Аналитики ShadowSyndicate Group-IB Threat Intelligence обнаружили в январе 2024 года целевую страницу, применяемую для распространения трояна BMANAGER, который создал злоумышленник Boolka. По результатам анализа, было выявлено, что данная страница использовалась в качестве тестовой площадки для платформы доставки вредоносного ПО на базе фреймворка BeEF. Boolka начал свою деятельность в 2022 году, проводя оппортунистические атаки с использованием SQL-инъекций на веб-сайты в разных странах. За последние три года злоумышленники заражали уязвимые сайты сценариями JavaScript, позволяющими перехватывать и красть данные, вводимые на зараженных сайтах.
Троян BMANAGER получил название от исследователей Group-IB. Он обнаруживает данные, связанные с банковскими операциями, логины и пароли пользователей, а также может проводить фишинговые атаки. Ключевой особенностью данного трояна является его модульность, которая позволяет злоумышленнику добавлять и удалять функциональность по запросу, а также настраивать его поведение. Это позволяет злоумышленнику быстро адаптироваться к новым ситуациям и вносить изменения в свой код, чтобы избежать обнаружения антивирусными программами.
Веб-атаки, проводимые Boolka, начинались с заражения веб-сайтов вредоносными JS-скриптами для кражи форм. Эти скрипты перехватывают данные, вводимые пользователем на сайте (такие как логины, пароли и другие конфиденциальные данные) и отправляют их на удаленный сервер злоумышленника. Кроме того, скрипт отсылает запрос на сервер для уведомления о выполнении, содержащий информацию о имени хоста зараженного сайта и текущем URL. Вредоносный скрипт был обновлен в ноябре 2023 года, и в новой версии было внесено несколько модификаций, включая добавление проверок и изменения в алгоритме сбора и передачи данных.
Кампания Boolka использовала оппортунистический подход в своих атаках, эксплуатируя различные слабости веб-сайтов, обнаруженные в ходе сканирования уязвимостей. Известны случаи SQL-инъекций, однако нет никаких конкретных шаблонов в атаках, что указывает на случайность выбранных целей.
Indicators of Compromise
IPv4
- 141.98.81.23
- 141.98.9.152
- 179.60.147.74
- 179.60.150.123
- 194.165.16.68
- 45.182.189.109
- 92.51.2.78
Domains
- beef.beonlineboo.com
- beonlineboo.com
- boolka.tk
- boolka24.tk
- mainnode.beonlineboo.com
- node.beonlineboo.com
- updatebrower.com
URLs
- http://boolka.tk/js/support.js?host=
- https://beef.beonlineboo.com/check?url=
- https://beef.beonlineboo.com/hook.js
- https://beonlineboo.com/js/support.js?host=
- https://boolka24.tk/js/support.js?host=
- https://mainnode.beonlineboo.com
- https://mainnode.beonlineboo.com/client?guid={guid}
- https://mainnode.beonlineboo.com/getinstall?guid={guid}
- https://mainnode.beonlineboo.com/getmainnodes?guid={guid}
- https://mainnode.beonlineboo.com/getprogramms?guid={guid}
- https://mainnode.beonlineboo.com/install?guid={guid}&name={version}
- https://mainnode.beonlineboo.com/usednodes?guid={guid}&t={nodeping}&node=https://node.beonlineboo.com
- https://node.beonlineboo.com
- https://node.beonlineboo.com/client?guid={guid}
- https://node.beonlineboo.com/clientdata?guid={guid}&programm={programm}&title={titleencode}&vars={resultencode}
- https://node.beonlineboo.com/clientfiledata?guid={guid}&vars={resultencode}
- https://node.beonlineboo.com/clientprogramm?guid={guid}&vars={resultencode}
- https://updatebrower.com/download/bmanager.txt
- https://updatebrower.com/download/bmbackup.txt
- https://updatebrower.com/download/bmhook.txt
- https://updatebrower.com/download/bmlog.txt
- https://updatebrower.com/download/bmreader.txt
SHA256
- 227b8233071da4d3015cb04b69285885100c9f2e5d98b803b37d23afb798375a
- 2f10a81bc5a1aad7230cec197af987d00e5008edca205141ac74bc6219ea1802
- 7266f20123edcb2e0b92ac0b63225b8db2c5ff349818b339ef1553bff06719e4
- 9434e2f277f764bb75302cd5355ed45f7624f1d993a454a7dbaf68b7e9b4b3a2
- 94430690ac9516a25ca764bae8c4b5a88d6f0308f558aea43ca50b5f750685ee
- b2dbd3187c67883c0f77c17530f41e05950e9e38b2798773770fe37f5985e367