«Серебряная лиса» скрывается в стандартной библиотеке Python: анализ сложного многоэтапного вредоносного ПО

Вредоносная программа распространяется под видом установочного пакета MSI для браузера Google Chrome. При запуске пользователь видит настоящий инсталлятор Chrome, однако в фоновом режиме уже выполняется цепочка вредоносных действий. Исследователи отмечают, что данный образец является примером сложного многоэтапного вредоносного ПО, использующего компоненты на разных языках программирования, включая Rust и Python.

Первая стадия атаки начинается с MSI-пакета без цифровой подписи, который носит название "999999.msi". Внутри него содержится легитная утилита "viewer.exe" от Advanced Installer, которая используется для запуска следующего компонента - "Gasmealdmylsge.exe", написанного на Rust. Этот файл отвечает за подготовку системы, создание рабочих директорий и распаковку последующих модулей.

Ключевой особенностью атаки является метод достижения устойчивости (persistence) и выполнения кода. Злоумышленники используют стандартный исполняемый файл "pythonw.exe" (входящий в дистрибутив Python). Вредоносная логика скрыта внутри модифицированного файла "__init__.pyc", который помещён в архив "python39.zip" - стандартную библиотеку Python. Когда легитный "pythonw.exe" запускается для выполнения скрипта настройки планировщика задач (имя файла "run.exe"), он автоматически импортирует модуль "encodings", загружая при этом подменённый "__init__.pyc".

Этот файл содержит обфусцированный шелл-код (ShellCode). Для усложнения анализа авторы применили технику «уплощения потока управления» (control flow flattening) с помощью инструмента Obfuscator-LLVM (OLLVM). Шелл-код, используя Windows API через библиотеку "ctypes", выполняет в памяти расшифровку и загрузку следующего этапа - исполнителя, который настраивает планировщик задач Windows.

Для анализа обфусцированного кода специалисты Huorong применили методы символьного выполнения (symbolic execution), используя фреймворк angr и доработки открытого проекта deflat. Это позволило восстановить исходную логику шелл-кода. Его задача - создать задание в Планировщике задач для регулярного запуска файла "gcc.exe". Интересно, что этот "gcc.exe" является легитной заглушкой из открытого проекта Squirrel.Windows. Его единственная функция - найти и запустить другой файл с тем же именем ("gcc.exe") в самой свежей поддиректории "App".

Второй этап настройки устойчивости происходит при запуске этого "gcc.exe" из директории "App". Он снова использует "pythonw.exe" и модифицированный "python39.zip". На этот раз шелл-код создаёт ярлык "run.lnk" в папке автозагрузки Windows для обеспечения запуска при каждой загрузке системы. После этого он читает и выполняет шелл-код из файла "x.ini". Финальная нагрузка - это загрузчик бэкдора «Серебряная лиса» (Winos backdoor downloader). Этот модуль способен получать конфигурацию с удалённого сервера и загружать дополнительные вредоносные модули. На момент анализа сервер ("qaqbba.com") не отвечал, что предотвратило завершение атаки.

Эксперты отмечают, что данная схема обладает высокой скрытностью. Антивирусные средства, ориентированные на сигнатуры, могут пропустить угрозу, поскольку основной исполняемый файл ("pythonw.exe") является легитным и подписанным. Вредоносная активность проявляется только при выполнении модифицированного байт-кода ".pyc" из архива стандартной библиотеки.

Для защиты от подобных угроз специалисты Huorong рекомендуют пользователям загружать программное обеспечение только из официальных источников и проявлять осторожность при запуске файлов, полученных из ненадёжных каналов. Также важно поддерживать антивирусное ПО в актуальном состоянии. Признаком заражения может служить наличие неожиданных процессов "gcc.exe" или "pythonw.exe" в системе, а также создание подозрительных заданий в планировщике задач. При обнаружении подобных симптомов следует немедленно провести полную проверку системы.

Domains

• qaqbba.com

SHA256

• 968a6bf19ea07c31dd115f1760813cff09d0d864d2a6c8ddbcce6ed50fc7a297