Вирусные аналитики компании «Доктор Веб» обнаружили масштабную кампанию, направленную на распространение вредоносного ПО для майнинга и кражи криптовалюты. Для заражения компьютеров жертв злоумышленники используют трояны, замаскированные под офисные программы, игровые читы и боты для онлайн-торговли. Кампания была обнаружена в ходе рутинного анализа облачной телеметрии, где была выявлена подозрительная активность программы, маскирующейся под легитимный компонент Windows. Было установлено, что эта программа связывается с удаленным сетевым узлом и ожидает внешнего подключения для запуска интерпретатора командной строки cmd.exe.
Троянская кампания по добыче и краже криптовалюты затронула более 28 000 пользователей
Источником заражения в этой кампании являются мошеннические веб-сайты, созданные на платформе GitHub, что противоречит правилам платформы. Злоумышленники также вставляют ссылки на вредоносное ПО в описания к видеороликам на YouTube. При переходе по этим ссылкам загружается зашифрованный архив, защищенный паролем, что предотвращает его автоматическое сканирование антивирусным ПО. После ввода пароля в определенную папку на компьютере жертвы извлекается набор временных файлов. Эти файлы включают в себя распаковщик архивов RAR, архив RAR, а также обфусцированные скрипты, инициирующие перезагрузку компьютера и выполняющие вредоносные действия.
Злоумышленники замаскировали свои вредоносные программы, переименовав файлы и использовав достоверные цифровые подписи. Например, они переименовали файл AutoIt3.exe в ShellExt.dll, чтобы он выглядел как библиотека для программы WinRAR. Другой файл, UTShellExt.dll, позаимствованный из утилиты Uninstall Tool, использовался для выполнения вредоносного скрипта AutoIt. Сценарий сильно обфусцирован, чтобы скрыть его истинное назначение.
Злоумышленники также используют различные техники для обеспечения устойчивости на взломанных системах. Они ищут отладочное ПО в списке процессов и завершают скрипт, если таковое обнаруживается. Если отладочное ПО не найдено, извлекаются необходимые для атаки файлы. Злоумышленники также модифицируют реестр для реализации перехвата запуска приложений с помощью техники IFEO. Эта техника позволяет запускать вредоносное приложение каждый раз, когда выполняется легитимное приложение, путем изменения пути к отладчику.
Кроме того, вредоносная программа запрещает удаление, запись и изменение доступа к определенным папкам и файлам, отключает службу восстановления Windows и отправляет информацию о зараженном компьютере в Telegram. Эта информация включает в себя технические характеристики, имя компьютера, версию операционной системы и сведения об установленном антивирусном ПО.
В целом эта кампания демонстрирует изощренные методы, используемые злоумышленниками для распространения вредоносного ПО для майнинга и кражи криптовалюты. Использование маскировки, обфускации и методов персистенции затрудняет обнаружение и удаление вредоносного ПО.
Indicators of Compromise
Domains
- gamejump.site
- gamesjumpers.com
- sportjump.ru
URLs
- https://discord-pc.github.io/
- https://excel-ms.github.io/
- https://iplog.co/setup
- https://pixeldrain.com/u/5md5hn6e
- https://pixeldrain.com/u/AufE6Hff
- https://pixeldrain.com/u/iq1Cib5M
- https://taplink.cc/demosoft
- https://utorrent-app.github.io/
- https://yip.su/InSetup
- https://yip.su/osth
SHA1
- 026b55e8934b8500c26adbb501ee3964e2788511
- 0df9b2617b18f6ca4cfb50bb0490bc2705b077a2
- 151b8dba3e67fb2a39cc905faed9e87b948acf45
- 15260895196748e5a476b5bf8d4595cfdff086c5
- 33e1dc544536eb4154a2f1ed218c33b6e3dece39
- 3faf1cdf9986a43a2c4cc980a9788bd3186f3787
- 60fdcc08d413988b027218705d477af054c84769
- 6729925abe113e9a7d8bc8ef52897c29304ed0e2
- 6835808021fb22d1a1549f1e80c26fb5ce76c53a
- 6fbba1d146d20fc9d8717a9be224057fd5db1a14
- 70be5104fac7c5b02a9978598aa9c813f1f5c400
- 70e24d932fd45fca7e3b2c83513575ca789475d3
- 72459c0c5591b4230875bc729158d63c2b87c6da
- 76d69bc3a9829e4ddfe350a4098632b9b64da99d
- 79ded24c4f125ea27df64e543a79fd955d871cbf
- 7ae374be3e30eb3b521f36d733fdf9de73f48aba
- 98922170ce92067fbdf164511eea3c9f60afb5f2
- 9bade99535106c1e9467b1ce71e4a254c8af4f64
- b1ff3d48a3946ca7786a84e4a832617cd66fa3b9
- bd526970dbddc9341a2dbce911099f59a3f8a3a5
- d0b7186434f859be1fa22b59a9992e7165c80be8
- d6b39e73a013c923a2da5070bb7c73fa34baeb20
- db702e12e1eff49e553d8bdbb6a76c088e78af0e
- ee23df32b53ab84c1683fff9c6dc55c82ab2311b
- f9f27d09afc876750722d79e462ebffb480647ca
