Компания «Доктор Веб» выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика Trojan.Fruity.1.
Fruity Trojan
С ее помощью злоумышленники способны заражать компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки и повышения шансов на ее успех используется ряд приемов. Среди них — многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов трояна, а также попытка обойти антивирусную защиту.
При запуске библиотеки python39.dll Trojan.Fruity.1 расшифровывает содержимое файла idea.mp3 и извлекает из него dll-библиотеку и шелл-код (код №1) для второй стадии. Он также считывает содержимое файла idea.cfg. Тот содержит строку с информацией о расположении полезной нагрузки, которую троян должен запустить. Полезная нагрузка может загружаться из интернета или располагаться на целевом компьютере локально. В данном случае используется локальный файл fruit.png, ранее извлеченный троянским установщиком.
Расшифрованный шелл-код запускает командный интерпретатор cmd.exe в приостановленном состоянии. В память созданного процесса записывается информация о расположении полезной нагрузки (fruit.png), шелл-код для третьей стадии , а также контекст для его работы. Затем в образ расшифрованного на первом этапе dll-файла вносится патч, указывающий на адрес контекста в процессе. Далее происходит инжект этого dll-файла в процесс cmd.exe, после чего управление переходит библиотеке.
Инжектированная библиотека проверяет полученную строку с данными о расположении зашифрованной полезной нагрузки. Если строка начинается с аббревиатуры http, библиотека пытается скачать целевой файл из интернета. В противном случае она использует локальный файл. В данном случае библиотеке передается локальный путь до файла fruit.png. Это изображение перемещается во временный каталог, после чего запускается код для его расшифровки. В файле fruit.png при помощи стеганографии скрыто два исполняемых файла (dll-библиотеки), а также шелл-код для инициализации следующей стадии.
После выполнения предыдущих шагов Trojan.Fruity.1 запускает код. С его помощью он пытается обойти детектирование антивирусами и помешать процессу своей отладки при анализе специалистами по информационной безопасности.
Троян пытается выполнить инжект в процесс msbuild.exe программы MSBuild. В случае неудачи попытка повторяется для процессов cmd.exe (командного интерпретатора Windows) и notepad.exe (программы «Блокнот»). В целевой процесс при помощи метода Process Hollowing внедряется одна из двух dll-бибилиотек, расшифрованных из изображения fruit.png, а также шелл-код для инициализации пятой стадии.
Затем во временном каталоге системы создается dll-файл со случайным названием, в который записывается содержимое расшифрованного исполняемого файла из того же изображения. Этот файл также инжектируется в целевой процесс. Однако при этом используется метод Process Doppelgänging, с помощью которого оригинальный процесс приложения в памяти подменяется вредоносным. В рассматриваемом случае библиотека представляет собой троянскую программу-шпион Remcos RAT.
При помощи внедренных в библиотеку шелл-кода и dll-библиотеки Trojan.Fruity.1 устанавливает приложение python.exe в автозагрузку операционной системы. Также он создает в системном планировщике задачу на его запуск. Кроме того, Trojan.Fruity.1 добавляет это приложение в список исключений на проверку встроенным антивирусом Windows. Далее шелл-код записывает в конец файла python39.dll случайные данные таким образом, чтобы у него изменилась хеш-сумма и тем самым тот отличался от оригинального файла из троянского установщика. Кроме того, он модифицирует метаданные библиотеки, изменяя дату и время ее создания.
Несмотря на то, что в настоящее время Trojan.Fruity.1 распространяет шпионскую программу Remcos RAT, с помощью него злоумышленники способны заражать компьютеры и другими вредоносными программами. При этом те могут как скачиваться из интернета, так и распространяться вместе с Trojan.Fruity.1 в составе троянских установщиков ПО. В результате у киберпреступников появляется больше возможностей для реализации различных сценариев атак.
Indicators of Compromise
IPv4
- 37.1.221.132
- 37.1.221.249
- 62.197.48.186
- 65.108.244.82
Domains
- atiflash.ru
- atikmdagpatcher.com
- balena-etcher.com
- btc-tools.ru
- clockgen64.com
- evga-precision.com
- more-power-tool.com
- nvflash.ru
- nvidiainspector.ru
- overdriventool.ru
- polaris-bios-editor.ru
- riva-tuner.com
- ryzen-master.com
- sapphiretrixx.com
- srbpolaris.ru
- techpowerup-gpu-z.com
SHA1
- 0490955a9c61dc4b8d83bdef64b3e010d63bfb10
- 17e29f7e82d6999fc5037fd9024a207e9297d3a2
- 2221625db525ae5ac51c5a72425a5b45118399ab
- 3b116c5ad39439994245e1a0b64d1fe7ff156ab9
- 3c1f8b35acd86be14ba3204900a6aa1b70d5efa4
- 5f2ddcc1c128d78ef6f3f7492d9145f15dec0b72
- 6132c36304063168816314295c21c4a92841bd65
- 7227e0a27841e795d043155a86b31798b6ea463a
- 753fc961cc3eff34ecf54e3b4ae5302f306ea152
- 8becfa4c00d9d2ba2a4512a238ca091ff2d02bdb
- 8c54df8f11f9cca98fd91fc8bf35c8763274e59e
- 8d6150c1131fe172624c94988ac8bd876e60f9bc
- 90d0fe275340d419f374d652983aee015cc12370
- 9dfb46f5b65e1e3150917feb660135965a172662
- a4526885590b019e22ac10ea3242cdfc6a11cabb
- ab64d5aa03bc35b0f8baacf46d7a99bc5bdb2a0f
- b2dd00375062a80648746e24efbc36c8a3893377
- b33a26608f2faf5ef4f8254ccdf62916976d1e12
- c8eca6e621ff51d486e39a52ffc249c6e062f109
- d795cfd67aa5c4c3386e4358f0f5a3c59f8d7ea8
- d89ff77cb3c50fc6e21166def0ce79e42ede7381
- d934fafb506bb577d760b0750fd1ebf146a001a6
- e07eabf9d459e314e78da90f7dc146cc0b81585c
- e90db99fabb6e229861814a5ff7849b2712e6e6f