Поделиться
Сайт популярного мониторингового ПО сутки раздавал троян удаленного доступа
Почти сутки посетителям сайта CPUID подсовывались вредоносные ссылки, содержавшие троянизированные версии инсталляторов мониторинговых утилит. В Kaspersky считают, что устроители атаки не отличаются квалификацией.
Ссылки не туда
Сайт CPUID, на котором хостятся ряд гиперпопулярных мониторинговых программ, таких как CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, подвергся на прошлой неделе кибератаке. Злоумышленникам удалось подменить ссылки на скачивание CPU-Z и HWMonitor вредоносными, в результате чего чуть менее суток сайт распространял троянец удалённого доступа STX RAT.
Разработчики пакетов признали факт взлома, отметив, что он стал возможен из-за некоей «вторичной функции (по сути, стороннего API)», которая позволила демонстрировать посторонние ссылки.
С них пользователи невольно скачивали ZIP-архивы и отдельные инсталляторы с троянизированными версиями. «В этих файлах, наряду с легитимными исполняемыми файлами [продуктов CPUID] содержалась вредоносная DLL-библиотека под названием CRYPTBASE.dll, использовавшаяся для побочной подгрузки», - говорится в публикации на Securelist.com (доступна пока только на английском).
Эта библиотека подключается к внешнему серверу и подгружает дополнительные компоненты, предварительно проверив систему на предмет отладочных и тестовых сред («песочниц»). Конечной целью является установка троянца STX RAT, снабжённого, помимо прочего, функциями скрытой виртуальной сети (HVNC) и инфостилера.
Троянец обеспечивает своим операторам довольно широкий набор инструментов для удалённого контроля и пост-эксплуатации, в том числе, запуска в памяти шеллкода, скриптов PowerShell, а также исполняемых EXE- и DLL-файлов. Плюс к этому, он обеспечивает функции обратного прокси и туннелирования и управления рабочим столом атакуемой машины.
Вариации без изменения темы
Как выяснилось, нынешняя кампания по сути является вариацией на тему более ранней, с той разницей, что в прошлый раз - в начале марта - злоумышленники использовали специально созданный поддельный сайт и троянизированные инсталляторы файлообменного пакета FileZilla.
И сам вредонос, и его контрольная C2-структура остались прежними, как, собственно, и последовательность операций по заражению.
«Ключевой ошибкой, допущенной злоумышленниками, стало использование всё той же цепочки заражений с использованием STX RAT, и повторное использование тех же доменных имён для контрольных серверов, что и в случае с атаками на пользователей FileZilla. В целом, квалификация злоумышленников, касающаяся резработки, развёртывания и операционной безопасности, находится на весьма низком уровне, так что компрометацию [сайта CPUID] удалось выявить почти сразу», - говорится в публикации Kaspersky.
Впрочем, как уже сказано, пользователей CPUID перенаправляли на вредоносные сайты примерно с 15:00 по Гринвичу 9 апреля до 10:00 10 апреля, то есть, примерно 19 часов.
«Какой бы низкой ни была квалификация злоумышленников, некоторое количество атак всё-таки закончились успехом, - отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Расчёт на то, чтобы использовать троянизированную версию популярных утилит, был верен; вполне вероятно, жертв могло оказаться больше, если бы злоумышленникам было не лень использовать новые доменные имена».
По данным Kaspersky, количество жертв STX RAT составило около 150; в основном это частные лица, хотя встречаются и коммерческие структуры. Большинство заражений пришлось на Россию, Бразилию и Китай.
Поделиться
Короткая ссылка
