Zaraza Bot IOCs

security

Команда исследователей угроз Uptycs выявила новый вариант вредоносного ПО для кражи учетных данных, получивший название Zaraza bot, который использует Telegram в качестве средства управления. Zaraza.

Zaraza Bot

Zaraza bot нацелен на большое количество веб-браузеров и активно распространяется на российском хакерском канале Telegram, популярном среди угроз. Как только вредоносная программа заражает компьютер жертвы, она извлекает конфиденциальные данные и отправляет их на сервер Telegram, где злоумышленники сразу же получают к ним доступ.

Бот Zaraza крадет учетные данные из 38 веб-браузеров, включая Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave и Yandex.

Затем он перехватывает учетные данные банковских счетов, криптовалютных кошельков, учетных записей электронной почты и других ценных веб-сайтов. Затем злоумышленники могут использовать похищенные данные в злонамеренных целях, таких как кража личных данных, финансовое мошенничество и несанкционированный доступ к личным и рабочим счетам.

Этот тип атаки может быть особенно опасным, поскольку он ставит под угрозу широкий спектр конфиденциальной информации, на которую полагаются люди и организации для защиты своей частной жизни и безопасности.

Бот Zaraza способен извлекать учетные данные для входа в систему из веб-браузера и сохранять их в текстовом файле. Кроме того, он может сделать снимок экрана активного окна жертвы, который затем сохраняется в формате JPG. Похищенные данные затем передаются на сервер бота, где к ним может получить доступ злоумышленник.

Бот Zaraza представляет собой 64-битный бинарный файл, скомпилированный с использованием языка C#. Он связан с деятельностью, связанной с браузерами, и содержит в коде русский язык. Агент угрозы установил точку входа в программу на null, что затрудняет остановку точки выполнения при отладке.

При выполнении программы злоумышленник получает имя пользователя машины жертвы, затем создает новую подпапку в каталоге Temp под этим именем.

Затем злоумышленник создает файл "output.txt" в новой подпапке.

Затем бот Zaraza систематически сканирует каждый из 38 браузеров, перечисленных в таблице ниже, чтобы извлечь все учетные данные, имеющиеся на машине жертвы. Жирным шрифтом выделены наиболее часто используемые браузеры в мире.

Формат базы данных SQLite, используемый браузерами, содержит специальный файл под названием "Login Data"; он включает таблицу базы данных "logins". Эта таблица хранит данные для входа на различные сайты и содержит такие поля, как:

  • "origin_url" (основная ссылка сайта)
  • "action_url" (ссылка для входа на сайт)
  • "username_element" (поле имени пользователя на сайте)
  • "username_value" (имя пользователя, используемое для входа в систему)
  • "password_element" (поле пароля на сайте)
  • "password_value" (зашифрованный пароль, используемый для входа в систему)
  • "date_created" (дата, когда данные были сохранены)
  • "times_used" (сколько раз использовался пароль)
  • "blacklisted_by_user" (флаг, установленный в 1, если пароль никогда не должен храниться).

Для хранения паролей в базе данных веб-браузера используются два различных метода шифрования:

  • Более новые версии браузеров используют сигнатуру пароля v80. Начиная с v10 или v11, для безопасного хранения паролей пользователей для входа в систему используется шифрование на основе мастер-ключа. Зашифрованный пароль дополнительно защищается с помощью функции Windows DPAPI ("CryptProtectData").
  • Для идентификации зашифрованного ключа в начало строки вставляется сигнатура DPAPI. Затем зашифрованный ключ кодируется с помощью Base64 и сохраняется в файле Local State, расположенном в папке User Data.
  • В старых версиях браузера пароли веб-сайтов шифровались с помощью функции Windows DPAPI ("CryptProtectData"); полученный зашифрованный пароль сохранялся в файле Login Data.

После успешного извлечения зашифрованных паролей из браузера злоумышленник сохранил эти данные в файл output.txt.

Используя метод CopyFromScreen(), злоумышленник делает снимок экрана машины жертвы, сохраняя его в файл Screen.jpg в том же месте, где находится файл output.txt.

Атакующий получает записанную информацию (output.txt, Screen.jpg), получив доступ к каналу бота Telegram, где происходит обмен данными.

Indicators of Compromise

IPv4

  • 149.154.167.220

URLs

  • https://t.me/zarazaA_bot

MD5

  • 41d5fda21cf991734793df190ff078ba

SHA1

SHA256

Комментарии: 0