Търсене
Close this search box.

Google Ads популяризира „виртуализиран“ зловреден софтуер

Продължаваща кампания за злонамерена реклама в Google разпространява инсталатори на зловреден софтуер, които използват технологията за виртуализация KoiVM, за да избегнат откриването при инсталирането на устройството за кражба на данни Formbook.

KoiVM е плъгин за защитника ConfuserEx .NET, който замазва операционните кодове на програмата, така че виртуалната машина да разбира само тях. След това, когато бъде стартирана, виртуалната машина превежда опкодовете обратно в оригиналната им форма, така че приложението да може да бъде изпълнено.

„Рамките за виртуализация, като например KoiVM, замаскират изпълнимите файлове, като заменят оригиналния код, например инструкциите на NET Common Intermediate Language (CIL), с виртуализиран код, който е разбираем само за рамката за виртуализация“, се обяснява в нов доклад на SentinelLabs.

„Двигателят на виртуалната машина изпълнява виртуализирания код, като го превежда в оригиналния код по време на изпълнение.“
„Когато се използва за злонамерени цели, виртуализацията прави анализа на зловредния софтуер труден и също така представлява опит за избягване на механизмите за статичен анализ.“
В рекламната кампания в Google, забелязана от Sentinel Labs, извършителите прокарват зловредния софтуер Formbook, крадящ информация, като виртуализирани .NET товарачи, наречени „MalVirt“, които помагат за разпространението на крайния полезен товар, без да задействат антивирусни предупреждения.

От Sentinel Labs коментират, че макар виртуализацията KoiVM да е популярна за хакерски инструменти и кракове, тя рядко се използва при разпространението на зловреден софтуер.

Вместо това фирмата за сигурност смята, че новата тенденция в използването й може да е един от многобройните странични ефекти от деактивирането на макросите в Office от страна на Microsoft.

Злоупотреба с реклами за търсене в Google

През последния месец изследователите са забелязали засилена злоупотреба с реклами за търсене в Google за разпространение на различни зловредни програми, включително RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys stealer, IcedID, Raccoon Stealer и много други.

В продължаващата кампания, наблюдавана от SentinelLabs, хакерите прокарват зареждащите устройства MalVirt в реклами, представящи се за реклами на 3D софтуера Blender.

Изтеглянията, предлагани от тези фалшиви сайтове, използват невалидни цифрови подписи, представящи се за Microsoft, Acer, DigiCert, Sectigo и AVG Technologies USA.

Въпреки че тези невалидни подписи няма да заблудят Windows да ги покаже като подписани, MalVirt зареждащите програми все още разполагат с функции за избягване на откриването им.

„Например, някои образци поправят функцията AmsiScanBuffer, имплементирана в amsi.dll, за да заобиколят интерфейса Anti Malware Scan Interface (AMSI), който открива злонамерени PowerShell команди“, обяснява изследователят А. Миленкоски.

„Освен това, в опит да се заобиколят механизмите за статично откриване, някои низове (като amsi.dll и AmsiScanBuffer) са кодирани по Base-64 и криптирани по AES.“

Зареждащите устройства могат също така да открият дали се изпълняват във виртуализирана среда, като правят запитване за определени ключове от регистъра, и ако това е така, изпълнението се прекратява, за да се избегне анализ.

MalVirt използва и подписан драйвер на Microsoft Process Explorer, който се зарежда при стартиране на системата като „TaskKill“, което му позволява да модифицира изпълняваните процеси, за да избегне откриване.

За да избегнат и декомпилирането на виртуализирания код, зареждащите програми използват и модифицирана версия на KoiVM, която разполага с допълнителни слоеве за обфускация, което прави дешифрирането ѝ още по-трудно.

SentinelLabs твърди, че тази персонализирана реализация на KoiVM обърква стандартните рамки за девиртуализация като „OldRod“, като замаскира своята процедура чрез аритметични операции, вместо да използва прости присвоявания.

Миленкоски казва, че е възможно да се преодолее обфускацията в тези MalVirt зареждащи програми и да се възстанови първоначалният ред на 119-те постоянни променливи на KoiVM.

Допълнителната обфускация обаче го прави трудно, изисквайки сериозен ръчен труд, тъй като съществуващите автоматизирани инструменти не могат да помогнат.

Скриване на инфраструктурата

В допълнение към всички системи за избягване на откриването, използвани в зареждащото устройство на зловредния софтуер, самият Formbook използва нов трик, който помага да се прикрие реалният му C2 (команден и контролен) трафик и IP адреси.

Зловредният софтуер за кражба на информация смесва реалния си трафик с различни „димни“ HTTP заявки, чието съдържание е криптирано и кодирано, за да не се открояват.

Зловредният софтуер комуникира с тези IP адреси на случаен принцип, като ги избира от твърдо кодиран списък с домейни, хоствани от различни компании.

 

SentinelLabs твърди, че в пробите, които е анализирала, е видяла, че Formbook комуникира със 17 домейна, като само един от тях е бил действителният C2 сървър, а останалите са служили само като примамки за объркване на инструментите за наблюдение на мрежовия трафик.
Това е нова система на доста стар щам на зловреден софтуер, което показва, че операторите му се интересуват от това да го снабдят с нови функции, които ще го направят по-добър в това да остане скрит от инструментите за сигурност и анализаторите.

Дали хакерите са прехвърлили изцяло разпространението на зловредния код Formbook към реклами за търсене в Google, предстои да разберем, но това е още един пример, че потребителите трябва много да внимават за връзките, върху които щракват в резултатите от търсенето.

Източник: SentinelLabs

Източник: По материали от Интернет

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
Бъдете социални
Още по темата
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
12/06/2024

Нова заплаха се разпростран...

Невиждан досега зловреден софтуер за Windows,...
12/06/2024

Китай е поразил поне 20 000...

Холандската служба за военно разузнаване и...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!