Недавно FortiGuard Labs обнаружила электронное письмо, использующее тактику колебания на рынке энергоносителей и связанный с этим рост цен для потребителей. Сообщение было доставлено кофейной компании в Украине, которое, по всей видимости, было отправлено поставщиком нефти в Саудовской Аравии. Под видом заказа на поставку, частичное изображение PDF файла, отображаемое в теле письма, на самом деле было ссылкой на ISO файл, размещенный в облаке, который содержал исполняемый файл для GuLoader. Известный также как CloudEye и vbdropper, GuLoader датируется по крайней мере 2019 годом и обычно используется для развертывания других вариантов вредоносного ПО, таких как Agent Tesla, Formbook и Lokibot.
GuLoader
Этот случай интересен тем, что для развертывания исполняемого файла используется NSIS (Nullsoft Scriptable Install System), бесплатный инструмент создания сценариев установки для Microsoft Windows.
В первой части этого блога мы подробно рассмотрим фишинговое письмо и проведем статический анализ встроенного вредоносного ПО, а во второй части будет представлен динамический анализ вредоносного ПО вместе с файлом шеллкода "rudesbies.Par".
Приглашение получателя просмотреть счет-фактуру или заказ-наряд - обычная фишинговая замануха, которой следует и эта атака.
В письме утверждается, что оно пришло от известной нефтяной компании из Саудовской Аравии (эта информация была отредактирована вместе с данными получателя). Даже без просмотра заголовков электронной почты сразу становится ясно, что происхождение этого сообщения не соответствует заявленному.
Заголовки подтвердили письмо было отправлено с домена "zoneofzenith.com".
Исследуя письмо дальше, FortiGuard Labs обнаружили, что получателю предоставляется то, что должно выглядеть как PDF-документ, содержащий предполагаемый заказ на поставку, встроенный в основной текст. Однако просмотр HTML-файла, лежащего в основе письма, показывает, что это не так. Встроенный "документ" представляет собой изображение с гипертекстовой ссылкой, которое подключается к облачному хранилищу Microsoft OneDrive.
При нажатии на ссылку получатель переходит на OneDrive и просит загрузить "заказ на поставку". Однако вместо PDF загружается файл "PO#23754-1.ISO". Это первый шаг в цепи заражения, в результате которого GuLoader попадает в систему жертвы.
Microsoft Windows обычно разрабатывается так, чтобы быть максимально полезной, когда речь идет об известных типах файлов. В данном случае загруженный файл .ISO (образ оптического диска) автоматически монтируется при нажатии, тем самым представляя содержащийся в нем файл.
Однако, вместо ожидаемого PDF, на этот раз файл является исполняемым. Поскольку Windows не отображает расширения по умолчанию, не сразу видно, что этот файл является исполняемым, поэтому его трудно отличить от ожидаемого документа с тем же именем (кроме столбца "Тип", указывающего на приложение).
Этот файл является исполняемым файлом NSIS, который развертывает GuLoader.
PO#23754-1.exe представляется как 32-разрядный исполняемый файл Windows.
Система Nullsoft Scriptable Install System (NSIS), изначально разработанная как программа установки для распространения музыкального проигрывателя Winamp, существует с 2000 года. По сути, это контейнер (как Zip-файл), который использует сценарий для развертывания файлов в нужных местах системы.
Такой инструмент, как 7Zip, может извлечь большинство файлов, содержащихся в контейнере.
Для этого исполняемого файла 7Zip помещает 13 файлов и 1 каталог (который также содержит один файл) в выбранное место извлечения. Довольно интересно, что все файлы (кроме rudesbies.Par и System.dll, которые хранятся в $PLUGINSDIR) - это мусор для исследователей, которые могут потерять время для тех, кто пытается отследить, что делает файл. Каждый из этих других файлов, некоторые из которых являются легитимными, безвреден.
К сожалению, стандартная установка 7Zip не может открыть ключевой компонент, необходимый для дальнейшего изучения PO#23754-1.exe - сценарий NSIS. Для этого требуется другой инструмент. 7z-build-nsis является одним из таких инструментов. Как следует из названия, это модифицированная сборка 7Zip, предназначенная для извлечения скрипта NSI.
Структура и синтаксис NSIS полностью открыты и доступны для просмотра.
Сценарий использует $TEMP в качестве каталога установки и создает ключ реестра "HKCU Software\stemningsfulderes\DISINTENSIFI "Expand String Value" %WINDIR%\PARALLELIZING.log".
Сценарий выполняет несколько системных вызовов Windows. Некоторые из них имеют базовый уровень обфускации. Файл rudesbies.Par (упомянутый выше) также присутствует. Используются следующие вызовы:
- KERNel32::CreateFileW(t $\"$INSTDIR\rudesbies.Par$\", i $0, i 0, p 0, i 4, i $1, i 0)i.R1
- KERNel32::GetFileSize(i R1, *i 0)i.r7
- KERNel32::VirtualAllocEx(i -1,i 0,i 0x100000, i 0x3000, i 64)p.R3
- KERNel32::ReadFile(i R1, i R3, i r7,*i 0, i 0)
- KERNel32::CloseHandle(i R1)
- user32::EnumWindows(i R3 ,i 0)
По сути, сценарий хочет прочитать файл "rudesbies.Par" в буфер памяти, а затем проверить, существует ли для него окно. Вызов производится к файлу "System.dll", который содержит необходимые библиотечные функции Windows. Она хранится в каталоге "$PLUGINSDIR" и при выполнении будет помещена во временный каталог.
Поскольку файл "rudesbies.Par" участвует в системных вызовах сценария NSIS, логичным шагом на данном этапе расследования было бы изучить его на предмет получения дополнительной информации. К сожалению, файл сильно закодирован и поэтому не поддается прочтению без дополнительной обработки.
Indicators of Compromise
URLs
- bounceclick.live/VVB/COrg_RYGGqN229.binb
Emails
- info@zoneofzenith.com
SHA256
- c4debff9c0ec8a56aea5cd97215c6c906bd475ea8bd521fb9a346a4c992a0448
- 14d52119459ef12be3a2f9a3a6578ee3255580f679b1b54de0990b6ba403b0fe
- 4a1b6b30209c35ab180fa675a769e3285f54597963dd0bb29f7adb686ba88b79