Kampaň s malwarem s dvojitým obsahem dat
Nově odhalená malwarová kampaň přitahuje značnou pozornost v komunitě kybernetické bezpečnosti kvůli své schopnosti nasadit dvě odlišné hrozby současně. K doručení Gh0st RAT a CloverPlus do stejného napadeného systému se používá jeden obfusovaný zavaděč.
Tato kombinace je neobvyklá a zároveň vysoce strategická. Gh0st RAT umožňuje plnou vzdálenou kontrolu nad infikovaným počítačem, zatímco CloverPlus se zaměřuje na manipulaci s aktivitou prohlížeče, vkládání reklamních komponent a generování příjmů prostřednictvím rušivých vyskakovacích oken. Dvojí nasazení umožňuje útočníkům udržovat trvalý neoprávněný přístup a zároveň monetizovat infekci v reálném čase.
Tato kampaň zdůrazňuje rostoucí trend směrem k doručování více datových úložišť, kde útočníci maximalizují provozní efektivitu a finanční návratnost z jediného kompromitujícího útoku.
Obsah
Taktiky zamlžování: Zakrývání užitečného zatížení
Zavaděč, který je jádrem této kampaně, je navržen pro nenápadnost. Do sekce zdrojů vkládá dva šifrované datové bloky a pomocí technik zatemnění se vyhýbá tradičním detekčním mechanismům.
Spuštění začíná modulem adwaru CloverPlus, identifikovaným jako AdWare.Win32.CloverPlus a přidruženým ke spustitelnému souboru s názvem wiseman.exe. Tato komponenta upravuje nastavení spouštění prohlížeče a vkládá trvalé vyskakovací reklamy.
Následně zavaděč vyhodnotí svou cestu spuštění. Pokud nepracuje z adresáře %temp% systému, vytvoří si tam svou kopii před pokračováním. Další fáze zahrnuje dešifrování klientského modulu Gh0st RAT, který je také skryt jako zašifrovaný zdroj v binárním souboru malwaru.
Po dešifrování malware přiřadí souboru náhodný název a uloží ho do náhodně pojmenované složky umístěné v kořenovém adresáři disku C:\, což dále komplikuje detekci a analýzu.
Život z přírody: Důvěryhodné nástroje, zlý úmysl
Pro spuštění dešifrovaného obsahu využívá malware legitimní utilitu systému Windows rundll32.exe. Tento přístup umožňuje spuštění škodlivého kódu pod rouškou důvěryhodného systémového procesu, což výrazně snižuje pravděpodobnost spuštění bezpečnostních obranných mechanismů.
Jakmile je Gh0st RAT aktivní, začne profilovat napadený systém shromažďováním jedinečných identifikátorů, jako je MAC adresa a sériové číslo pevného disku. Tyto údaje se používají k registraci oběti v rámci útočníkovy velitelské a řídicí infrastruktury, což zajišťuje přesné sledování a správu infikovaných hostitelů.
Mechanismy perzistence: Zajištění dlouhodobého přístupu
Zachování přístupu po restartu systému je klíčovým cílem této kampaně. Gh0st RAT dosahuje perzistence pomocí několika technik zabudovaných hluboko v operačním systému:
Úprava klíče registru Spustit ve Windows pro zajištění automatického spuštění při spuštění
Registrace škodlivé knihovny DLL v cestě služby vzdáleného přístupu v adresáři SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
Tyto metody udělují malwaru oprávnění na úrovni SYSTÉMU při každém spuštění související služby, čímž eliminují potřebu další interakce s uživatelem a posilují dlouhodobou kontrolu.
Detekce a obrana: Indikátory kompromitace
Dopad této kampaně je značný jak pro jednotlivce, tak pro organizace. Zatímco adwarová složka narušuje funkčnost prohlížeče a zvyšuje vystavení škodlivé reklamě, složka RAT umožňuje krádež dat, zaznamenávání stisků kláves, obcházení zabezpečení a trvalý privilegovaný přístup.
Bezpečnostní týmy by měly zůstat ostražité a sledovat následující indikátory ohrožení:
- Spuštění souboru rundll32.exe, který načítá knihovny DLL nebo nestandardní přípony souborů z neobvyklých nebo podezřelých adresářů.
- Aktivita procesu pocházející ze složky %temp%
- Neoprávněné úpravy klíčů registru Spustit nebo konfigurace služby RemoteAccess
- Použití zpoždění založeného na pingu k vyhnutí se detekci sandboxu
- Abnormální vzorce provozu DNS a neočekávané změny v souboru hosts systému
Proaktivní monitorování a rychlá reakce na tyto signály jsou klíčové pro zmírnění rizik, která představuje tato sofistikovaná malwarová kampaň s dvojitou hrozbou.
