Компания Cisco Talos обнаружила несколько версий недокументированного вредоносного драйвера под названием "RedDriver", представляющего браузерный перехватчик на базе драйвера, который использует платформу Windows Filtering Platform (WFP) для перехвата трафика браузера. RedDriver использует HookSignTool для подделки временной метки своей подписи в обход политик подписания драйверов Windows. При разработке цепочки заражения RedDriver использовался код из множества инструментов с открытым исходным кодом, включая HP-Socket и собственную реализацию ReflectiveLoader.
Есть явные признаки того, что предполагаемые жертвы этой угрозы - носители китайского языка. Во-первых, драйвер содержит жестко закодированный список имен процессов браузеров на китайском языке, которые ищутся и перехватываются. Кроме того, в одном случае RedDriver содержал список имен драйверов, многие из которых были связаны с несколькими программными продуктами для управления интернет-кафе на китайском языке. Есть также много признаков того, что авторы RedDriver сами являются носителями китайского языка.
Indicators of Compromise
Domains
- aireport.umpteen.top
- file.zhedwe.top
- laomao.run
- newport.tofu77.top
- poilcy.itosha.top
- q5y2qclsk18.malaji.top
- red.zhedwe.top
- reserve.itosha.top
- workpoilcy.zhedwe.top
SHA256
- 0201c2999e723d9bbb8b4df8c41030dd25a12ea39671dce2fe4b084b77c4a0d4
- 24c900024d213549502301c366d18c318887630f04c96bf0a3d6ba74e0df164f
- 522b00f45a033c3f7d27a7c0db7dd51dff239fdac56c7a8acf7ff9c542b1e797
- 5a13091832ef2fd837c33acb44b97c37d4f1f412f31f093faf0ce83dcd7c314e
- 87565ff08a93a8ff41ea932bf55dec8e0c7e79aba036507ea45df9d81cb36105
- 9e59eba805c361820d39273337de070efaf2bf804c6ea88bbafc5f63ce3028b1
- ba961c5896b46447cb555dc93f64a78d99da0b2a0a531979545fe7f40279c9c3
- c96320c7b57adf6f73ceaf2ae68f1661c2bfab9d96ffd820e3cfc191fcdf0a9b
- f8a1828bc25c8d311e05314ff1da37f9901147a48fbd715e8d1b96c724d71fa0
- fb29ef2e46335719421b747b23096bc6f98df3dc6cd1c0ff9b9174a3827562d5