Автор угрозы распространяет легитимный EXE-файл с валидной сигнатурой и вредоносную DLL, сжатую в одном каталоге. Сам EXE-файл является легитимным, но при его выполнении в том же каталоге, что и вредоносная DLL, происходит автоматический запуск этой вредоносной DLL. Такая техника называется DLL hijacking и часто используется при распространении вредоносных программ.
Распространение вредоносных программ, замаскированных под крэки и кейгены для коммерческого ПО, также увеличивает количество примеров использования метода перехвата DLL. Распространение вредоносного ПО началось примерно в мае прошлого года и активно продолжается с августа по настоящее время.
При поиске различных взломанных коммерческих программ в поисковых системах вредоносные сайты оказываются на первых местах, а нажатие кнопки "Загрузить" на этих сайтах приводит к различным перенаправлениям, после чего пользователь попадает на конечный сайт распространения. Загружаемый файл представляет собой зашифрованный сжатый RAR-файл, пароль к которому указан в имени файла или на странице дистрибутива. После распаковки этого файла и выполнения содержащегося в нем легитимного EXE-файла происходит заражение системы вредоносной программой. EXE-файлы чаще всего называются setup.exe или Installer.exe и имеют валидные подписи, поскольку в большинстве своем являются исполняемыми файлами известных программ.
Вредоносные DDL-файлы создаются путем модификации сегмента легитимных DLL-файлов. Модифицированный код считывает определенный файл данных в том же каталоге, расшифровывает его и выполняет. Если бы все данные вредоносной программы содержались в DLL-файлах, то внешний вид файлов был бы существенно изменен, что облегчило бы их обнаружение. Поэтому можно предположить, что данный метод используется для того, чтобы вредоносное поведение осуществлялось при минимальном изменении исходных DLL-файлов.
В конечном итоге для работы вредоносной программы файл данных, легитимный EXE-файл и модифицированная вредоносная DLL должны находиться в одном каталоге. Файл данных маскируется под файл изображения PNG. Модифицированная область вредоносной DLL включает в себя конечную часть определенной функции, которая должна быть выполнена в потоке выполнения EntryPoint, а также некоторые области кода и данных. Весь код зашифрован и выполняется после расшифровки в памяти, чтобы обойти обнаружение шаблонов кода. После выполнения вредоносная программа удаляет вредоносные DLL-библиотеки, чтобы стереть следы.
Indicators of Compromise
URLs
- http://5.42.66.17/
- http://cloudsaled.xyz/
- http://cloudsaled.xyz/c2conf
- http://gonberusha.fun/api
- http://go-vvv.com/hittest.php
- http://hokagef.fun/api
- http://nursepridespan.fun/
- http://nursepridespan.fun/api
- http://paintpeasmou.fun/
- http://paintpeasmou.fun/api
- http://spreadbytile.fun/
- http://spreadbytile.fun/api
- http://tfestv.fun/api
- http://warnger.xyz/
- http://warnger.xyz/c2conf
- http://willywilk.fun/api
MD5
- 12e5c5c08049ecaa5e15d51bbe58fd41
- 1377ef7319507a10d135d5128ac9fbc8
- 200499eacae55905e27d0b96314cb0c7
- 23ba27d352305f29d201ac5e43fc4583
- 4474e26725db0e84d8418b25137d275b
- 483ad6a57ea6cae5696841f07f1177f0
- 48c9a0c76b44a5f2729c876085adba4e
- 4b8ac7aab387e01cfa2c53cad3ef69b1
- 4ec1a433d0c1e6b58da254b506e3444f
- 4f688e1c75cbee5949af010cbc5d4057
- 50a40274ffe963e1f214f9f19746e29e
- 58ea42289ae52e82ffcfa20071c32d7a
- 61762b4a21b0b7b479d2eac80b630c2e
- 64e3c6d6a396836e3c57b81e4c7c8f3b
- 696e066c4f3d52d5766e724afbdb3594
- 8096e5aacfe4dc4ea1afe03ca254982a
- 88691dbfa349db78f96e3278d1afc943
- 89618931cf9487370542ca40509795a4
- 8f0717916432e1e4f3313c8ebde55210
- a13bfe522abc659704965388ad4581ee
- a3a0395dc0f15e2e92a55dcb7c3a7735
- a860b368e9e2aa5cb4e7cb73607d18b1
- ba99b11a84a19051eca441320af22f4e
- c474b9effe72f11e73bfd8e2d5235108
- c8a2de7077f97d4bce1a44317b49ef41
- cce7eaa082751bdd6780707a9444964d
- e634616d3b445fc1cd55ee79cf5326ea
- e74fb90de19d7cc0b01155f29e6c306f
- f362e88dd656c5512dbee66efffae107
