DarkCloud - это вредоносная программа для кражи информации. Впервые она была замечена исследователями в 2022 году. Такие вредоносные программы предназначены для сбора конфиденциальной информации с компьютера или мобильного устройства жертвы. Похитители информации могут использоваться для сбора различных данных, включая пароли, номера кредитных карт, номера социального страхования и другую личную или финансовую информацию.
Cyble Research and Intelligence Labs (CRIL) заметила заметный рост распространенности DarkCloud Stealer, причем акторы угроз (TA) используют различные спам-кампании для распространения этой вредоносной программы по всему миру.
DarkCloud Stealer
Cyble Research наблюдали множество спам-писем, распространяющих DarkCloud stealer. Это письмо представляет собой фишинговое письмо со счетом-фактурой, предназначенное для того, чтобы обманом заставить получателя перейти по вредоносной ссылке или открыть вложение, содержащее DarkCloud Stealer. Это письмо представляется письмом от легитимной компании, например, интернет-магазина или поставщика, утверждающим, что получатель разместил у них заказ.
Начальный файл, доставленный в рамках спам-кампании, представляет собой двоичный файл .Net (SHA 256: 9bb43e190685f86937e09673de3243cbe1971ecf0eab9b75e09d0de96e9764cb) и действует как дроппер. Он копирует себя в каталог "Users\\\AppData\\\Roaming", а затем создает запись планировщика задач с помощью schtasks.exe для сохранения.
После этого вредоносная программа запускает себя и загружает двоичный файл следующего уровня в память запущенного процесса. Полезная нагрузка загружается в память в виде VB-файла, как показано ниже.
VB-файл, находящийся в памяти, представляет собой 32-битный исполняемый двоичный файл с SHA256, 413c9fcea027f89b9d8905ca6ae96cc099b8886fb3916876a4029e92d56fcb9b. В разделе Resource этого VB-файла находится двоичное содержимое, которое представляет собой архив PK. Этот архивный файл содержит исполняемый файл с именем "ConsoleApp1.exe".
При выполнении VB-файла он извлекает файл "ConsoleApp1.exe" из архива PK и помещает его в следующий путь %appdata%. Затем он запускает сброшенный исполняемый файл.
C:\Users\<Admin>\AppData\Roaming\Microsoft\Windows\Templates\ConsoleApp1.exe
Файл "ConsoleApp1.exe" представляет собой 32-битный скомпилированный двоичный файл .NET, который содержит исходный код полезной нагрузки DarkCloud Stealer в каталоге ресурсов.
Основной задачей файла "ConsoleApp1.exe" является загрузка стаба исходного кода DarkCloud из ресурса проекта и его компиляция с помощью метода CompileAssemblyFromSource() класса System.CodeDom.Compiler.CodeDomProvider в .NET framework. Скомпилированный двоичный файл является полезной нагрузкой с именем "credentials.exe", который помещается в тот же каталог и запускается как новый процесс.
C:\Users\<Admin>\AppData\Roaming\Microsoft\Windows\Templates\credentials.exe
Вредоносная программа удаляет двоичный файл "credentials.exe" после работы в течение 60 000 миллисекунд (или 1 минуты).
Полезная нагрузка "credentials.exe" представляет собой 32-битный исполняемый файл .NET, который идентифицируется как DarkCloud Stealer с SHA256, 33fa272ffd2eac92f2a344718fa9bf678703f8194fcfcbc499ab9fefcdab4cca.
После выполнения "credentials.exe" начинает собирать конфиденциальную информацию из нескольких приложений, установленных на целевой системе, после чего отправляет украденные данные на командно-контрольный сервер (C&C).
Indicators of Compromise
SHA256
- 2e60ed90aa6cefa60cc4cd968213549ddf578dcf6968d8c66366d09c7108ef56
- 33fa272ffd2eac92f2a344718fa9bf678703f8194fcfcbc499ab9fefcdab4cca
- 413c9fcea027f89b9d8905ca6ae96cc099b8886fb3916876a4029e92d56fcb9b
- 51247a58f41ba112ce31ed44b0a68bc4db8f39763250071fe35957d1e3eaf9cb
- 5d060254a6d7eb2cdb2031e29891cb95206757a28fe0d51569eb9f7f55637ac6
- 79b13d9a52d466a606c37b8f12b2ef7af4e9b53a911b70427c07cb73adb504a1
- 9bb43e190685f86937e09673de3243cbe1971ecf0eab9b75e09d0de96e9764cb
- e342802bd53191559af2a23b2d11412a8fe60dc3a50e5efa1fade7067c305f55