Видеоклипове в YouTube разпространяват Aurora Stealer

Изследователи в областта на киберсигурността са описали подробно вътрешната работа на изключително уклончив зареждащ софтуер с име „in2al5d p3in4er“, който се използва за доставяне на зловредния софтуер Aurora information stealer.

„Зареждащото устройство in2al5d p3in4er е компилирано с Embarcadero RAD Studio и е насочено към крайни работни станции, като използва усъвършенствана техника за борба с виртуални машини“, казва фирмата за киберсигурност Morphisec в доклад, споделен с The Hacker News.

Aurora е базирана на Go програма за кражба на информация, която се появи в пейзажа на заплахите в края на 2022 г. Предлаган като стоков зловреден софтуер на други групи, той се разпространява чрез видеоклипове в YouTube и SEO-позиционирани фалшиви уебсайтове за изтегляне на кракнат софтуер.

Кликването върху връзките, присъстващи в описанията на видеоклиповете в YouTube, пренасочва жертвата към уебсайтове-примамки, където тя е подмамена да изтегли зловредния софтуер под привидната дреха на легитимна програма.

Анализираният от Morphisec зареждащ модул е проектиран така, че да задава идентификатор на производителя на графичната карта, инсталирана в системата, и да го сравнява с набор от разрешени идентификатори на производители (AMD, Intel или NVIDIA). Ако стойността не съвпада, зареждащият модул се прекратява.

В крайна сметка зареждащото устройство декриптира крайния полезен товар и го инжектира в легитимен процес, наречен „sihost.exe“, като използва техника, наречена „process hollowing“. Алтернативно, някои образци на зареждащи програми също заделят памет за записване на декриптирания полезен товар и го извикват оттам.

„По време на процеса на инжектиране всички образци на зареждащи програми динамично разрешават необходимите API на Win и декриптират тези имена с помощта на XOR ключ: „in2al5d p3in4er“,“ казват изследователите по сигурността Арнолд Осипов и Михаил Деревяшкин.

Друг важен аспект на зареждащия модул е използването на Embarcadero RAD Studio за генериране на изпълними файлове за множество платформи, което му позволява да избегне откриването.

„Тези с най-нисък процент на откриване във VirusTotal са компилирани с помощта на ‘BCC64.exe’, нов Clang базиран C++ компилатор от Embarcadero“, заяви израелската компания за киберсигурност, като посочи способността му да избягва сендбоксове и виртуални машини.

„Този компилатор използва различна кодова база, като например ‘Standard Library’ (Dinkumware) и ‘Runtime Library’ (compiler-rt), и генерира оптимизиран код, който променя входната точка и потока на изпълнение. Това нарушава индикаторите на доставчиците на системи за сигурност, като например сигнатури, съставени от „зловреден/подозрителен блок код“.

Накратко, констатациите показват, че атакуващите, стоящи зад in2al5d p3in4er, използват методи за социално инженерство за кампания с голямо въздействие, която използва YouTube като канал за разпространение на зловреден софтуер и насочва зрителите към убедително изглеждащи фалшиви уебсайтове за разпространение на зловредния софтуер.

Разработката идва в момент, когато Intel 471 разкри друг зареждащ зловреден софтуер AresLoader, който се продава за 300 USD/месец като услуга за криминални групи за прокарване на крадци на информация, маскирани като популярен софтуер, с помощта на инструмент за свързване. Предполага се, че зареждащото устройство е разработено от група, свързана с руския хактивизъм.

Някои от известните семейства зловреден софтуер, разпространявани с помощта на AresLoader от януари 2023 г. насам, включват Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc и SystemBC.

Източник: The Hacker News

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!