Търсене
Close this search box.

Изследователи в областта на киберсигурността са описали подробно вътрешната работа на изключително уклончив зареждащ софтуер с име „in2al5d p3in4er“, който се използва за доставяне на зловредния софтуер Aurora information stealer.

„Зареждащото устройство in2al5d p3in4er е компилирано с Embarcadero RAD Studio и е насочено към крайни работни станции, като използва усъвършенствана техника за борба с виртуални машини“, казва фирмата за киберсигурност Morphisec в доклад, споделен с The Hacker News.

Aurora е базирана на Go програма за кражба на информация, която се появи в пейзажа на заплахите в края на 2022 г. Предлаган като стоков зловреден софтуер на други групи, той се разпространява чрез видеоклипове в YouTube и SEO-позиционирани фалшиви уебсайтове за изтегляне на кракнат софтуер.

Кликването върху връзките, присъстващи в описанията на видеоклиповете в YouTube, пренасочва жертвата към уебсайтове-примамки, където тя е подмамена да изтегли зловредния софтуер под привидната дреха на легитимна програма.

Анализираният от Morphisec зареждащ модул е проектиран така, че да задава идентификатор на производителя на графичната карта, инсталирана в системата, и да го сравнява с набор от разрешени идентификатори на производители (AMD, Intel или NVIDIA). Ако стойността не съвпада, зареждащият модул се прекратява.

В крайна сметка зареждащото устройство декриптира крайния полезен товар и го инжектира в легитимен процес, наречен „sihost.exe“, като използва техника, наречена „process hollowing“. Алтернативно, някои образци на зареждащи програми също заделят памет за записване на декриптирания полезен товар и го извикват оттам.

„По време на процеса на инжектиране всички образци на зареждащи програми динамично разрешават необходимите API на Win и декриптират тези имена с помощта на XOR ключ: „in2al5d p3in4er“,“ казват изследователите по сигурността Арнолд Осипов и Михаил Деревяшкин.

Друг важен аспект на зареждащия модул е използването на Embarcadero RAD Studio за генериране на изпълними файлове за множество платформи, което му позволява да избегне откриването.

„Тези с най-нисък процент на откриване във VirusTotal са компилирани с помощта на ‘BCC64.exe’, нов Clang базиран C++ компилатор от Embarcadero“, заяви израелската компания за киберсигурност, като посочи способността му да избягва сендбоксове и виртуални машини.

„Този компилатор използва различна кодова база, като например ‘Standard Library’ (Dinkumware) и ‘Runtime Library’ (compiler-rt), и генерира оптимизиран код, който променя входната точка и потока на изпълнение. Това нарушава индикаторите на доставчиците на системи за сигурност, като например сигнатури, съставени от „зловреден/подозрителен блок код“.

Накратко, констатациите показват, че атакуващите, стоящи зад in2al5d p3in4er, използват методи за социално инженерство за кампания с голямо въздействие, която използва YouTube като канал за разпространение на зловреден софтуер и насочва зрителите към убедително изглеждащи фалшиви уебсайтове за разпространение на зловредния софтуер.

Разработката идва в момент, когато Intel 471 разкри друг зареждащ зловреден софтуер AresLoader, който се продава за 300 USD/месец като услуга за криминални групи за прокарване на крадци на информация, маскирани като популярен софтуер, с помощта на инструмент за свързване. Предполага се, че зареждащото устройство е разработено от група, свързана с руския хактивизъм.

Някои от известните семейства зловреден софтуер, разпространявани с помощта на AresLoader от януари 2023 г. насам, включват Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc и SystemBC.

Източник: The Hacker News

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
Бъдете социални
Още по темата
12/09/2024

PIXHELL позволява прескачан...

Изследовател е представил подробности за нов...
12/09/2024

Пробив на KemperSports зас...

Тази седмица компанията за управление на...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!