Поделиться
Европу атакуют с помощью поддельных резюме с майнерами и троянами
Кто-то использует российский почтовый домен и взломанные марокканские сайты для атак на французские компании. Злоумышленники распространяют вредоносы и криптомайнеры под видом резюме.
Фишинг по-французски
Франкоязычные корпоративные среды испытывают давление со стороны неизвестной хакерской группировки, развернувшей против них фишинговую кампанию. Атакующие используют два адреса на почтовом сервисе mail.ru, и ещё один с характерным адресом vladimirprolitovitch@duck.com.
Злоумышленники под видом резюме от соискателей работы распространяют криптомайнеры и вредоносы для кражи информации (инфостилеры).
«Кампания использует глубоко обфусцированные файлы VBScript, замаскированные под рабочие резюме, которые распространяются через фишинговые электронные письма», — отмечают в своей публикации исследователи компании Securonix Шикха Сангван, Акшай Гайквад и Аарон Бирдсли. — После запуска вредоносное ПО распаковывает многофункциональный набор инструментов, сочетающий кражу реквизитов доступа, эксфильтрацию данных и майнинг криптовалюты Monero для максимальной монетизации».
Кампания получила кодовое название FAUX#ELEVATE. Она особенно примечательна злоупотреблением легитимными сервисами и инфраструктурой, такими как Dropbox для размещения так называемой «полезной нагрузки». Кроме того, используется ряд марокканских сайтов под управлением CMS WordPress для хостинга настроек к контрольным серверам (C2). SMTP-инфраструктура mail.ru применяется для эксфильтрации украденных учётных данных браузеров и файлов рабочего стола.
Первоначальный файл-дроппер представляет собой скрипт Visual Basic (VBScript), который при запуске выводит ложное сообщение об ошибке на французском языке. В это время фоновом режиме обфусцированный скрипт выполняет серию проверок окружения на предмет тестовых и отладочных сред («песочниц»), а затем начинает циклично выводить сообщения от системы учётных записей пользователей Windows (UAC), тем самым пытаясь заставить пользователя запустить предоставить ему административные привилегии.
Из 224 471 строки скрипта только 266 строк содержат исполняемый код, всё остальное - «мусорные» комментарии со случайными английскими предложениями. Благодаря этому файл оказывается раздут до 9,7 МБ.
Вредоносное ПО также проверяет подключение к домену с помощью WMI (Windows Management Instrumentation), чтобы удостовериться, что заражены именно корпоративные машины, а не домашние системы, которые, скорее всего, будут автономными.
Сбить защиту с толку
Если дроппер получает административные привилегии, он первым делом отключает средства защиты, причём делает это довольно грубым образом: для всех основных букв дисков (от C до I) вредонос устанавливает исключения в настройках Microsoft Defender, фактически делая его бесполезным. Систему UAC он нейтрализует через редактирование реестра Windows.
Дроппер далее подгружает с Dropbox два отдельных архива 7-Zip, защищённые паролем.
Первый — gmail2.7z — содержит различные исполняемые файлы для кражи данных и майнинга криптовалюты. Второй — gmail_ma.7z — содержит утилиты для закрепления в системе и удаления артефактов.
Среди инструментов, используемых для кражи учётных данных, есть компонент, использующий опенсорсный проект ChromElevator для извлечения конфиденциальных данных из браузеров. Он обходит механизмы шифрования, привязанных к приложению (ABE).
Среди прочих инструментов замечены: mozilla.vbs — VBScript для кражи профиля и учётных данных Mozilla Firefox; walls.vbs — VBScript для эксфильтрации файлов с рабочего стола; mservice.exe — майнер криптовалюты XMRig, который запускается после получения конфигурации со взломанного марокканского сайта под управлением WordPress; WinRing0x64.sys — легитимный драйвер ядра Windows, используемый для максимальной эксплуатации процессора при майнинге; RuntimeHost.exe — устойчивый троянец, модифицирующий правила брандмауэра Windows и периодически связывающийся с сервером управления (C2).
Украденные данные браузеров выводятся с использованием двух аккаунтов mail.ru (olga.aitsaid@mail.ru и 3pw5nd9neeyn@mail.ru).
Оба аккаунта используют один и тот же пароль и отправляют данные по SMTP на другой адрес электронной почты, контролируемый злоумышленником (vladimirprolitovitch@duck.com).
«Использование mail.ru и другие артефакты, прозрачно намекающие на принадлежность организаторов атаки к русскоязычной среде, могут быть ложным флагом, хотя и не обязательно, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Учитывая географический размах инфраструктуры кампании, вероятность «ложного следа» весьма высока. С другой стороны, кибепреступники далеко не всегда — гении семи пядей во лбу.
После завершения кражи учётных данных и эксфильтрации данных цепочка атаки инициирует агрессивную очистку всех загруженных инструментов, чтобы минимизировать следы. Дроппер удаляется, единственные остающиеся артефакты - это майнер и троянский компонент.
По мнению исследователей, кампания FAUX#ELEVATE представляет собой хорошо организованную многоэтапную последовательность атак, «объединяющую несколько примечательных техник в одной цепочке заражения».
Заражение происходит очень быстро: полная комбинация занимает примерно 25 секунд с момента запуска первого скрипта и до эксфильтрации учётных данных. Вредонос также выборочно нацеливается на машины, подключённые к корпоративному домену, так, чтобы гарантировать максимальную ценность каждого скомпрометированного узла. При этом значительная часть компонентов, используемых в атаке, это легитимные инструменты, то есть, речь идёт об атаке, использующей приемы living-off-the-land.
Поделиться
Короткая ссылка
