Преступники всегда стремятся скрыть свои следы, и сейчас они находят новые способы сделать это. Из одного такого метода, называемого I2P, злоумышленниками редко пользовались до недавнего времени. Тем не менее, 19 ноября пользователь X Gi7w0rm поделился информацией о новом виде вредоносного ПО, которое использует I2P для коммуникации с сервером командов и контроля (CnC).
I2PRAT Malware
I2P - это шифрованная пиринговая сеть, которая обеспечивает безопасную и анонимную коммуникацию между участниками. Зашифрованные сообщения не могут быть прочитаны наблюдателями, и источник и получатель остаются скрытыми. Вредоносное ПО, о котором идет речь, использует I2P для связи с CnC-сервером. Для этого оно использует I2PD, открытую реализацию клиента I2P на языке C++.
Цепочка заражения начинается с фишинговой атаки, когда пользователь переходит по фальшивой ссылке в электронном письме и попадает на страницу с поддельной капчей. Затем на странице запускается вредоносный скрипт JavaScript, который копирует вредоносный сценарий PowerShell в буфер обмена пользователя. Далее, если пользователь случайно выполнит этот скрипт, загрузчик вредоносного ПО первой стадии загружается и запускается.
Загрузчик использует механизмы обхода безопасности, чтобы получить повышенные привилегии и загрузить и выполнять полезную нагрузку вредоносной программы. Этот загрузчик обращается к CnC-серверу через зашифрованное соединение и выполняет инструкции по получению и выполнению дополнительных зашифрованных полезных нагрузок.
Вредоносная программа также обходит защиту Microsoft Defender, отключая функции, связанные с защитой от вредоносных программ, и добавляя исключения. Кроме того, она использует технику, основанную на Windows Filtering Platform (WFP), чтобы управлять фильтрами для сетевого трафика и делать машину-жертву уязвимой.
Это новое вредоносное ПО, использующее I2P, представляет реальную угрозу для безопасности компьютерных систем. Вредоносный сценарий включает различные хитрые методы обмана и обхода защитных механизмов, и его обнаружение и удаление могут быть сложными задачами. Пользователям рекомендуется быть осторожными при открытии электронных писем и следить за подозрительной активностью на своих компьютерах.
Indicators of Compromise
URLs
- http://porn-zoo.sbs/
SHA256
- 0a8fcb54df736100f5792b6ce57ae165553712cb1e5701e4e0dd7620e6089f59
- 1b6e559dc0cb37ebb2311c7cbf01b039f0dc1c3ec6da057837451a531b1e2cb0
- 44cf4321c138c4cacecc95deba735f508c96049e7f0e8f0538684dc4f0c1e9a5
- 49adf0fc74600629f12adf366ecbacdff87b24e7f2c8dea532ea074690ef5f84
- 51c131081921626d22faf44977d5e4dcfe00e5d6cddeda877a82f13631be7c2e
- 6f4699c909135fa5b5300aa5c8996ca8f252d1b136c1d47904135ee371f5cac6
- 77d203e985a0bc72b7a92618487389b3a731176fdfc947b1d2ead92c8c0e766b
- 81da68f52df2ed997c374ccbefc56849650770fb30eda8f202bbc7fc3fe6a51d
- 8a272884fbc69589d268ef27c51d5a5ce79fe25749d84f0f803a9d5a64f48bd5
- a11bc0408a0b1ac5976ebb4f8fa36f99a393c140a31dbc3d82350ab492bf7a5a
- a62bdf318386aaab93f1d25144cfbdc1a1125aaad867efc4e49fe79590181ebf
- a78945e7532ecdb29b9448a1f3eef2f45ec2f01ca070b9868258cbcd31eac23f
- adfe373f98cabf338577963dcea279103c19ff04b1742dc748b9477dc0156bb4
- ae2d023ebbfeefd5a26eaa255ad3862c9a1c276bb0b46ff88ea9a9999406d6b6
- dab30ceacf259ea08ad512a1815447e0c9bd5e91dac70abafdc2094fa4896c98