Изследователи в областта на киберсигурността са описали подробно вътрешната работа на изключително уклончив зареждащ софтуер с име „in2al5d p3in4er“, който се използва за доставяне на зловредния софтуер Aurora information stealer.
„Зареждащото устройство in2al5d p3in4er е компилирано с Embarcadero RAD Studio и е насочено към крайни работни станции, като използва усъвършенствана техника за борба с виртуални машини“, казва фирмата за киберсигурност Morphisec в доклад, споделен с The Hacker News.
Aurora е базирана на Go програма за кражба на информация, която се появи в пейзажа на заплахите в края на 2022 г. Предлаган като стоков зловреден софтуер на други групи, той се разпространява чрез видеоклипове в YouTube и SEO-позиционирани фалшиви уебсайтове за изтегляне на кракнат софтуер.
Кликването върху връзките, присъстващи в описанията на видеоклиповете в YouTube, пренасочва жертвата към уебсайтове-примамки, където тя е подмамена да изтегли зловредния софтуер под привидната дреха на легитимна програма.
Анализираният от Morphisec зареждащ модул е проектиран така, че да задава идентификатор на производителя на графичната карта, инсталирана в системата, и да го сравнява с набор от разрешени идентификатори на производители (AMD, Intel или NVIDIA). Ако стойността не съвпада, зареждащият модул се прекратява.
В крайна сметка зареждащото устройство декриптира крайния полезен товар и го инжектира в легитимен процес, наречен „sihost.exe“, като използва техника, наречена „process hollowing“. Алтернативно, някои образци на зареждащи програми също заделят памет за записване на декриптирания полезен товар и го извикват оттам.
„По време на процеса на инжектиране всички образци на зареждащи програми динамично разрешават необходимите API на Win и декриптират тези имена с помощта на XOR ключ: „in2al5d p3in4er“,“ казват изследователите по сигурността Арнолд Осипов и Михаил Деревяшкин.
Друг важен аспект на зареждащия модул е използването на Embarcadero RAD Studio за генериране на изпълними файлове за множество платформи, което му позволява да избегне откриването.
„Тези с най-нисък процент на откриване във VirusTotal са компилирани с помощта на ‘BCC64.exe’, нов Clang базиран C++ компилатор от Embarcadero“, заяви израелската компания за киберсигурност, като посочи способността му да избягва сендбоксове и виртуални машини.
„Този компилатор използва различна кодова база, като например ‘Standard Library’ (Dinkumware) и ‘Runtime Library’ (compiler-rt), и генерира оптимизиран код, който променя входната точка и потока на изпълнение. Това нарушава индикаторите на доставчиците на системи за сигурност, като например сигнатури, съставени от „зловреден/подозрителен блок код“.
Накратко, констатациите показват, че атакуващите, стоящи зад in2al5d p3in4er, използват методи за социално инженерство за кампания с голямо въздействие, която използва YouTube като канал за разпространение на зловреден софтуер и насочва зрителите към убедително изглеждащи фалшиви уебсайтове за разпространение на зловредния софтуер.
Разработката идва в момент, когато Intel 471 разкри друг зареждащ зловреден софтуер AresLoader, който се продава за 300 USD/месец като услуга за криминални групи за прокарване на крадци на информация, маскирани като популярен софтуер, с помощта на инструмент за свързване. Предполага се, че зареждащото устройство е разработено от група, свързана с руския хактивизъм.
Някои от известните семейства зловреден софтуер, разпространявани с помощта на AresLoader от януари 2023 г. насам, включват Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc и SystemBC.
