Fruity Trojan IOCs

remote access Trojan IOC
Опубликовано

Компания «Доктор Веб» выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика Trojan.Fruity.1.

Fruity Trojan

С ее помощью злоумышленники способны заражать компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки и повышения шансов на ее успех используется ряд приемов. Среди них — многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов трояна, а также попытка обойти антивирусную защиту.

При запуске библиотеки python39.dll Trojan.Fruity.1 расшифровывает содержимое файла idea.mp3 и извлекает из него dll-библиотеку и шелл-код (код №1) для второй стадии. Он также считывает содержимое файла idea.cfg. Тот содержит строку с информацией о расположении полезной нагрузки, которую троян должен запустить. Полезная нагрузка может загружаться из интернета или располагаться на целевом компьютере локально. В данном случае используется локальный файл fruit.png, ранее извлеченный троянским установщиком.

Расшифрованный шелл-код  запускает командный интерпретатор cmd.exe в приостановленном состоянии. В память созданного процесса записывается информация о расположении полезной нагрузки (fruit.png), шелл-код для третьей стадии , а также контекст для его работы. Затем в образ расшифрованного на первом этапе dll-файла вносится патч, указывающий на адрес контекста в процессе. Далее происходит инжект этого dll-файла в процесс cmd.exe, после чего управление переходит библиотеке.

Инжектированная библиотека проверяет полученную строку с данными о расположении зашифрованной полезной нагрузки. Если строка начинается с аббревиатуры http, библиотека пытается скачать целевой файл из интернета. В противном случае она использует локальный файл. В данном случае библиотеке передается локальный путь до файла fruit.png. Это изображение перемещается во временный каталог, после чего запускается код для его расшифровки. В файле fruit.png при помощи стеганографии скрыто два исполняемых файла (dll-библиотеки), а также шелл-код для инициализации следующей стадии.

После выполнения предыдущих шагов Trojan.Fruity.1 запускает код. С его помощью он пытается обойти детектирование антивирусами и помешать процессу своей отладки при анализе специалистами по информационной безопасности.

Троян пытается выполнить инжект в процесс msbuild.exe программы MSBuild. В случае неудачи попытка повторяется для процессов cmd.exe (командного интерпретатора Windows) и notepad.exe (программы «Блокнот»). В целевой процесс при помощи метода Process Hollowing внедряется одна из двух dll-бибилиотек, расшифрованных из изображения fruit.png, а также шелл-код для инициализации пятой стадии.

Затем во временном каталоге системы создается dll-файл со случайным названием, в который записывается содержимое расшифрованного исполняемого файла из того же изображения. Этот файл также инжектируется в целевой процесс. Однако при этом используется метод Process Doppelgänging, с помощью которого оригинальный процесс приложения в памяти подменяется вредоносным. В рассматриваемом случае библиотека представляет собой троянскую программу-шпион Remcos RAT.

При помощи внедренных в библиотеку шелл-кода и dll-библиотеки Trojan.Fruity.1 устанавливает приложение python.exe в автозагрузку операционной системы. Также он создает в системном планировщике задачу на его запуск. Кроме того, Trojan.Fruity.1 добавляет это приложение в список исключений на проверку встроенным антивирусом Windows. Далее шелл-код записывает в конец файла python39.dll случайные данные таким образом, чтобы у него изменилась хеш-сумма и тем самым тот отличался от оригинального файла из троянского установщика. Кроме того, он модифицирует метаданные библиотеки, изменяя дату и время ее создания.

Несмотря на то, что в настоящее время Trojan.Fruity.1 распространяет шпионскую программу Remcos RAT, с помощью него злоумышленники способны заражать компьютеры и другими вредоносными программами. При этом те могут как скачиваться из интернета, так и распространяться вместе с Trojan.Fruity.1 в составе троянских установщиков ПО. В результате у киберпреступников появляется больше возможностей для реализации различных сценариев атак.

Indicators of Compromise

IPv4

  • 37.1.221.132
  • 37.1.221.249
  • 62.197.48.186
  • 65.108.244.82

Domains

  • atiflash.ru
  • atikmdagpatcher.com
  • balena-etcher.com
  • btc-tools.ru
  • clockgen64.com
  • evga-precision.com
  • more-power-tool.com
  • nvflash.ru
  • nvidiainspector.ru
  • overdriventool.ru
  • polaris-bios-editor.ru
  • riva-tuner.com
  • ryzen-master.com
  • sapphiretrixx.com
  • srbpolaris.ru
  • techpowerup-gpu-z.com

SHA1

  • 0490955a9c61dc4b8d83bdef64b3e010d63bfb10
  • 17e29f7e82d6999fc5037fd9024a207e9297d3a2
  • 2221625db525ae5ac51c5a72425a5b45118399ab
  • 3b116c5ad39439994245e1a0b64d1fe7ff156ab9
  • 3c1f8b35acd86be14ba3204900a6aa1b70d5efa4
  • 5f2ddcc1c128d78ef6f3f7492d9145f15dec0b72
  • 6132c36304063168816314295c21c4a92841bd65
  • 7227e0a27841e795d043155a86b31798b6ea463a
  • 753fc961cc3eff34ecf54e3b4ae5302f306ea152
  • 8becfa4c00d9d2ba2a4512a238ca091ff2d02bdb
  • 8c54df8f11f9cca98fd91fc8bf35c8763274e59e
  • 8d6150c1131fe172624c94988ac8bd876e60f9bc
  • 90d0fe275340d419f374d652983aee015cc12370
  • 9dfb46f5b65e1e3150917feb660135965a172662
  • a4526885590b019e22ac10ea3242cdfc6a11cabb
  • ab64d5aa03bc35b0f8baacf46d7a99bc5bdb2a0f
  • b2dd00375062a80648746e24efbc36c8a3893377
  • b33a26608f2faf5ef4f8254ccdf62916976d1e12
  • c8eca6e621ff51d486e39a52ffc249c6e062f109
  • d795cfd67aa5c4c3386e4358f0f5a3c59f8d7ea8
  • d89ff77cb3c50fc6e21166def0ce79e42ede7381
  • d934fafb506bb577d760b0750fd1ebf146a001a6
  • e07eabf9d459e314e78da90f7dc146cc0b81585c
  • e90db99fabb6e229861814a5ff7849b2712e6e6f
Похожие записи:
  1. Remcos RAT IOCs
  2. Trojan.Clipper.231 IOCs
  3. Remcos и AsyncRAT IOCs
  4. BitRAT Trojan IOC
  5. Emotet Trojan IOC
Dr.Web Fruity Remcos Remcos RAT trojan
Добавить комментарий