В последнее время киберпреступники активно используют комбинированные атаки, сочетающие удаленные троянцы (RAT) и вредоносные расширения для браузеров. Одним из примеров такой тактики является Janela RAT - вариант известного BX RAT, который ранее фиксировался в атаках на страны Латинской Америки. В ходе последних исследований было обнаружено, что злоумышленники внедряют этот вредонос совместно с расширением для браузера, предназначенным для кражи данных.
Описание
Атака начинается с распространения MSI-установщиков через учетные записи GitLab. Один из таких файлов - "_61b10e601b06.msi" - содержит несколько исполняемых скриптов и архив, внутри которого скрыт основной вредоносный функционал. Среди файлов, распаковываемых установщиком, присутствуют ZIP-архив, PowerShell-скрипты и пакетные файлы.
Один из скриптов предназначен для загрузки вредоносного расширения в браузеры на базе Chromium. Он добавляет параметры запуска, принудительно загружающие зловредное дополнение:
| 1 | ""--load-extension=""$extensionPath"" --disable-extensions-except=""$extensionPath"" -no-first-run"" |
Другой скрипт отвечает за распаковку ZIP-архива и запуск исполняемого файла "LPrKz6y2fG.exe", написанного на GoLang. Интересно, что пароль для распаковки архива хранится прямо внутри этого EXE-файла. Внутри ZIP-архива находятся два ключевых компонента: само расширение для браузера и исполняемый файл Janela RAT ("BF32FB64-1EF9-4ABF-8806-8B182B7929D4.exe").
Расширение, маскирующееся под мониторинговый инструмент ("com.yourcompany.monitoringapp"), способно выполнять команды, переданные от сервера управления. Оно может делать скриншоты экрана (максимальное разрешение - 800×600 пикселей), выполнять произвольные команды через "chrome.runtime.sendNativeMessage", а также собирать системную информацию, историю браузера, куки, список установленных расширений и открытых вкладок.
Связь между расширением и сервером управления осуществляется через вебсокеты. При этом конфигурация C2 (командного сервера) динамически загружается из закодированных в base64 URL-адресов, размещенных на GitLab. Один из таких доменов - "hxxps://w51w.worldassitencia[.]com" - использовался для управления атакой.
Janela RAT, в свою очередь, обфусцирован с помощью бесплатной версии Eziriz .NET Reactor, что затрудняет его анализ. Однако ключ для декодирования строк совпадает с тем, который упоминался в блоге ZScaler ("PASSWORD = 8521"), что указывает на возможную связь между разными вариантами этого вредоноса.
Подобные атаки демонстрируют, насколько изощренными становятся методы киберпреступников. Сочетание RAT и браузерного расширения позволяет злоумышленникам не только удаленно управлять зараженной системой, но и красть конфиденциальные данные, включая учетные записи и финансовую информацию.
Индикаторы компрометации
Domains
- bulder.wordsuporttsk.com
- team000analytics.safepurelink.com
- w51w.worldassitencia.com
URLs
- https://gitlab.com/bnewcbvgeral
- https://gitlab.com/eduardolucenciosbizera/
- https://gitlab.com/gitlabworkingg/
- https://gitlab.com/mariogadu896/
SHA256
- 248ee6233a85daaa3ddc2d9aaf6f24a26969a1f46981aa2a13af0c661fe006d8
- 666ba2708be3fc6a208d1e961af343a8105959fa87bfd3322a36d6c4e57d1122
- 6ed7ec9d0c366310d647f44830a6b9bc353a0d8b9e3345253c770bb23a90bdd3
- 97364179ab942af483b973653b89c0dfb8ed5c7d56ed62dbbf7a62933c473fa6
- da6b97b245c65193eb231de0314508759a69db35a8f76afc66b4757702a231d0
- e200158dcca9b28c65d297cc2ff44a2183d8228568c2ebf98ac888d494e18649
- e2a86247b7089a5ffb4d0a3c421cedc044c744d37852ebac17291855c54713cf
