DarkCloud v4.9: новый уровень кражи данных - четырёхступенчатая атака с обходом шифрования Chrome

Вредоносное ПО DarkCloud впервые заметили в 2022 году. Его автор известен под псевдонимом Darkcloud Coder (ранее BluCoder), и он продаёт свой продукт через Telegram и на specialised сайте. Злоумышленники могут приобрести стилер по цене, которая варьируется в зависимости от набора функций. На сегодняшний день в репозитории Malware Bazaar хранится не менее 1464 образцов этого вредоноса, что говорит о его широком распространении.

Способы доставки различаются в зависимости от группы, использующей DarkCloud. Некоторые кампании применяют старую уязвимость Microsoft Office CVE-2017-11882, отправляя жертвам фишинговые письма с вложениями, замаскированными под важные деловые документы. В ходе исследования специалисты изучили образец, который распространялся по электронной почте и был назван transferencia interbancaria (BBVA).exe, то есть "межбанковский перевод (BBVA)". Испанский банк BBVA является крупным финансовым институтом, и, судя по названию, атака была нацелена на испаноязычных пользователей, возможно, в Южной Америке.

Цепочка заражения состоит из четырёх звеньев. Первый этап - файл-загрузчик (stager), который содержит два скрытых компонента: сам загрузчик (loader) и основную полезную нагрузку. Загрузчик замаскирован под файл с расширением .mkv, а полезная нагрузка хранится в зашифрованном виде как данные изображения. Stager извлекает загрузчик и запускает его в памяти без записи на диск, используя технику отражённой загрузки сборок .NET. Затем управление передаётся загрузчику.

Загрузчик выполняет проверки на наличие отладчика и, если всё в порядке, расшифровывает основную полезную нагрузку из ресурсов stager. Он анализирует конфигурацию, которая может включать такие опции, как внедрение в процесс, закрепление в системе и задержки перед выполнением. Если внедрение в процесс включено, загрузчик выбирает целевую программу. По умолчанию это AddInProcess32.exe - легитимный компонент .NET Framework, подписанный Microsoft. Затем загрузчик извлекает из своих ресурсов специальную DLL-библиотеку CornerstoneVigil.dll, которая отвечает за инъекцию кода.

Третий этап - собственно инъекция, которая использует технику Process Hollowing (замена кода легитимного процесса вредоносным). Внедрение происходит в память AddInProcess32.exe, после чего запускается финальная полезная нагрузка.

Финальное звено - сам стилер DarkCloud версии 4.9, скомпилированный как нативное приложение на Visual Basic 6. Он содержит в себе два встроенных изображения в формате BMP, под которыми скрываются дополнительные исполняемые файлы. Первый из них предназначен для извлечения ключа App-Bound Encryption из Chromium-браузеров. Напомним, что начиная с версии Chrome 125, пароли шифруются дважды: сначала с помощью ключа DPAPI (механизм защиты данных Windows), а затем дополнительно ключом, привязанным к самому браузеру, что затрудняет кражу данных даже программами, работающими в контексте пользователя. DarkCloud обходит эту защиту, размещая в системной папке специальную утилиту, запуская её с повышенными привилегиями и сохраняя извлечённый ключ в текстовом файле.

Второе встроенное изображение содержит вспомогательную DLL для работы с базами данных SQLite, которые используются браузерами для хранения учётных данных, кукисов и истории.

Перед началом кражи данных стилер выполняет проверку на наличие средств анализа: он ищет в списке процессов такие инструменты, как Fiddler, Wireshark, Procmon, IDA и другие. Если ни один из них не обнаружен, он также оценивает аппаратные характеристики - объём диска должен превышать 60 ГБ, оперативной памяти - более 2 ГБ, а количество процессоров - больше одного. Если система не соответствует этим критериям, вредонос завершает работу, вероятно, пытаясь избежать выполнения в изолированных средах или на слабых виртуальных машинах.

Затем DarkCloud создаёт временную папку в каталоге Templates, куда копирует файлы браузеров: базы данных Login Data, Web Data, файлы Firefox key4.db и logins.json. Стилер извлекает пароли, кредитные карты и другую конфиденциальную информацию. Для Mozilla-совместимых браузеров он поддерживает как старые, так и новые методы шифрования. Для Chrome-совместимых браузеров реализованы три режима расшифровки: для версий до 80 (v10), с 80 по 124 (v11) и современная версия с App-Bound Encryption (v20).

Кроме кражи паролей, DarkCloud способен собирать cookie-файлы, контакты, делать скриншоты и записывать нажатия клавиш. Кейлоггер фиксирует ввод в привязке к окну активного приложения и сохраняет данные в текстовый файл каждые пять минут.

Собранная информация передаётся на сервер управления. В проанализированном образце использовался FTP, но стилер поддерживает также отправку по электронной почте, через HTTP-панель или Telegram-бота. После успешной передачи локальные файлы удаляются.

Выводы экспертов однозначны: DarkCloud v4.9 представляет серьёзную угрозу как для частных пользователей, так и для организаций. Способность обходить новейшие механизмы шифрования Chrome и маскироваться под легитимные процессы Microsoft делает этот стилер особенно опасным. Компаниям рекомендуется усилить защиту конечных точек, использовать многофакторную аутентификацию и регулярно обновлять программное обеспечение, чтобы минимизировать риск заражения через фишинг и эксплуатацию известных уязвимостей.

IPv4

• 103.224.93.248

Domains

• ftp.hngandpartners.com

SHA256

• 10d329d21caaa130466427ff625d0bfae6b1f1d26adfefd9f81f8a63f85b88d0
• 2fa3ed65466f8e9231435ef685d62a50e197734fdef2420c1bcdb5754b81ef79
• 6be1ef4e277daf12f2390d53d35de79ca87c2869163e1a9bdea2208daea2b942
• 6ea8301976e4454cae7b9e1a6e6af64666ced5f0c15732fbfed4838301074d36
• 76bed839d113e1efe4267bc736303a48091e8e2ad0ce4f920446a5630708f811
• a8b1c3edd57f6d65e60777db63890d4bf55672ff612f047e30ff8fc281ae4e33