Новый киберугроз: Janela RAT и дополнение-вор данных распространяются вместе

remote access Trojan

В последнее время киберпреступники активно используют комбинированные атаки, сочетающие удаленные троянцы (RAT) и вредоносные расширения для браузеров. Одним из примеров такой тактики является Janela RAT - вариант известного BX RAT, который ранее фиксировался в атаках на страны Латинской Америки. В ходе последних исследований было обнаружено, что злоумышленники внедряют этот вредонос совместно с расширением для браузера, предназначенным для кражи данных.

Описание

Атака начинается с распространения MSI-установщиков через учетные записи GitLab. Один из таких файлов - "_61b10e601b06.msi" - содержит несколько исполняемых скриптов и архив, внутри которого скрыт основной вредоносный функционал. Среди файлов, распаковываемых установщиком, присутствуют ZIP-архив, PowerShell-скрипты и пакетные файлы.

Один из скриптов предназначен для загрузки вредоносного расширения в браузеры на базе Chromium. Он добавляет параметры запуска, принудительно загружающие зловредное дополнение:

Другой скрипт отвечает за распаковку ZIP-архива и запуск исполняемого файла "LPrKz6y2fG.exe", написанного на GoLang. Интересно, что пароль для распаковки архива хранится прямо внутри этого EXE-файла. Внутри ZIP-архива находятся два ключевых компонента: само расширение для браузера и исполняемый файл Janela RAT ("BF32FB64-1EF9-4ABF-8806-8B182B7929D4.exe").

Расширение, маскирующееся под мониторинговый инструмент ("com.yourcompany.monitoringapp"), способно выполнять команды, переданные от сервера управления. Оно может делать скриншоты экрана (максимальное разрешение - 800×600 пикселей), выполнять произвольные команды через "chrome.runtime.sendNativeMessage", а также собирать системную информацию, историю браузера, куки, список установленных расширений и открытых вкладок.

Связь между расширением и сервером управления осуществляется через вебсокеты. При этом конфигурация C2 (командного сервера) динамически загружается из закодированных в base64 URL-адресов, размещенных на GitLab. Один из таких доменов - "hxxps://w51w.worldassitencia[.]com" - использовался для управления атакой.

Janela RAT, в свою очередь, обфусцирован с помощью бесплатной версии Eziriz .NET Reactor, что затрудняет его анализ. Однако ключ для декодирования строк совпадает с тем, который упоминался в блоге ZScaler ("PASSWORD = 8521"), что указывает на возможную связь между разными вариантами этого вредоноса.

Подобные атаки демонстрируют, насколько изощренными становятся методы киберпреступников. Сочетание RAT и браузерного расширения позволяет злоумышленникам не только удаленно управлять зараженной системой, но и красть конфиденциальные данные, включая учетные записи и финансовую информацию.

Индикаторы компрометации

Domains

  • bulder.wordsuporttsk.com
  • team000analytics.safepurelink.com
  • w51w.worldassitencia.com

URLs

  • https://gitlab.com/bnewcbvgeral
  • https://gitlab.com/eduardolucenciosbizera/
  • https://gitlab.com/gitlabworkingg/
  • https://gitlab.com/mariogadu896/

SHA256

  • 248ee6233a85daaa3ddc2d9aaf6f24a26969a1f46981aa2a13af0c661fe006d8
  • 666ba2708be3fc6a208d1e961af343a8105959fa87bfd3322a36d6c4e57d1122
  • 6ed7ec9d0c366310d647f44830a6b9bc353a0d8b9e3345253c770bb23a90bdd3
  • 97364179ab942af483b973653b89c0dfb8ed5c7d56ed62dbbf7a62933c473fa6
  • da6b97b245c65193eb231de0314508759a69db35a8f76afc66b4757702a231d0
  • e200158dcca9b28c65d297cc2ff44a2183d8228568c2ebf98ac888d494e18649
  • e2a86247b7089a5ffb4d0a3c421cedc044c744d37852ebac17291855c54713cf
Комментарии: 0