Cпециалисты аналитической платформы Rising Threat Intelligence обнаружили целенаправленную вредоносную кампанию. Злоумышленники скомпрометировали известный бесплатный инструмент для оптимизации Windows под названием Optimizer, внедрив в него вредоносный код. Затем они заново упаковали инструмент и начали распространять его через различные онлайн-каналы. Этот троянский конь отличается сложным механизмом противодействия анализу, сочетающим проверки окружения для уклонения от виртуальных машин и песочниц, а также многоэтапную цепочку выполнения для достижения устойчивости в системе.
Описание
Атака начинается с выполнения поддельного файла Optimizer.exe. Его первостепенная задача - определить, запущен ли он в реальной пользовательской среде. Для этого вредоносная программа выполняет множество проверок. В частности, она ищет признаки присутствия средств анализа, таких как Sandboxie, Comodo, Cuckoo и 360 Total Security. Кроме того, код проверяет наличие драйверов и сервисов, характерных для VirtualBox или VMware. Интересно, что для принятия решения используется даже косвенный признак: анализ размера файлов истории популярных браузеров. Логика проста: в песочнице или чистой виртуальной машине история посещений обычно отсутствует или очень мала.
Если все проверки пройдены и среда считается «живой», основной исполняемый файл расшифровывает и записывает на диск PowerShell-скрипт с именем "nfnbbnfdhdh.ps1". Затем он его запускает. Этот скрипт выполняет роль загрузчика второго этапа. Он обращается по заранее заданному URL-адресу в облачном хранилище Amazon S3 и скачивает библиотеку "usb.dll". После успешной загрузки скрипт создает в системе запланированное задание (Scheduled Task). Это задание настроено на регулярный запуск с помощью "rundll32.exe", который вызывает экспортированную функцию "usb" из загруженной библиотеки. Такой подход обеспечивает постоянное присутствие вредоноса в системе.
Следующий этап атаки реализован в самой библиотеке "usb.dll". Ее основная цель - внедрить свой вредоносный код (шеллкод) в легитимный системный процесс. Для этого она ищет в памяти процесс с именем "AggregatorHost.exe". Если поиск увенчивается успехом, библиотека выделяет память в адресном пространстве этого процесса, записывает туда свой шеллкод и создает удаленный поток для его выполнения. Шеллкод, в свою очередь, также является загрузчиком. Он содержит в себе зашифрованный исполняемый PE-файл, который расшифровывается прямо в памяти с помощью кастомного алгоритма на основе операции XOR. Этот файл, не покидая диск, сразу выполняется.
Финальный этап вредоносной цепочки - это выполнение в памяти еще одного PowerShell-скрипта с именем "tmp.ps1". Его функционал уже направлен на установку полноценной бэкдорной нагрузки (payload). Скрипт проверяет наличие установленного Node.js и при необходимости тихо устанавливает его определенную версию. Затем он обращается к двум удаленным серверам, чтобы скачать два JavaScript-файла: "KB80164432.js" и "cab.js". Для каждого из этих файлов создается отдельное запланированное задание, которое будет запускать их с помощью "node.exe". Более того, для дополнительной скрытности в реестре Windows вносится изменение, помечающее установку Node.js как системный компонент, чтобы она не отображалась в стандартном списке установленных программ.
Оба финальных скрипта выполняют роль бэкдоров. Они собирают детальную информацию о системе, включая тип ОС, имя хоста, архитектуру и уникальные идентификаторы. Эти данные отправляются на управляющие серверы злоумышленников. В ответ сервер может присылать команды для выполнения. Поддерживается широкий спектр инструкций, позволяющих запускать скрипты на JavaScript, PowerShell, исполняемые файлы, а также обновлять самого бэкдора. Таким образом, злоумышленники получают возможность для дальнейших действий на зараженной машине, будь то кража данных или развертывание дополнительного вредоносного ПО, например, программ-вымогателей (ransomware).
Данная кампания наглядно демонстрирует растущую изощренность киберпреступников, которые атакуют цепочки поставок ПО. Они используют доверие пользователей к популярным открытым инструментам. Внедрение множества техник уклонения от обнаружения (Anti-VM, Anti-Sandbox), многоэтапная загрузка и использование легитимных системных утилит (PowerShell, "rundll32", "node") значительно затрудняют работу традиционных средств защиты. Для противодействия подобным угрозам эксперты рекомендуют соблюдать базовую гигиену кибербезопасности, а именно загружать ПО только с официальных источников, использовать современные решения класса EDR (Endpoint Detection and Response - обнаружение и реагирование на конечных точках) для поведенческого анализа и регулярно обновлять все установленные программы.
Индикаторы компрометации
Domains
- 4tressx.com
- aginscore.com
- coremactools.com
- creufkcutp.s3.us-east-1.amazonaws.com
- instant-kb.online
- kuchiku.digital
- rt-guard.com
- screenner.com
- smoothmacos.com
- uuu.rqfefxsa.xyz
MD5
- 03ea8db00d4720e18f6f61d01acfc19b
- 20a3fa9406ec27ba41c9df912baf1d22
- 31bde898b77771957048d6a148fee8fe
- 5ea776ca7dccac71138a6e92a4f5c934
- 76d27d57c54e58ce05ab5afbdeb668c3
- 804957e501ee0443632ea675353326d4
- 804e8ff0d9753c267ef1f617965eb2bb
- e271e80e95387400dc7d409533f52a63
