Търсене
Close this search box.

Продължаваща кампания за злонамерена реклама в Google разпространява инсталатори на зловреден софтуер, които използват технологията за виртуализация KoiVM, за да избегнат откриването при инсталирането на устройството за кражба на данни Formbook.

KoiVM е плъгин за защитника ConfuserEx .NET, който замазва операционните кодове на програмата, така че виртуалната машина да разбира само тях. След това, когато бъде стартирана, виртуалната машина превежда опкодовете обратно в оригиналната им форма, така че приложението да може да бъде изпълнено.

„Рамките за виртуализация, като например KoiVM, замаскират изпълнимите файлове, като заменят оригиналния код, например инструкциите на NET Common Intermediate Language (CIL), с виртуализиран код, който е разбираем само за рамката за виртуализация“, се обяснява в нов доклад на SentinelLabs.

„Двигателят на виртуалната машина изпълнява виртуализирания код, като го превежда в оригиналния код по време на изпълнение.“
„Когато се използва за злонамерени цели, виртуализацията прави анализа на зловредния софтуер труден и също така представлява опит за избягване на механизмите за статичен анализ.“
В рекламната кампания в Google, забелязана от Sentinel Labs, извършителите прокарват зловредния софтуер Formbook, крадящ информация, като виртуализирани .NET товарачи, наречени „MalVirt“, които помагат за разпространението на крайния полезен товар, без да задействат антивирусни предупреждения.

От Sentinel Labs коментират, че макар виртуализацията KoiVM да е популярна за хакерски инструменти и кракове, тя рядко се използва при разпространението на зловреден софтуер.

Вместо това фирмата за сигурност смята, че новата тенденция в използването й може да е един от многобройните странични ефекти от деактивирането на макросите в Office от страна на Microsoft.

Злоупотреба с реклами за търсене в Google

През последния месец изследователите са забелязали засилена злоупотреба с реклами за търсене в Google за разпространение на различни зловредни програми, включително RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys stealer, IcedID, Raccoon Stealer и много други.

В продължаващата кампания, наблюдавана от SentinelLabs, хакерите прокарват зареждащите устройства MalVirt в реклами, представящи се за реклами на 3D софтуера Blender.

Изтеглянията, предлагани от тези фалшиви сайтове, използват невалидни цифрови подписи, представящи се за Microsoft, Acer, DigiCert, Sectigo и AVG Technologies USA.

Въпреки че тези невалидни подписи няма да заблудят Windows да ги покаже като подписани, MalVirt зареждащите програми все още разполагат с функции за избягване на откриването им.

„Например, някои образци поправят функцията AmsiScanBuffer, имплементирана в amsi.dll, за да заобиколят интерфейса Anti Malware Scan Interface (AMSI), който открива злонамерени PowerShell команди“, обяснява изследователят А. Миленкоски.

„Освен това, в опит да се заобиколят механизмите за статично откриване, някои низове (като amsi.dll и AmsiScanBuffer) са кодирани по Base-64 и криптирани по AES.“

Зареждащите устройства могат също така да открият дали се изпълняват във виртуализирана среда, като правят запитване за определени ключове от регистъра, и ако това е така, изпълнението се прекратява, за да се избегне анализ.

MalVirt използва и подписан драйвер на Microsoft Process Explorer, който се зарежда при стартиране на системата като „TaskKill“, което му позволява да модифицира изпълняваните процеси, за да избегне откриване.

За да избегнат и декомпилирането на виртуализирания код, зареждащите програми използват и модифицирана версия на KoiVM, която разполага с допълнителни слоеве за обфускация, което прави дешифрирането ѝ още по-трудно.

SentinelLabs твърди, че тази персонализирана реализация на KoiVM обърква стандартните рамки за девиртуализация като „OldRod“, като замаскира своята процедура чрез аритметични операции, вместо да използва прости присвоявания.

Миленкоски казва, че е възможно да се преодолее обфускацията в тези MalVirt зареждащи програми и да се възстанови първоначалният ред на 119-те постоянни променливи на KoiVM.

Допълнителната обфускация обаче го прави трудно, изисквайки сериозен ръчен труд, тъй като съществуващите автоматизирани инструменти не могат да помогнат.

Скриване на инфраструктурата

В допълнение към всички системи за избягване на откриването, използвани в зареждащото устройство на зловредния софтуер, самият Formbook използва нов трик, който помага да се прикрие реалният му C2 (команден и контролен) трафик и IP адреси.

Зловредният софтуер за кражба на информация смесва реалния си трафик с различни „димни“ HTTP заявки, чието съдържание е криптирано и кодирано, за да не се открояват.

Зловредният софтуер комуникира с тези IP адреси на случаен принцип, като ги избира от твърдо кодиран списък с домейни, хоствани от различни компании.

 

SentinelLabs твърди, че в пробите, които е анализирала, е видяла, че Formbook комуникира със 17 домейна, като само един от тях е бил действителният C2 сървър, а останалите са служили само като примамки за объркване на инструментите за наблюдение на мрежовия трафик.
Това е нова система на доста стар щам на зловреден софтуер, което показва, че операторите му се интересуват от това да го снабдят с нови функции, които ще го направят по-добър в това да остане скрит от инструментите за сигурност и анализаторите.

Дали хакерите са прехвърлили изцяло разпространението на зловредния код Formbook към реклами за търсене в Google, предстои да разберем, но това е още един пример, че потребителите трябва много да внимават за връзките, върху които щракват в резултатите от търсенето.

Източник: SentinelLabs

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!