RecordBreaker Stealer является одним из основных вредоносных программ, распространяемых под видом загрузки нелегальных программ, таких как крэки и кейгены. Впервые она появилась в прошлом году и с тех пор активно распространяется среди обычных пользователей. Он также известен как Raccoon Stealer V2 и распространяется по различным каналам, включая веб-сайты и YouTube.
RecordBreaker Stealer
CryptBot, который активно распространялся таким же образом, полностью исчез с февраля этого года, а вредоносная программа Vidar иногда появляется, но RecordBreaker теперь взял на себя большинство случаев распространения.
Из недавно распространенных образцов один был обнаружен с информацией о версии и сертификатом, замаскированным под сертификат корейской компании по производству программного обеспечения. Подробности будут описаны в этой статье.
Хотя фальсификация информации о версии и сертификатов для имитации известного программного обеспечения неоднократно происходила в прошлом, крайне необычно, что информация о версии, написанная на корейском языке, используется для атаки на корейскую компанию. Кроме того, угрожающий агент включил в сжатый файл несколько законных библиотечных файлов от настоящей компании-разработчика, чтобы придать вредоносной программе видимость легитимности.
С вечера 27 апреля по 1 мая за этот период распространения было обнаружено шесть образцов, замаскированных под данные компании. В двух случаях использовалась информация о версии, а также один украденный сертификат. (*Агент угроз был тем, кто украл информацию о версии и сертификат. Нет никакой связи между данной компанией и распространением вредоносного ПО).
Пользователи скачивают файл "PassKey_55551-CompleteFileT1.rar" с дистрибутивного сайта, попав на него во время поиска нелегальных средств аутентификации, таких как крэки или кейгены. Этот сжатый файл содержит другой сжатый файл, защищенный паролем, "FullSetup.rar", и текстовый файл "Read.me.txt", в котором записан пароль.
Вредоносная программа находится в сжатом файле, защищенном паролем. Пароль указывается либо в отдельном текстовом файле, либо в самом имени файла. При распаковке этого защищенного паролем файла вместе с исполняемым файлом вредоносной программы появляется папка, содержащая легитимные файлы компании, за которую выдают себя.
Все распространяемые в последнее время образцы имеют необычные размеры. Размер собственно вредоносной программы невелик, но ненужные данные были вставлены, чтобы раздуть размер до примерно 1,2 ГБ. Ранее размер файлов распространяемых образцов составлял около 300 МБ, но в последнее время их размер постепенно увеличивается. Недавно собранный образец имел размер файла более 2 ГБ.
При выполнении вредоносной программы происходит сбор конфиденциальной информации, сохраненной на ПК пользователя, и отправка ее на C2. Согласно ответу, полученному от С2, вредоносное ПО можно загрузить и установить с определенного URL.
В указанный период сервер С2 ответил установкой вредоносной программы ClipBanker на зараженную систему. Эта вредоносная программа остается в системе, регистрируясь в планировщике задач, и заменяет адрес криптовалютного кошелька в буфере обмена на адрес агента угрозы.
Download URL: hxxp://167.99.47[.]96/S5Y8F9I3F1Q2J6B/37836632498586869767.bin
ClipBanker MD5: 51967006b0c9cab093abcd8d920d271f
Indicators of Compromise
URLs
- http://167.99.47.96/S5Y8F9I3F1Q2J6B/37836632498586869767.bin
- http://193.233.232.250
- http://212.113.106.9
- http://94.142.138.175
- http://94.142.138.176
MD5
- 1c057fd80041bcacd09bb26ae5139570
- 2171d9ab9b1e6b377b498f028da895fb
- 2f73e418af5f3700358a8e0d7ce96718
- 51967006b0c9cab093abcd8d920d271f
- 72841262c11d15b3913684253ac34161
- 995459fea54ef72330251430f43e11ef
- faf196f338a72d3e49eb898e3e2929a3
