Специалисты по информационной безопасности столкнулись с новой угрозой. Речь идет о вредоносной программе, написанной на Node.js (платформа для выполнения кода на JavaScript вне браузера). Она оказалась кроссплатформенной. Атаке подвержены операционные системы Windows, включая подсистему WSL, а также macOS и Linux. Это делает ее опасной для широкого круга пользователей. Вредоносная программа нацелена прежде всего на кражу конфиденциальных данных.
Описание
Исследование показало, что дистрибутив стилера (программы для кражи информации) распространяется в обфусцированном виде. Для запутывания кода применялся сервис obfuscation.io. Однако злоумышленники допустили ошибку. Они встроили полезные нагрузки в открытом виде. Поэтому анализ удалось провести статически, без запуска образца. Сам файл был загружен на платформу VirusTotal с SHA256-хэшем 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9. Визуально обфусцирована только оболочка, отвечающая за выполнение. Остальной код, как выяснилось, хранится в виде длинного массива строк, закодированных в Base64.
Вредоносная программа состоит из трех отдельных модулей, каждый из которых выполняет свою задачу. Первый модуль отвечает за кражу учетных данных из браузеров. Он поддерживает большой список популярных браузеров. Среди них Chrome, Brave, Edge, Opera, Opera GX, Vivaldi, Kiwi, Yandex, Iridium, Comodo Dragon, SRWare Iron, Chromium и AVG Browser. Для доступа к сохраненным паролям и данным используется стандартный путь к папке Local AppData пользователя Windows. Кроме того, этот модуль ищет расширения для криптокошельков. В коде перечислены идентификаторы десятков популярных плагинов. Злоумышленники нацелены на Metamask, Phantom, Coinbase, Exodus и многие другие. Все похищенные данные отправляются на сервер управления по порту 8085.
Второй модуль представляет собой рекурсивный сканер файловой системы. Он ищет на устройстве жертвы файлы, названия или расширения которых содержат чувствительные ключевые слова. В списке шаблонов десятки вариантов: от "bank" и "finance" до "seedphrase", "privatekey", "wallet" и "metamask". Интерес представляют также файлы конфигураций, ключи доступа, сертификаты, базы данных и документы. Если обнаруживается совпадение, файл копируется и отправляется на порт 8086.
Тренировочный модуль реализует полноценный обратный шелл (reverse shell) через WebSocket (протокол для постоянного двустороннего обмена данными по одному TCP-соединению). Он подключается к серверу управления на порту 8087. При первом соединении на сервер уходит POST-запрос с информацией о системе. В теле запроса передаются уникальный ключ жертвы, имя хоста, тип операционной системы, имя пользователя и временная метка. После установки соединения злоумышленники получают возможность удаленно выполнять команды на зараженном устройстве.
Все три канала связи ведут на один и тот же IP-адрес: 216.126.225[.]243. Согласно данным экспертов обнаружили, этот адрес уже фигурировал в расследованиях, связанных с северокорейской хакерской деятельностью. Он используется в инфраструктуре инструмента OtterCookie (вредоносная программа, связываемая с северокорейскими кибергруппами, предназначенная для кражи данных и удаленного управления). Таким образом, есть основания полагать, что за разработкой нового стилера могут стоять те же злоумышленники.
Нельзя не отметить, что при всей запутанности основного кода исследователи нашли в нем грубые недостатки. Ключ, используемый для шифрования канала связи, хранится в открытом виде. Это строка "SuperStr0ngSecret@)@^". Она применяется для создания HMAC-подписи (алгоритм аутентификации сообщений на основе хэш-функции). Любой, кто извлечет код, может перехватывать и расшифровывать передаваемые данные. Кроме того, все HTTP-коммуникации выполняются с помощью популярной библиотеки Axios (пакет для Node.js, упрощающий отправку сетевых запросов). Это упрощает анализ сетевой активности.
По оценке специалистов, данный стилер представляет серьезную угрозу для организаций, использующих смешанные IT-среды. Компании, где сотрудники работают на разных операционных системах, могут столкнуться с массовым заражением. Особенно уязвимы те, кто хранит криптовалютные кошельки или доступ к финансовым ресурсам на рабочих устройствах. Кражу файлов с паролями и сертификатами злоумышленники могут использовать для дальнейших атак.
Пока неизвестно, как именно распространяется вредоносная программа. Эксперты предполагают, что она может маскироваться под легитимное приложение или поставляться через фишинговые письма. Источники сообщили, что образец на VirusTotal был помечен как "извлеченный-декодированный", что может указывать на попытку анализа самими злоумышленниками. Но окончательных выводов о векторах атак пока нет.
Специалисты рекомендуют соблюдать базовые меры предосторожности. Регулярно обновлять программное обеспечение, не скачивать файлы из ненадежных источников, использовать двухфакторную аутентификацию. Для организаций важно настроить мониторинг трафика на нестандартные порты - 8085, 8086, 8087. Обнаружение исходящих подключений к IP-адресу 216.126.225[.]243 должно немедленно вызывать подозрение.
Этот инцидент лишний раз подтверждает, что даже хорошо обфусцированный код может содержать критические уязвимости. Открытый ключ шифрования и использование общедоступных библиотек делают стилер уязвимым для анализа. Однако это не снижает его опасности. Пользователям и администраторам следует быть внимательными. Угроза со стороны северокорейских группировок, таких как те, что стоят за OtterCookie, остается высокой.
Индикаторы компрометации
IPv4
- 216.126.225.243
URLs
- http://216.126.225.243:8086/upload
MD5
- 6b1cdb94f77cf51e0f2ca52d3549d404
SHA1
- dd1b7f7488826448dc204228ee14dced91b82dd3
SHA256
- 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9
