С октября 2022 года специалисты Avast наблюдают несколько типов вредоносных программ, поставляемых с помощью нового штамма дроппера, который мы называем "NeedleDropper". Его название указывает на один из способов хранения данных в дроппере.
NeedleDropper - это не просто один исполняемый файл, он содержит несколько файлов, которые вместе создают вредоносное исполнение, извлекают файлы для расшифровки и внедряют вредоносный код. Вредоносная программа пытается скрыть себя, сбрасывая множество неиспользуемых, недействительных файлов и храня важные данные между несколькими мегабайтами неважных данных, а также использует легитимные приложения для своего исполнения. NeedleDropper, по-видимому, является новым штаммом вредоносного ПО, использующим бизнес-модель "как услуга", и продается на хакерских форумах субъектам угроз, чтобы скрыть конечную полезную нагрузку. На сегодняшний день заблокироваyj более 30 000 попыток атак на клиентов Avast и AVG.
NeedleDropper
NeedleDropper представляет собой самораспаковывающийся архив, содержащий модифицированный интерпретатор AutoIt, обфусцированный AutoIt-скрипт и скрипт Visual Basic, который используется для начального выполнения. Все это упаковано вместе с парой других файлов, некоторые из которых используются вредоносной программой для выполнения (это будет описано позже). Все файлы извлекаются во вновь созданный каталог во временной директории текущего пользователя. Имена вновь созданных каталогов обычно следуют одному и тому же шаблону.
Начальный VBS-скрипт содержит несколько строк комментариев, пытающихся скрыть внутри полезную нагрузку. Avast видели образцы с несколькими мегабайтами комментариев, вложенных внутрь. Сценарий запускает модифицированный интерпретатор AutoIt с файлом LXA в качестве аргумента.
Файл конфигурации представляет собой INI-файл, который состоит из нескольких пар ключ-значение и множества неиспользуемых строк, пытающихся скрыть любые значения конфигурации. Эти значения часто присутствуют в разделе S3tt!ng.
Файл полезной нагрузки содержит однострочную перевернутую гекслированную вредоносную полезную нагрузку. Вся строка заканчивается на ...x0. Более поздние версии NeedleDropper переносят полезную нагрузку из отдельного файла в конфигурацию между последовательностью [Troj] и [FinTroj].
Все выполнение происходит через AutoIt-скрипт, который передается в качестве аргумента интерпретатору AutoIt при запуске вредоносной программы. Код скрыт в большом количестве неиспользуемых текстовых строк. Вредоносная программа помещает комментарии (#ce в данном случае) перед каждой важной строкой, чтобы определить, какая строка должна быть интерпретирована как код.
Вредоносная программа использует CryptoAPI для расшифровки конечной полезной нагрузки. Он берет ключ расшифровки из конфигурационного файла и вычисляет его MD5-хэш, который используется в качестве ключа в функции CryptDecrypt, расшифровывающей вредоносную полезную нагрузку. После этого NeedleDropper переводит RegSvcs.exe в приостановленное состояние, внедряет полезную нагрузку через WriteProcessMemory и возобновляет приостановленный процесс, что приводит к успешному выполнению вредоносной программы.
NeedleDropper не имеет какого-то одного значимого метода заражения; они часто варьируются в зависимости от образца. На данный момент мы заметили, что дроппер в основном доставляется через вложения в спам по электронной почте. В качестве вложения в электронную почту вредоносная программа обычно отправляется в виде зашифрованного 7z-файла или является частью более крупной цепочки заражения, начинающейся, например, с документа Excel. Однако образцы NeedleDropper также часто распространяются через Discord или по ссылкам OneDrive. Благодаря различным методам заражения и разным полезным нагрузкам, эта вредоносная программа, похоже, служит киберпреступникам для сокрытия их полезной нагрузки.
Письмо содержит документ excel, который использует уязвимость CVE-2017-11882 для сброса файла vbc.exe (NeedleDropper) в каталог C:\Users\Public. Vbc.exe выполняется и сбрасывает свое содержимое в каталог temp. В данном конкретном примере NeedleDropper расшифровывает полезную нагрузку FormBook, которая внедряется в процесс RegSvcs и выполняется.
Indicators of Compromise
SHA256
- 01534a0f3e104b7cbafeeeaac3a0f0bf9d01e017c8a63964d81d0a30baee2916
- 06b02574925948a3f418ba2851f10585086a5f9b25d8f4e7de62dd52c6a56153
- 1b26f3213c07819cd61ed5e10b009ae5862cade4a3a403dcc6f6310485f6306b
- 1d3078201c04bebc6595a2cc874530f1c2a5ff7201db4c8e43660808563c5a63
- 660eb5f2811753c24ecbd5c0e08c68d83d7eca1b2827ed90e2a5189ed61f3a5b
- 8713d873a8f4179a4079ea46a6ae45a538dc2f07cf7b09f28adc25eec45dc873
- dd7acb0d5e05d581148b614816f5450690f3fcc8ba4b3f00b5db1f3684570053
- e53e5e07b3165f507046c5992049a816bdd98969f10cc97a3d2bd010aea30b42
- f7e52f120ab257e0d8e5021077b3370876be16469b76b6e0b6916486b3977bb3