър, а останалите са служили само като примамки за объркване на инструментите за наблюдение на мрежовия трафик.
Това е нова система на доста стар щам на зловреден софтуер, което показва, че операторите му се интересуват от това да го снабдят с нови функции, които ще го направят по-добър в това да остане скрит от инструментите за сигурност и анализаторите.

Дали хакерите са прехвърлили изцяло разпространението на зловредния код Formbook към реклами за търсене в Google, предстои да разберем, но това е още един пример, че потребителите трябва много да внимават за връзките, върху които щракват в резултатите от търсенето.

Източник: SentinelLabs