CSPY Downloader

CSPY Downloader Beskrivelse

CSPY Downloader er en ny skræddersyet downloader-malware, der er observeret at blive implementeret som en del af arsenalet i den nordkoreanske hackergruppe Kimsuky. CSPY Downloader tjener rollen som en første-trins malware-dropper, der leverer anden-trins malware-nyttelast. CSPY Downloader kører også en bred vifte af anti-analyse og anti-sandkasse teknikker designet til at hæmme ethvert forsøg på at analysere de truende prøver.

CSPY Downloader formeres via phishing-e-mails, der bærer forgiftede Word-dokumenter. Det specifikke dokument er designet til at tiltrække den målrettede brugers opmærksomhed ved at angive, at det indeholder et interview med en nordkoreansk defektor, der diskuterer kampene med at bo i landet. Når de er udført, udløses de truende makroer, der er injiceret i dokumentet. De slipper og udfører CSPY Downloader som en fil med navnet 'winload.exe' på offerets computer.

'Winload.exe-filen' er pakket med UPX og har sin tidsstempledato skiftet tilbage til 30. juli 2016. Den er underskrevet med et udløbet certifikat tilskrevet EGIS Co., Ltd, en enhed, der allerede er knyttet til Kimsuky-hackeren gruppe.

CSPY Downloader udfører omfattende anti-analyseteknikker

Inden CSPY Downloader sørger for, at den ikke køres i et Virtual Machine-miljø, før det fortsætter med leveringen af malware-nyttelast i anden fase. Downloaderen udfører nogle af de samme kontroller, som de oprindelige scripts fra det våbenmæssige Word-dokument allerede har gjort, hvilket viser hackers forpligtelse til at holde deres malware-værktøjer hemmelige. CSPY udfører en scanning for specifikke virtualiseringsrelaterede moduler, specifikke filstier, registreringsdatabasenøgler og hukommelse. Det kontrollerer også processen med PEB-struktur. Hvis alle scanningerne ikke finder nogen matches, fortsætter CSPY Downloader til sit næste programmeringstrin; Ellers afslutter den eksekveringen.

Tre filer slippes på den kompromitterede maskine af CSPY - en hovedekverbar fil og to potentielle malware-moduler. Alle tre nyttelast downloades oprindeligt til mappen% temp%, men omdøbes og flyttes hurtigt til forskellige steder. Når CSPY starter den primære malware-nyttelast, forsøger den at skjule den som en legitim Windows-tjeneste ved at gøre den falske påstand om, at det er nødvendigt for at understøtte pakkede applikationer. For at køre den truende binære med forhøjede privilegier anvender downloaderen en teknik, der gør det muligt at omgå UAC-tjenesten Windows User Account Control (UAC) ved at udnytte SilentCleanup-opgaven.

Når CSPY Downloader er færdig med at udføre sine opgaver, sletter den sig selv fra den kompromitterede maskine.