Търсене
Close this search box.

Видеоклипове в YouTube разпространяват Aurora Stealer

Изследователи в областта на киберсигурността са описали подробно вътрешната работа на изключително уклончив зареждащ софтуер с име „in2al5d p3in4er“, който се използва за доставяне на зловредния софтуер Aurora information stealer.

„Зареждащото устройство in2al5d p3in4er е компилирано с Embarcadero RAD Studio и е насочено към крайни работни станции, като използва усъвършенствана техника за борба с виртуални машини“, казва фирмата за киберсигурност Morphisec в доклад, споделен с The Hacker News.

Aurora е базирана на Go програма за кражба на информация, която се появи в пейзажа на заплахите в края на 2022 г. Предлаган като стоков зловреден софтуер на други групи, той се разпространява чрез видеоклипове в YouTube и SEO-позиционирани фалшиви уебсайтове за изтегляне на кракнат софтуер.

Кликването върху връзките, присъстващи в описанията на видеоклиповете в YouTube, пренасочва жертвата към уебсайтове-примамки, където тя е подмамена да изтегли зловредния софтуер под привидната дреха на легитимна програма.

Анализираният от Morphisec зареждащ модул е проектиран така, че да задава идентификатор на производителя на графичната карта, инсталирана в системата, и да го сравнява с набор от разрешени идентификатори на производители (AMD, Intel или NVIDIA). Ако стойността не съвпада, зареждащият модул се прекратява.

В крайна сметка зареждащото устройство декриптира крайния полезен товар и го инжектира в легитимен процес, наречен „sihost.exe“, като използва техника, наречена „process hollowing“. Алтернативно, някои образци на зареждащи програми също заделят памет за записване на декриптирания полезен товар и го извикват оттам.

„По време на процеса на инжектиране всички образци на зареждащи програми динамично разрешават необходимите API на Win и декриптират тези имена с помощта на XOR ключ: „in2al5d p3in4er“,“ казват изследователите по сигурността Арнолд Осипов и Михаил Деревяшкин.

Друг важен аспект на зареждащия модул е използването на Embarcadero RAD Studio за генериране на изпълними файлове за множество платформи, което му позволява да избегне откриването.

„Тези с най-нисък процент на откриване във VirusTotal са компилирани с помощта на ‘BCC64.exe’, нов Clang базиран C++ компилатор от Embarcadero“, заяви израелската компания за киберсигурност, като посочи способността му да избягва сендбоксове и виртуални машини.

„Този компилатор използва различна кодова база, като например ‘Standard Library’ (Dinkumware) и ‘Runtime Library’ (compiler-rt), и генерира оптимизиран код, който променя входната точка и потока на изпълнение. Това нарушава индикаторите на доставчиците на системи за сигурност, като например сигнатури, съставени от „зловреден/подозрителен блок код“.

Накратко, констатациите показват, че атакуващите, стоящи зад in2al5d p3in4er, използват методи за социално инженерство за кампания с голямо въздействие, която използва YouTube като канал за разпространение на зловреден софтуер и насочва зрителите към убедително изглеждащи фалшиви уебсайтове за разпространение на зловредния софтуер.

Разработката идва в момент, когато Intel 471 разкри друг зареждащ зловреден софтуер AresLoader, който се продава за 300 USD/месец като услуга за криминални групи за прокарване на крадци на информация, маскирани като популярен софтуер, с помощта на инструмент за свързване. Предполага се, че зареждащото устройство е разработено от група, свързана с руския хактивизъм.

Някои от известните семейства зловреден софтуер, разпространявани с помощта на AresLoader от януари 2023 г. насам, включват Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc и SystemBC.

Източник: The Hacker News

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!