Распространяемые похитители информации с аномальным сертификатом

В последнее время отмечается высокий уровень распространения вредоносных программ, использующих аномальные сертификаты.

Вредоносные программы часто маскируются под обычные сертификаты. Однако в данном случае вредоносная программа ввела информацию о сертификате произвольно, причем поля Subject Name и Issuer Name содержали необычно длинные строки.

В результате информация о сертификате не видна в операционных системах Windows, а для проверки структуры таких сертификатов требуется специальный инструмент или инфраструктура.

Разумеется, такие сертификаты не проходят проверку подписи, поскольку являются некорректными и никак не могут выполнять функцию подписи. Однако при изучении строк подписи можно заметить, что в них присутствуют арабский, японский и другие неанглийские языки, а также специальные символы и знаки препинания. Это расходится с типичными для английского языка структурами символьных строк. Более того, подобные образцы с незначительными структурными вариациями постоянно распространяются уже более двух месяцев, что позволяет предположить наличие определенного умысла в данном действии.

Последний из распространяемых образцов состоит из строки, в которой по URL закодирован вредоносный скрипт. Этот скрипт предназначен для загрузки и выполнения команд PowerShell с определенного адреса, но в настоящее время он не может быть загружен. В процессе заражения этот скрипт не выполняется.

Среди распространяемых в настоящее время вредоносных программ, имеющих подобную уникальную форму, можно выделить преимущественно два штамма: LummaC2 и RecordBreaker. Оба они способны выполнять различные вредоносные действия, но в первую очередь ориентированы на похищение информации.

При заражении они могут передавать злоумышленнику конфиденциальную информацию о пользователе, такую как сохраненные в браузере учетные данные, документы, файлы криптовалютных кошельков и т.д., что может привести к серьезному вторичному ущербу. Кроме того, устанавливается дополнительная часть вредоносного ПО, назначенная агентом угрозы, что позволяет осуществлять непрерывное вредоносное поведение.

Подобные вредоносные программы распространяются через вредоносные страницы, которые легко доступны через поисковые системы (SEO poisoning), представляя угрозу для широкого круга неопределенных пользователей. На таких вредоносных страницах в основном используются ключевые слова, связанные с нелегальными программами, такие как серийники, кейгены и крэки.

RecordBreaker

RecordBreaker также известен как Raccoon Stealer V2 активно распространяется через YouTube и другие вредоносные программы. Одной из его отличительных особенностей является использование осмысленных предложений в качестве значения User-Agent при подключении к серверу C2, причем это значение периодически меняется. Последний распространяемый образец использует строку "GeekingToTheMoon". Функционально он не претерпел существенных изменений.

LummaC2

LummaC2 - наиболее активно развивающаяся вредоносная программа.

Первоначальный образец содержал конфигурационную информацию, встроенную в саму вредоносную программу. Однако впоследствии он перешел на загрузку конфигурационной информации из C2 для осуществления вредоносного поведения. Кроме того, он стал устанавливать дополнительные вредоносные программы, такие как Amadey и Clipbanker, в дополнение к простому похищению информации.

Indicators of Compromise

Domains

• acexoss.xyz
• beerword.xyz
• blockigro.xyz
• checkgoods.xyz
• cvadrobox.xyz
• equestrianjumpingfrog.fun
• fisholl.xyz
• freeace.xyz
• fullppc.xyz
• glowesbrons.xyz
• gougeflying.fun
• holdbox.xyz
• phonevronlene.xyz
• programmbox.xyz
• reconphotocolor.xyz
• scoollovers.xyz
• seededraisinlilinglov.fun
• seobrokerstv.fun
• seobrokerstv.xyz
• singlesfree.xyz
• sonyabest.xyz
• stormwumen.xyz
• survviv.xyz
• usdseancer.xyz
• welcometv.fun

URLs

• http://49.13.51.185/
• http://49.13.59.137/
• http://95.216.166.188/
• http://africatechs.com/55aa5e.exe
• http://enfantfoundation.com/amday.exe
• http://erp.fastgas.co.ke/Bitmodertorent.exe
• http://ezisystem.com/clip.exe
• http://imagebengalnews.com/amday.exe
• http://justentertainer.us/5ea275.exe
• http://lungalungaenergyltd.co.ke/Adayn.exe
• http://marrakechfolkloredays.com/clips.exe
• http://mediterraneanshippingllc.com/clip.exe
• http://moshito-marketing.com/Amda.exe
• http://portmarine.co.tz/5ea275.exe
• http://rusticironstore.com/clip.exe
• http://sms.vbglimited.com/Amda.exe
• http://tinsignsnmore.com/5ea275.exe
• http://toolstechs.com/5ea275.exe
• http://vbglimited.com/Amdays.exe
• http://vrecepte.com.ua/Blazerstreetavenu.exe

MD5

• 05ab72ab29765fa803a9a88e940cc826
• 0970196d074cbf7221f5be8208c7cba3
• 0ece25acd98b2cd0beebd20d3fc11fd1
• 2667f726136c0c848b30ec93cbd488b7
• 32b4703cc03286e610094704925ca5e4
• 331031e51a9816db6aa48a7dcff41c28
• 331c7d351bc39efb36fd53c74c12c3a5
• 3c39098b93eb02c664d09e0f94736d95
• 4cf108debe0314357431525f01376a56
• 5d2359723a3acac158320a48f1930e08
• 5dfe53ca9cd218a0ed129ebecc107cf0
• 613425d8623f118e45fb65619f71c387
• 6260a3ea150744248ed0a155d079d2c8
• 63a0789d8bfa599da31a7620947d7a24
• 6b5ad8f456dc6704638d5b3e38135a2b
• 7974df61d5906ca20e146c1b8b8b3aaa
• 7ed43c0f2093707f65369ad87832599c
• 8329b54e5b8921825579c3eae37ee8b4
• 89644b879046b97dccf71c68c88bcf42
• a0caecafa32e88f363942945f759b799
• a82d9b679c0df2a62939ee21939e7e7a
• a998f8d64d6953e1fdaafba655c84120
• aa4fb8876b89288a015fbf945da98d87
• b484fdc3953f4d84e24ba8dd309accf2
• b64c3663718228679df20e9282727110
• bb2147e536ba06511ca8ea0b43a38ef7
• cbc06399af416c6b5a5aec73890a15a1
• d8518e4fcbdbcc056a72a495430f37b6
• d8b5732afb4897035043ea05ad84f928
• dabe6f3ac23858a353c53382f92a217b
• dbee35748bd993f3bd4a822d362f309d
• de9cb5f942d9f73a1a5659172372b099
• e584f749b3b06d328001f0dea7a45617
• e5f82461f276bfb9150ab253b3474aa1
• e6facedba218387d24d6908a59f1730b
• eae39f18a51c151601eaf430245d3cb4
• fa371f301369b16a7a379008cc1b4f64