Основная цель мошеннических операций drIBAN - заражение рабочих станций Windows в корпоративной среде с целью изменения законных банковских переводов, осуществляемых жертвами, путем смены получателя и перевода денег на нелегитимный банковский счет (дропы, "дропы" по-русски), контролируемый ими самими или аффилированными лицами, которые затем отвечают за обработку и отмывание украденных средств.
driBAN Web-inject kit
Использование веб-инъекций - распространенная техника, применяемая различными ТА в ходе банковских мошеннических операций, поскольку они могут изменить поведение целевой веб-страницы (на стороне клиента) путем добавления вредоносного кода и перехвата всех HTTP-запросов и ответов сервера.
Ключевым компонентом этих мошеннических операций является drIBAN, набор для веб-инъекций с мощным механизмом ATS (Automatic Transfer System), используемый TA для успешного обхода механизмов проверки личности, таких как MFA и SCA, принятых банками и финансовыми учреждениями на этапах авторизации входа и платежа.
driBAN - это набор веб-инъекций, появившийся примерно в 2019 году и использовавшийся против нескольких корпоративных банковских веб-сайтов в Италии. Обычно веб-инъекции являются частью атаки MITB (Man-in-the-Browser), направленной на изменение содержимого легитимной веб-страницы в режиме реального времени путем выполнения API hooking. Они считаются продолжением техники захвата форм, поскольку могут перехватывать и управлять ответами веб-страниц для изменения содержимого до его отображения в браузере (в обход протокола TLS).
После первой кампании, направленной на несколько итальянских сайтов корпоративных банков в 2019 и 2020 годах, эта угроза затихла до 2021 года, когда была отмечена новая волна инцидентов. Наши телеметрические данные зарегистрировали новую крупную кампанию, жертвами которой стали тысячи людей в Италии.
2021 год был отмечен как "новая эра для drIBAN", поскольку впервые были введены многочисленные усовершенствования и передовые методы уклонения, переходящие от более классической операции "банковского трояна" к угрозе APT. Это продемонстрировало полноценные возможности по обеспечению устойчивости против целевых корпоративных банков в течение длительного периода времени, особенно если TA находила доказательства слабых мест в мерах противодействия мошенничеству или в процессе авторизации. Более того, в июле 2021 года мы выявили несколько банковских счетов, высоко коррелирующих с TA, и использовали их для "отладки" мер противодействия мошенничеству, где новые полезные нагрузки тестировались перед началом новых попыток мошенничества.
Информация OSINT и метрики Cleafy позволяют предположить, что операции по мошенничеству с drIBAN и TA-554 могут совпадать. Это предположение основано на страновых целях (Италия, Великобритания и Канада) и кодовой рутине, наблюдаемой в sLoad. Эти функции имеют общие специфические проверки для проверки ботов и проведения банковских мошенничеств, особенно для Ramnit. Как мы уже говорили, эту гипотезу поддерживает такая авторитетная фирма по безопасности, как ProofPoint.
Поскольку конечной целью этих мошеннических операций являются корпоративные банковские клиенты, первоначальный вредоносный спам осуществляется через "сертифицированные электронные письма", также известные как PEC, широко используемые в деловой среде в Италии, поскольку квитанция также имеет юридическую ценность. Эта особенность, по-видимому, будет первоначально принята TA в 2019 году. Тем не менее, она используется по умолчанию по следующим причинам:
- Электронные письма PEC считаются "сертифицированной электронной почтой" на территории Италии, что создает ложное чувство безопасности у получателей.
- Письма PEC в основном используются в корпоративной среде, что увеличивает возможность заражения корпоративных рабочих станций с прямым доступом к банковским порталам, уменьшая количество неинтересных ботов.
Вложение электронной почты обычно включает пару безобидных файлов (например, .pdf, .png) и исполняемый файл, обычно в форме .wsf, .vbs или .ps1, который является загрузчиком sLoad. Поскольку sLoad можно считать наиболее уязвимой частью вредоносного ПО, используемого TA для операций банковского мошенничества, за последние годы они укрепили несколько методов для поддержания очень низкого уровня обнаружения со стороны антивирусных решений, таких как обфускация и шифрование, а также использование "одноразовой" ссылки, по которой загрузчик sLoad получит и выполнит основной Powershell-скрипт sLoad. После использования этой ссылки (чаще всего неосведомленной жертвой) он собирает полезную нагрузку sLoad на стороне сервера. Однако это действие отключает дополнительное взаимодействие через эту ссылку, снижая шансы аналитиков получить "свежее подключение" к серверу, на котором размещен код.
sLoad - это загрузчик Powershell, уже хорошо описанный в технических отчетах различных фирм по безопасности, который включает в себя расширенные функции разведки, такие как: сбор системной информации (например, "имя компьютера", "сетевые данные", "список запущенных процессов" и т.д.), создание скриншотов, загрузка дополнительных этапов/загрузок и т.д.
Одной из основных техник, используемых sLoad для снижения уровня обнаружения, является Living Off The Land, также известная как LOLBins, которая заключается в злоупотреблении легитимными встроенными инструментами и продуктами Windows для сокрытия вредоносного исполнения и сетевых коммуникаций, соответственно Powershell и BITSAdmin.
Когда sLoad успешно устанавливается на машину жертвы, операторы ботнета начинают выявлять низко висящие недействительные боты, такие как виртуальные машины, песочницы и т.д., часто используемые исследователями вредоносного ПО для проведения анализа, начинают дискриминировать нелегитимных ботов, блокируя их для получения дополнительной полезной нагрузки в дальнейшем.
Эта "фаза обогащения" может продолжаться в течение нескольких дней или недель, в зависимости от количества зараженных машин. Будут утекать дополнительные данные, чтобы сделать результирующую бот-сеть все более прочной и последовательной.
Интересной техникой, используемой TA для завершения фазы разведки, является проверка кэша DNS по заранее составленному списку корпоративных банковских институтов и эксфильтрация результатов. Более конкретно, sLoad начинает извлекать информацию, содержащуюся в папке APPDATA, и инициализирует переменную, содержащую все банковские учреждения, которые являются частью его целей. Затем он начинает выполнять сопоставление между этими переменными, чтобы понять, имеет ли зараженная машина отношение к одной из этих целей. Если да, то sLoad продолжает свое заражение. В противном случае он продолжит работу, не выполняя никаких дальнейших действий (стоит отметить, что такой подход подчеркивает важность, придаваемую фазе распознавания этим TA).
Теперь все боты, успешно прошедшие эти этапы, будут отобраны операторами ботнетов и рассматриваться как "новые кандидаты" для операций банковского мошенничества, переходящие на следующий этап, где будет установлен Ramnit, один из самых продвинутых банковских троянов.
Indicators of Compromise
Domains
- guituk.eu
- jopkerto.tech
MD5
- 2c7a9e3fe582667826510d70b8c79f19
- 6c3db9101ead9e8461ae3846c43aa8ec
- 7e9280027235462727a9a351429725c6
- d5299434aa5119814df6f50d9ddce8e1
