Команда исследователей угроз Uptycs выявила новый вариант вредоносного ПО для кражи учетных данных, получивший название Zaraza bot, который использует Telegram в качестве средства управления. Zaraza.
Zaraza Bot
Zaraza bot нацелен на большое количество веб-браузеров и активно распространяется на российском хакерском канале Telegram, популярном среди угроз. Как только вредоносная программа заражает компьютер жертвы, она извлекает конфиденциальные данные и отправляет их на сервер Telegram, где злоумышленники сразу же получают к ним доступ.
Бот Zaraza крадет учетные данные из 38 веб-браузеров, включая Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave и Yandex.
Затем он перехватывает учетные данные банковских счетов, криптовалютных кошельков, учетных записей электронной почты и других ценных веб-сайтов. Затем злоумышленники могут использовать похищенные данные в злонамеренных целях, таких как кража личных данных, финансовое мошенничество и несанкционированный доступ к личным и рабочим счетам.
Этот тип атаки может быть особенно опасным, поскольку он ставит под угрозу широкий спектр конфиденциальной информации, на которую полагаются люди и организации для защиты своей частной жизни и безопасности.
Бот Zaraza способен извлекать учетные данные для входа в систему из веб-браузера и сохранять их в текстовом файле. Кроме того, он может сделать снимок экрана активного окна жертвы, который затем сохраняется в формате JPG. Похищенные данные затем передаются на сервер бота, где к ним может получить доступ злоумышленник.
Бот Zaraza представляет собой 64-битный бинарный файл, скомпилированный с использованием языка C#. Он связан с деятельностью, связанной с браузерами, и содержит в коде русский язык. Агент угрозы установил точку входа в программу на null, что затрудняет остановку точки выполнения при отладке.
При выполнении программы злоумышленник получает имя пользователя машины жертвы, затем создает новую подпапку в каталоге Temp под этим именем.
Затем злоумышленник создает файл "output.txt" в новой подпапке.
1 | C:\Users\[имя пользователя]\AppData\Local\Temp\[имя ПК]\[имя пользователя]\output.txt |
Затем бот Zaraza систематически сканирует каждый из 38 браузеров, перечисленных в таблице ниже, чтобы извлечь все учетные данные, имеющиеся на машине жертвы. Жирным шрифтом выделены наиболее часто используемые браузеры в мире.
Формат базы данных SQLite, используемый браузерами, содержит специальный файл под названием "Login Data"; он включает таблицу базы данных "logins". Эта таблица хранит данные для входа на различные сайты и содержит такие поля, как:
- "origin_url" (основная ссылка сайта)
- "action_url" (ссылка для входа на сайт)
- "username_element" (поле имени пользователя на сайте)
- "username_value" (имя пользователя, используемое для входа в систему)
- "password_element" (поле пароля на сайте)
- "password_value" (зашифрованный пароль, используемый для входа в систему)
- "date_created" (дата, когда данные были сохранены)
- "times_used" (сколько раз использовался пароль)
- "blacklisted_by_user" (флаг, установленный в 1, если пароль никогда не должен храниться).
Для хранения паролей в базе данных веб-браузера используются два различных метода шифрования:
- Более новые версии браузеров используют сигнатуру пароля v80. Начиная с v10 или v11, для безопасного хранения паролей пользователей для входа в систему используется шифрование на основе мастер-ключа. Зашифрованный пароль дополнительно защищается с помощью функции Windows DPAPI ("CryptProtectData").
- Для идентификации зашифрованного ключа в начало строки вставляется сигнатура DPAPI. Затем зашифрованный ключ кодируется с помощью Base64 и сохраняется в файле Local State, расположенном в папке User Data.
- В старых версиях браузера пароли веб-сайтов шифровались с помощью функции Windows DPAPI ("CryptProtectData"); полученный зашифрованный пароль сохранялся в файле Login Data.
После успешного извлечения зашифрованных паролей из браузера злоумышленник сохранил эти данные в файл output.txt.
Используя метод CopyFromScreen(), злоумышленник делает снимок экрана машины жертвы, сохраняя его в файл Screen.jpg в том же месте, где находится файл output.txt.
1 | C:\Users\[имя пользователя]\AppData\Local\Temp\[имя ПК]\[имя пользователя]\Screen.jpg |
Атакующий получает записанную информацию (output.txt, Screen.jpg), получив доступ к каналу бота Telegram, где происходит обмен данными.
Indicators of Compromise
IPv4
- 149.154.167.220
URLs
- https://t.me/zarazaA_bot
MD5
- 41d5fda21cf991734793df190ff078ba