Изследователи в областта на киберсигурността са описали подробно вътрешната работа на изключително уклончив зареждащ софтуер с име „in2al5d p3in4er“, който се използва за доставяне на зловредния софтуер Aurora information stealer.
„Зареждащото устройство in2al5d p3in4er е компилирано с Embarcadero RAD Studio и е насочено към крайни работни станции, като използва усъвършенствана техника за борба с виртуални машини“, казва фирмата за киберсигурност Morphisec в доклад, споделен с The Hacker News.
Aurora е базирана на Go програма за кражба на информация, която се появи в пейзажа на заплахите в края на 2022 г. Предлаган като стоков зловреден софтуер на други групи, той се разпространява чрез видеоклипове в YouTube и SEO-позиционирани фалшиви уебсайтове за изтегляне на кракнат софтуер.
Кликването върху връзките, присъстващи в описанията на видеоклиповете в YouTube, пренасочва жертвата към уебсайтове-примамки, където тя е подмамена да изтегли зловредния софтуер под привидната дреха на легитимна програма.
Анализираният от Morphisec зареждащ модул е проектиран така, че да задава идентификатор на производителя на графичната карта, инсталирана в системата, и да го сравнява с набор от разрешени идентификатори на производители (AMD, Intel или NVIDIA). Ако стойността не съвпада, зареждащият модул се прекратява.
В крайна сметка зареждащото устройство декриптира крайния полезен товар и го инжектира в легитимен процес, наречен „sihost.exe“, като използва техника, наречена „process hollowing“. Алтернативно, някои образци на зареждащи програми също заделят памет за записване на декриптирания полезен товар и го извикват оттам.
„По време на процеса на инжектиране всички образци на зареждащи програми динамично разрешават необходимите API на Win и декриптират тези имена с помощта на XOR ключ: „in2al5d p3in4er“,“ казват изследователите по сигурността Арнолд Осипов и Михаил Деревяшкин.
Друг важен аспект на зареждащия модул е използването на Embarcadero RAD Studio за генериране на изпълними файлове за множество платформи, което му позволява да избегне откриването.
„Тези с най-нисък процент на откриване във VirusTotal са компилирани с помощта на ‘BCC64.exe’, нов Clang базиран C++ компилатор от Embarcadero“, заяви израелската компания за киберсигурност, като посочи способността му да избягва сендбоксове и виртуални машини.
„Този компилатор използва различна кодова база, като например ‘Standard Library’ (Dinkumware) и ‘Runtime Library’ (compiler-rt), и генерира оптимизиран код, който променя входната точка и потока на изпълнение. Това нарушава индикаторите на доставчиците на системи за сигурност, като например сигнатури, съставени от „зловреден/подозрителен блок код“.
Накратко, констатациите показват, че атакуващите, стоящи зад in2al5d p3in4er, използват методи за социално инженерство за кампания с голямо въздействие, която използва YouTube като канал за разпространение на зловреден софтуер и насочва зрителите към убедително изглеждащи фалшиви уебсайтове за разпространение на зловредния софтуер.
Разработката идва в момент, когато Intel 471 разкри друг зареждащ зловреден софтуер AresLoader, който се продава за 300 USD/месец като услуга за криминални групи за прокарване на крадци на информация, маскирани като популярен софтуер, с помощта на инструмент за свързване. Предполага се, че зареждащото устройство е разработено от група, свързана с руския хактивизъм.
Някои от известните семейства зловреден софтуер, разпространявани с помощта на AresLoader от януари 2023 г. насам, включват Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc и SystemBC.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.