Google Ads популяризира „виртуализиран“ зловреден софтуер

Продължаваща кампания за злонамерена реклама в Google разпространява инсталатори на зловреден софтуер, които използват технологията за виртуализация KoiVM, за да избегнат откриването при инсталирането на устройството за кражба на данни Formbook.

KoiVM е плъгин за защитника ConfuserEx .NET, който замазва операционните кодове на програмата, така че виртуалната машина да разбира само тях. След това, когато бъде стартирана, виртуалната машина превежда опкодовете обратно в оригиналната им форма, така че приложението да може да бъде изпълнено.

„Рамките за виртуализация, като например KoiVM, замаскират изпълнимите файлове, като заменят оригиналния код, например инструкциите на NET Common Intermediate Language (CIL), с виртуализиран код, който е разбираем само за рамката за виртуализация“, се обяснява в нов доклад на SentinelLabs.

„Двигателят на виртуалната машина изпълнява виртуализирания код, като го превежда в оригиналния код по време на изпълнение.“
„Когато се използва за злонамерени цели, виртуализацията прави анализа на зловредния софтуер труден и също така представлява опит за избягване на механизмите за статичен анализ.“
В рекламната кампания в Google, забелязана от Sentinel Labs, извършителите прокарват зловредния софтуер Formbook, крадящ информация, като виртуализирани .NET товарачи, наречени „MalVirt“, които помагат за разпространението на крайния полезен товар, без да задействат антивирусни предупреждения.

От Sentinel Labs коментират, че макар виртуализацията KoiVM да е популярна за хакерски инструменти и кракове, тя рядко се използва при разпространението на зловреден софтуер.

Вместо това фирмата за сигурност смята, че новата тенденция в използването й може да е един от многобройните странични ефекти от деактивирането на макросите в Office от страна на Microsoft.

Злоупотреба с реклами за търсене в Google

През последния месец изследователите са забелязали засилена злоупотреба с реклами за търсене в Google за разпространение на различни зловредни програми, включително RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys stealer, IcedID, Raccoon Stealer и много други.

В продължаващата кампания, наблюдавана от SentinelLabs, хакерите прокарват зареждащите устройства MalVirt в реклами, представящи се за реклами на 3D софтуера Blender.

Изтеглянията, предлагани от тези фалшиви сайтове, използват невалидни цифрови подписи, представящи се за Microsoft, Acer, DigiCert, Sectigo и AVG Technologies USA.

Въпреки че тези невалидни подписи няма да заблудят Windows да ги покаже като подписани, MalVirt зареждащите програми все още разполагат с функции за избягване на откриването им.

„Например, някои образци поправят функцията AmsiScanBuffer, имплементирана в amsi.dll, за да заобиколят интерфейса Anti Malware Scan Interface (AMSI), който открива злонамерени PowerShell команди“, обяснява изследователят А. Миленкоски.

„Освен това, в опит да се заобиколят механизмите за статично откриване, някои низове (като amsi.dll и AmsiScanBuffer) са кодирани по Base-64 и криптирани по AES.“

Зареждащите устройства могат също така да открият дали се изпълняват във виртуализирана среда, като правят запитване за определени ключове от регистъра, и ако това е така, изпълнението се прекратява, за да се избегне анализ.

MalVirt използва и подписан драйвер на Microsoft Process Explorer, който се зарежда при стартиране на системата като „TaskKill“, което му позволява да модифицира изпълняваните процеси, за да избегне откриване.

За да избегнат и декомпилирането на виртуализирания код, зареждащите програми използват и модифицирана версия на KoiVM, която разполага с допълнителни слоеве за обфускация, което прави дешифрирането ѝ още по-трудно.

SentinelLabs твърди, че тази персонализирана реализация на KoiVM обърква стандартните рамки за девиртуализация като „OldRod“, като замаскира своята процедура чрез аритметични операции, вместо да използва прости присвоявания.

Миленкоски казва, че е възможно да се преодолее обфускацията в тези MalVirt зареждащи програми и да се възстанови първоначалният ред на 119-те постоянни променливи на KoiVM.

Допълнителната обфускация обаче го прави трудно, изисквайки сериозен ръчен труд, тъй като съществуващите автоматизирани инструменти не могат да помогнат.

Скриване на инфраструктурата

В допълнение към всички системи за избягване на откриването, използвани в зареждащото устройство на зловредния софтуер, самият Formbook използва нов трик, който помага да се прикрие реалният му C2 (команден и контролен) трафик и IP адреси.

Зловредният софтуер за кражба на информация смесва реалния си трафик с различни „димни“ HTTP заявки, чието съдържание е криптирано и кодирано, за да не се открояват.

Зловредният софтуер комуникира с тези IP адреси на случаен принцип, като ги избира от твърдо кодиран списък с домейни, хоствани от различни компании.

 

SentinelLabs твърди, че в пробите, които е анализирала, е видяла, че Formbook комуникира със 17 домейна, като само един от тях е бил действителният C2 сървър, а останалите са служили само като примамки за объркване на инструментите за наблюдение на мрежовия трафик.
Това е нова система на доста стар щам на зловреден софтуер, което показва, че операторите му се интересуват от това да го снабдят с нови функции, които ще го направят по-добър в това да остане скрит от инструментите за сигурност и анализаторите.

Дали хакерите са прехвърлили изцяло разпространението на зловредния код Formbook към реклами за търсене в Google, предстои да разберем, но това е още един пример, че потребителите трябва много да внимават за връзките, върху които щракват в резултатите от търсенето.

Източник: SentinelLabs

Източник: По материали от Интернет

Подобни публикации

4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
03/12/2023

Свалянето на Qakbot: Смекча...

Министерството на правосъдието на САЩ и...
02/12/2023

Владимир Дунаев е осъден за...

Министерството на правосъдието на САЩ обяви,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!