Kampagne mod malware med dobbelt nyttelast
En nyligt afsløret malwarekampagne tiltrækker sig betydelig opmærksomhed i cybersikkerhedsmiljøet på grund af dens evne til at implementere to forskellige trusler samtidigt. En enkelt obfuskeret loader bruges til at levere både Gh0st RAT og CloverPlus til det samme kompromitterede system.
Denne kombination er både usædvanlig og yderst strategisk. Gh0st RAT muliggør fuld fjernkontrol over den inficerede maskine, mens CloverPlus fokuserer på at manipulere browseraktivitet, injicere reklamekomponenter og generere indtægter gennem påtrængende pop op-vinduer. Den dobbelte implementering giver trusselsaktører mulighed for at opretholde vedvarende uautoriseret adgang, samtidig med at de tjener penge på infektionen i realtid.
Denne kampagne fremhæver en voksende tendens mod levering af flere nyttelaster, hvor angribere maksimerer driftseffektiviteten og det økonomiske afkast fra et enkelt kompromis.
Indholdsfortegnelse
Formørkelsestaktikker: Skjul nyttelasten
Indlæseren i kernen af denne kampagne er konstrueret til stealth. Den integrerer to krypterede nyttelaster i sin ressourcesektion ved hjælp af obfuskationsteknikker for at omgå traditionelle detektionsmekanismer.
Udførelsen starter med CloverPlus-adwaremodulet, identificeret som AdWare.Win32.CloverPlus og tilknyttet en eksekverbar fil ved navn wiseman.exe. Denne komponent ændrer browserens opstartsindstillinger og indsætter vedvarende pop op-reklamer.
Derefter evaluerer indlæseren sin udførelsessti. Hvis den ikke kører fra systemets %temp%-mappe, opretter den en kopi af sig selv der, før den fortsætter. Det næste trin involverer dekryptering af Gh0st RAT-klientmodulet, som også er skjult som en krypteret ressource i malware-binærfilen.
Når den er dekrypteret, tildeler malwaren et tilfældigt filnavn til nyttelasten og gemmer den i en tilfældigt navngivet mappe, der er placeret i roden af C:\-drevet, hvilket yderligere komplicerer detektion og analyse.
At leve af landet: Pålidelige værktøjer, ondsindet hensigt
For at udføre den dekrypterede nyttelast udnytter malwaren det legitime Windows-værktøj rundll32.exe. Denne tilgang muliggør udførelse af ondsindet kode under dække af en betroet systemproces, hvilket reducerer sandsynligheden for at udløse sikkerhedsforsvar betydeligt.
Når Gh0st RAT er aktiv, begynder den at profilere det kompromitterede system ved at indsamle unikke identifikatorer såsom MAC-adresse og harddiskens serienummer. Disse oplysninger bruges til at registrere offeret i angriberens kommando- og kontrolinfrastruktur, hvilket sikrer præcis sporing og håndtering af inficerede værter.
Persistensmekanismer: Sikring af langsigtet adgang
At opretholde adgang efter systemgenstart er et centralt mål for denne kampagne. Gh0st RAT opnår vedholdenhed gennem flere teknikker, der er integreret dybt i operativsystemet:
Ændring af Windows Run-registreringsnøglen for at sikre automatisk udførelse ved opstart
Registrering af en skadelig DLL i tjenestestien til fjernadgang under SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
Disse metoder giver malwaren SYSTEM-rettigheder, når den tilknyttede tjeneste startes, hvilket eliminerer behovet for yderligere brugerinteraktion og styrker den langsigtede kontrol.
Detektion og forsvar: Indikatorer for kompromittering
Effekten af denne kampagne er betydelig for både enkeltpersoner og organisationer. Mens adware-komponenten forstyrrer browserens funktionalitet og øger eksponeringen for ondsindet reklame, muliggør RAT-komponenten datatyveri, logføring af tastetryk, omgåelse af sikkerhed og vedvarende privilegeret adgang.
Sikkerhedsteams bør forblive årvågne og overvåge følgende indikatorer for kompromittering:
- Udførelse af rundll32.exe, der indlæser DLL'er eller ikke-standardiserede filtypenavne fra usædvanlige eller mistænkelige mapper
- Procesaktivitet, der stammer fra mappen %temp%
- Uautoriserede ændringer af registreringsdatabasens Run-nøgler eller konfigurationer af RemoteAccess-tjenester
- Brug af ping-baserede forsinkelser til at undgå sandkassedetektion
- Unormale DNS-trafikmønstre og uventede ændringer i systemets værtsfil
Proaktiv overvågning og hurtig reaktion på disse signaler er afgørende for at afbøde de risici, som denne sofistikerede malwarekampagne med dobbelte trusler udgør.
