GDATA рассказали о сложной цепочка заражения, начинающаяся с электронного письма, содержащего образ ISO, и переходящая к компиляции кода C# на зараженной машине. Для ускорения процесса выполнения используется техника AppDomain Manager Injection. Некоторые статьи отмечают сходство с BBTok banker, но анализ загрузчика на базе .NET с именем Trammy.dll еще не опубликован.
BBTok Trojan
Образы ISO, которые предназначены для бразильских организаций, содержат файлы ярлыков LNK, XML, PDF и ZIP. Используя маскировку и ложное представление, злоумышленники заманивают пользователей на выполнение вредоносного кода. Исполняемый файл DANFE10103128566164.exe, являющийся версией Microsoft Build Engine, компилирует вредоносный код на языке C#. Затем создается .NET DLL, которая выполняется на зараженной машине.
Далее вредоносная программа открывает вторую DLL-библиотеку Trammy.dll, основанную на файле конфигурации проекта. Для избежания обхода UAC, используется локальный мьютекс TiiSbtvhvbCMW.
В файле конфигурации объявлен класс SacApp.SacApp как AppDomainManager, что приводит к выполнению вредоносного кода при инициализации нового домена приложения. Эта техника называется AppDomain Manager Injection.
Код Trammy.dll затрудняет деобфускацию и извлечение строк. Для декодирования строк используются пять методов, которые принимают целое число в качестве ключа. После применения инструментов деобфускации, таких как NoFuserEx и de4dot-cex, можно получить все ключи декодирования строк, используя dnlib и Python.
Indicators of Compromise
URLs
- http://pingservice.blogdns.com/myPath
- https://contador.danfajuda.com/contador/save.php?
- https://fileondemandd.site/
SHA256
- 09027fa9653bdf2b4a291071f7e8a72f14d1ba5d0912ed188708f9edd6a084fe
- 24fac4ef193014e34fc30f7a4b7ccc0b1232ab02f164f105888aabe06efbacc3
- 276a1e9f62e21c675fdad9c7bf0a489560cbd959ac617839aeb9a0bc3cd41366
- 27914c36fd422528d8370cbbc0e45af1ba2c3aeedca1579d92968649b3f562f7
- 2d2c2ba0f0d155233cdcbf41a9cf166a6ce9b80a6ab4395821ce658afe04aaba
- 2ff420e3d01893868a50162df57e8463d1746d3965b76025ed88db9bb13388af
- 35db2b34412ad7a1644a8ee82925a88369bc58f6effc11d8ec6d5f81650d897e
- 5e5a58bfabd96f0c78c1e12fa2625aba9c84aa3bd4c9bb99d079d6ccb6e46650
- 7559c440245aeeca28e67b7f13d198ba8add343e8d48df92b7116a337c98b763
- 7566131ce0ecba1710c1a7552491120751b58d6d55f867e61a886b8e5606afc3
- 8e7f0a51d7593cf76576b767ab03ed331d822c09f6812015550dbd6843853ce7
- a3afed0dabefde9bb8f8f905ab24fc2f554aa77e3a94b05ed35cffc20c201e15
- ac044dd9ae8f18d928cf39d24525e2474930faf8e83c6e3ad52496ecab11f510
- b60eb62f6c24d4a495a0dab95cc49624ac5099a2cc21f8bd010a410401ab8cc3
- cb1d2659508a4f50060997ee0e60604598cb38bd2bb90962c6a51d8b798a03b6
- dc03070d50fdd31c89491d139adfb211daf171d03e9e6d88aac43e7ff44e4fef
- ddf84fdc080bd55f6f2b409e596b6f7a040c4ab1eb4b965b3f709a0f7faa4e02
