Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) наблюдал распространение PDF-файлов, содержащих вредоносные URL-адреса. Домены
на которые ведут ссылки из PDF-файлов, указывают на то, что подобные PDF-файлы распространяются распространяются под видом загрузки определенных игр или кряков
версий программных файлов. Ниже приведен список некоторых PDF-файлов, которые которые распространяются.
При нажатии на кнопку в распространяемых PDF-файлах пользователь переходит на вредоносный URL-адрес. На рисунке ниже показан экран, который отображается при открытии PDF-файла. Нажатие на любую из двух кнопок, выделенных красным цветом, ведет на следующий URL.
hxxps://fancli[.]com/21czb7
По подключенной ссылке пользователи перенаправляются на следующий URL.
hxxps://pimlm[.]com/c138f0d7e1c8a70876e510fcbb478805FEw1MBufh9gLOVv4erOokBCFouvPxBIEeH3DBT3gv3
При нажатии на синюю кнопку загрузки происходит загрузка зашифрованного сжатого файла и перенаправление пользователей на страницу с паролем для расшифровки.
На перенаправляемой странице отображается строка "Archive password: 1234" для расшифровки, чтобы предложить пользователям распаковать и выполнить зашифрованный файл.
После распаковки загруженного файла "Setup.7z" с использованием пароля создается файл File.exe. При запуске процесса File.exe с правами администратора происходит изменение значения реестра, как показано ниже, для отключения Защитника Windows.
- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender:DisableAntiSpyware=1
Кроме того, похищается информация об IP-адресе и местоположении, используя регистрационные данные браузера зараженного ПК и API-сайт с информацией об IP-адресе. Затем по указанному ниже пути загружаются дополнительные вредоносные программы.
| 1 2 | C:\Users\%USERNAME%\Pictures C:\Users\%USERNAME%\Pictures\Minor Policy |
Загружаемые вредоносные программы могут быть разных типов: PUP с функцией выкупа, stealers, дропперы и другие. Некоторые из загруженных файлов имеют свойства "скрытый" и "системный".
Общий процесс распространения вредоносного ПО начинается с PDF-файла, содержащего начальный вредоносный URL-адрес, по которому пользователю предлагается загрузить и выполнить вредоносное ПО. Далее вредоносная программа загружает и исполняет множество других вредоносных программ, таких как программы-вымогатели, рекламное ПО и Infostealers.
В частности, вредоносная программа, загружаемая с адреса hxxp://109.107.182[.]2/race/bus50.exe, представляет собой SFX-файл, состоящий из CAB-файла. При выполнении SFX-файла в папке "IXP000.TMP" по пути %TEMP% создается файл, выполняющий вредоносное поведение, и еще один SFX-файл. SFX-файл в подпапке создает папки с именами, в которых цифры за строкой "IXP" увеличиваются (например, "IXP001.TMP") по пути %TEMP%, что приводит к созданию подфайлов. Этот процесс повторяется до тех пор, пока в общей сложности не будет создано 6 SFX-файлов и 7 дополнительных вредоносных программ.
Indicators of Compromise
URLs
- http://109.107.182.2/race/bus50.exe
- http://171.22.28.226/download/Services.exe
- http://albertwashington.icu/timeSync.exe
- https://experiment.pw/setup294.exe
- https://sun6-22.userapi.com/c909518/u493219498/docs/d15/e2be9421af16/crypted.bmp?extra=B1RdO-HpjVMqjnLdErJKOdzrctd5D25TIZ1ZrBNdsU03rpLayqZ7hZElCroMxCocAIAu5NtmHqMC_mi0SftWWlSiCt45Em-FJQwMgKimJjxdYqtQzgUWp3F9Fo0vrbdrH_15KJlju51Y3LM
- https://vk.com/doc493219498_672808805?hash=WbT8ERQ6JqZtcpYqYQ1dqT20VUT6H55UBeZPohjBEcL&dl=OZT9YtCLo5wh0Asz409V6q2waoA5QzfpbHWRNw1XuN4&api=1&no_preview=1
MD5
- 3837ff5bfbee187415c131cdbf97326b
- 7e88670e893f284a13a2d88af7295317
- 9ce00f95fb670723dd104c417f486f81
- d97fbf9d6dd509c78308731b0e57875a
