AhnLab Security Emergency response Center (ASEC) недавно обнаружил SparkRAT, распространяемый в установщике определенной программы VPN.
SparkRAT - это инструмент удаленного администрирования (RAT), разработанный с использованием GoLang. При установке на систему пользователя он может выполнять различные вредоносные действия, такие как удаленное выполнение команд, управление файлами и процессами, загрузка дополнительных полезных нагрузок и сбор информации с зараженной системы, например, путем создания скриншотов.
SparkRAT
VPN-провайдер, программа установки которого содержала SparkRAT, по-видимому, работает с прошлого, что видно по подписанным сертификатам файлов и уведомлениям на их официальном сайте. Таким образом, очевидно, что данный веб-сайт не был создан специально для распространения вредоносного ПО, поскольку распространение программы установки с вредоносным ПО внутри было обнаружено недавно.
Программа установки доступна только на корейском языке, но официальный сайт VPN поддерживает английский, китайский и японский языки. Согласно их сообщению, можно предположить, что многие люди в Китае устанавливают программу для обеспечения бесперебойного доступа в Интернет. На самом деле, даже в наших собственных журналах AhnLab Smart Defense (ASD) мы наблюдали большее количество установок от пользователей из Китая по сравнению с Кореей.
Файл, загруженный с официального сайта, не является ранее подтвержденным установщиком, а представляет собой дроппер, созданный с использованием .NET. В ресурсах дроппера хранится оригинальный установщик VPN и вредоносная программа. При выполнении он генерирует вредоносную программу по пути %LOCALAPPDATA%\Syservices\svchost.exe перед запуском.
Кроме того, поскольку оригинальный установщик VPN создается и запускается вместе с вредоносной программой, пользователям трудно распознать факт установки вредоносного ПО, и они полагают, что установщик VPN был выполнен без проблем. Кроме того, вредоносная программа регистрируется в планировщике задач, что гарантирует ее выполнение даже после перезагрузки системы.
Вредоносная программа, созданная под именем "svchost.exe", также является дроппером. Он имеет сходство с вышеупомянутым дроппером в том, что содержит SparkRAT в своих ресурсах. Его функция заключается в создании вредоносной программы под именем "svch.exe" в том же каталоге и ее выполнении.
Indicators of Compromise
IPv4 Port Combinations
- 59.22.167.217:34646
Domain Port Combinations
- gwekekccef.webull.day:443
MD5
- 2e3ce7d90d988e1b0bb7ffce1731b04b
- 54dd763bca743cbdbdfe709d9ab1d0db
- 5b78c44262ebcb4ce52e75c331683b5b
- 7923f9e0e28ceecdb34e924f2c04cda0
- a5950704dfa60ba5362ec4a8845c25b2
- b571d849c0cb3c7af1cee6990654972b
- e4805cbd59fe793c48f6341f3d1e5466
