Эксперты по кибербезопасности выявили новую вредоносную кампанию, в которой злоумышленники распространяют троян Silver Fox через поддельный установочный пакет популярного приложения для ввода китайских иероглифов - Sogou Pinyin. Файл с именем sogou_pinyin_guanwang.msi и размером 159,12 МБ, имеющий хэш MD5 00d8e25ebb1ee5e1dcd131b74d77e290, внешне имитирует легальный программный продукт, но содержит скрытую нагрузку.
Описание
Анализ структуры MSI-пакета показал, что в процессе установки запускаются два исполняемых файла: легитимный sougo_pinyin_guanwang.exe, отвечающий за инсталляцию клавиатуры, и qmbrowser.exe - подписанный цифровой подписью инструмент, который используется для загрузки вредоносной библиотеки qbcore.dll. Эта DLL функционирует как загрузчик shellcode, который считывает и исполняет содержимое файла 1.txt, расположенного в той же директории.
Файл 1.txt содержит PE-загрузчик, основанный на открытом проекте sRDI с GitHub. После декодирования исполняется финальный модуль - beacon.exe, который представляет собой полнофункциональный троян типа «бэкдор» (backdoor). Он поддерживает множество команд для удаленного управления системой, сбора информации и проведения скрытных операций.
Ключевые особенности вредоносной программы включают механизмы обеспечения персистентности: создание службы с именем Xyarsj Lmefw и маскировкой под легитимный системный процесс, копирование в автозагрузку через символические ссылки, а также модификация собственного тела для усложнения анализа. Для исключения конфликтов используется мутекс с именем Global{CommandLineA}.
Троян поддерживает шифрование передаваемых данных с помощью операции XOR, собирает информацию о системе и пользователе, а также выполняет широкий спектр команд. Среди них: управление файлами и сервисами, поиск процессов и окон, операции с интерфейсом Windows, повышение привилегий через runas, принудительное завершение процессов (включая explorer.exe), очистка данных браузеров (Chrome, Firefox, Edge, Skype, Telegram и других), добавление исключений в Microsoft Defender, перенаправление портов, запись аудио, кейлоггинг (фиксация нажатий клавиш), выполнение произвольных команд и манипуляции с реестром.
Отдельное внимание уделено функциям против обнаружения: троян способен очищать журналы Windows (безопасности, приложений и системы), что значительно затрудняет последующее расследование. Также реализованы команды для перезагрузки системы, удалённого выполнения файлов и даже отображения всплывающих окон.
Индикаторы компрометации
IPv4 Port Combinations
- 45.207.12.71:1815
MD5
- 00d8e25ebb1ee5e1dcd131b74d77e290
