Hancitor был создан в 2014 году для сброса других вредоносных программ на зараженные машины. Он также известен под названиями Tordal и Chanitor. Эта вредоносная программа доступна в виде сервиса, что делает ее доступным инструментом для преступников и способствует популярности этого вируса.
Что такое вредоносная программа Hancitor?
Hancitor, иногда называемый Tordal и Chanitor, представляет собой загрузчик, предназначенный для установки на ПК жертвы других вредоносных программ - чаще всего это Pony, Vawtrak или DELoader. Вредоносная программа существует с 2014 года и распространяется оригинальными создателями через malspam среди других пользователей в качестве сервиса.
Это вредоносное ПО нельзя считать опасным, поскольку даже встроенный антивирус Microsoft Windows Defender может его обнаружить. Кроме того, распространяясь в кампаниях вредоносного спама, во многих случаях электронные письма даже не доходят до адресатов, будучи перехваченными спам-фильтрами. По сути, единственные, кто действительно подвержен опасности заражения Hancitor, это те, кто все еще использует старые версии Windows, такие как Windows 7 или более ранние, и у кого либо нет, либо отключено антивирусное программное обеспечение. Любопытно, что, несмотря на столь ограниченную "целевую аудиторию", создатели Hancitor продолжают обновлять эту вредоносную программу, и она остается очень активной по сей день.
Общее описание троянца Hancitor
Создатели Hancitor предоставляют свой загрузчик в качестве услуги другим преступникам, помогая устанавливать различные вредоносные программы на целевые ПК. Люди, стоящие за Hancitor, чрезвычайно активны и организованы. Некоторые исследователи подозревают, что они работают полную рабочую неделю, поскольку всплеск атак Hancitor обычно приходится на рабочие дни и спадает на выходные, что позволяет предположить, что у ответственных хакеров есть структура работы и расписание.
Несмотря на это, загрузчик Hancitor не претерпел значительных изменений с 2016 года и по сей день опирается на очень простые методы исполнения и уклонения, что делает его обнаружение и предотвращение относительно простым, особенно для корпоративных целей с адекватным уровнем кибербезопасности.
Согласно анализу Hancitor, версия вредоносной программы 2016 года состояла из 66 функций и имела размер 20 480 байт, тогда как версия 2018 года состоит из 51 функции, размер которых составляет 20 992 байт. Одним из основных различий между версиями является отсутствие функции проверки подключения в итерации 2018 года. Так, старая версия Hancitor во время выполнения пыталась подключиться к Google.com для проверки наличия соединений, тогда как в новой версии этот шаг полностью отсутствует. Более новая версия также использует шифрование RC4 и содержит некоторые обновленные команды.
В отличие от других вредоносных программ, троян Hancitor использует несколько векторов атаки для достижения максимального успеха. Для успешного заражения создатели Hancitor использовали, в частности, необычные злоупотребления API и методы PowerShell.
За последние два года в природе было обнаружено более 80 разновидностей Hancitor. Обычно новая вариация создавалась просто для того, чтобы определить новую переменную для другой кампании, в то время как в других случаях основные функции загрузчика полностью изменялись и переписывались. Однако такие случаи были довольно редки, и сильно переписанные образцы не задерживались надолго. Некоторые исследователи считают, что в таких случаях авторы вредоносных программ тестировали различные подходы и отслеживали уровень заражения, чтобы определить, какие изменения должны остаться, а от каких новшеств следует отказаться.
Процесс выполнения вредоносной программы Hancitor
Из-за своего основного предназначения процесс выполнения Hancitor выглядит не так впечатляюще. Поскольку наиболее распространенным вектором атаки для заражения устройств пользователей являются вредоносные спам-кампании, Hancitor в основном попадает на устройства с файлами Microsoft Office. Как только пользователь загружает и открывает вредоносный файл, вредоносная программа либо использует приманку, чтобы обманом заставить жертву включить макросы, либо использует эксплойт. После этого Hancitor будет либо загружен с сервера C2, либо сброшен из файла Office. Следующим этапом является его выполнение, во время которого вредоносная программа загружает основную полезную нагрузку, обычно троян, такой как Pony, Vawtrak или DELoader.
Распространение Hancitor
Троян Hancitor обычно распространяется в кампаниях malspam в виде вложения вредоносного файла Microsoft Office в формате maldoc. Однако с тех пор, как большинство организаций начали совершенствовать свои меры кибербезопасности, некоторые кампании, распространяющие Hancitor, содержат ссылку, указывающую на веб-сайт, с которого загружается этот загрузчик.
В случае распространения с использованием вложений .DOC пользователь должен сначала скачать файл, а затем активировать макросы, игнорируя многочисленные предупреждения системы безопасности. Авторы вредоносных программ используют приманки, чтобы обмануть пользователей. Некоторые фишинговые электронные письма содержат счет-фактуру или поддельный документ, связанный с оплатой, пытаясь заставить пользователя загрузить его. Кроме того, злоумышленники предоставляют инструкции по включению макросов. Если пользователь подчинится, вредоносные макросы загрузят Hancitor или он будет удален из maldoc.
В некоторых кампаниях вредоносного спама Hancitor доставлялся жертвам вместе с .RTF maldoc, в которых использовался эксплойт для запуска команды PowerShell, загружающей загрузчик на компьютер.
Заключение
Несмотря на свою простоту и уязвимость даже к простым контрмерам, троян Hancitor каким-то образом остается активной вредоносной программой, которая продолжает нацеливаться на свою ограниченную демографическую группу, очевидно, с хорошим процентом успеха, как и Zloader. Авторы Hancitor чрезвычайно активны и регулярно придумывают новые итерации этого загрузчика.