Kampanja zlonamjernog softvera s dvostrukim korisnim sadržajem

Novootkrivena kampanja zlonamjernog softvera privlači značajnu pozornost unutar zajednice za kibernetičku sigurnost zbog svoje sposobnosti istovremenog postavljanja dvije različite prijetnje. Jedan maskirani program za učitavanje koristi se za isporuku i Gh0st RAT-a i CloverPlusa na isti kompromitirani sustav.

Ova kombinacija je i neuobičajena i vrlo strateška. Gh0st RAT omogućuje potpunu daljinsku kontrolu nad zaraženim računalom, dok se CloverPlus fokusira na manipuliranje aktivnostima preglednika, ubrizgavanje reklamnih komponenti i generiranje prihoda putem nametljivih skočnih prozora. Dvostruko postavljanje omogućuje prijetnjama da održe trajni neovlašteni pristup dok istovremeno unovčavaju infekciju u stvarnom vremenu.

Ova kampanja ističe rastući trend isporuke više korisnih podataka, gdje napadači maksimiziraju operativnu učinkovitost i financijski povrat iz jednog kompromitiranog napada.

Taktike zamagljivanja: Prikrivanje korisnog tereta

Učitavač u središtu ove kampanje dizajniran je za prikrivenost. U svoj odjeljak resursa ugrađuje dva šifrirana tereta, koristeći tehnike zamagljivanja kako bi izbjegao tradicionalne mehanizme otkrivanja.

Izvršavanje započinje s CloverPlus adware modulom, identificiranim kao AdWare.Win32.CloverPlus i povezanim s izvršnom datotekom pod nazivom wiseman.exe. Ova komponenta mijenja postavke pokretanja preglednika i ubacuje trajne skočne oglase.

Nakon toga, program za učitavanje procjenjuje svoj put izvršenja. Ako ne radi iz sistemskog %temp% direktorija, tamo stvara svoju kopiju prije nego što nastavi. Sljedeća faza uključuje dešifriranje klijentskog modula Gh0st RAT, koji je također skriven kao šifrirani resurs unutar binarne datoteke zlonamjernog softvera.

Nakon dešifriranja, zlonamjerni softver dodjeljuje nasumično ime datoteke korisnom teretu i pohranjuje ga u nasumično imenovanu mapu koja se nalazi u korijenu C:\ pogona, što dodatno komplicira otkrivanje i analizu.

Život od zemlje: Pouzdani alati, zlonamjerna namjera

Za izvršavanje dešifriranog sadržaja, zlonamjerni softver koristi legitimni Windows uslužni program rundll32.exe. Ovaj pristup omogućuje izvršavanje zlonamjernog koda pod krinkom pouzdanog sistemskog procesa, značajno smanjujući vjerojatnost aktiviranja sigurnosnih mjera.

Nakon što je aktivan, Gh0st RAT počinje profilirati kompromitirani sustav prikupljanjem jedinstvenih identifikatora kao što su MAC adresa i serijski broj tvrdog diska. Ti se podaci koriste za registraciju žrtve unutar napadačeve infrastrukture za upravljanje i kontrolu, osiguravajući precizno praćenje i upravljanje zaraženim hostovima.

Mehanizmi trajnosti: Osiguravanje dugoročnog pristupa

Održavanje pristupa nakon ponovnog pokretanja sustava ključni je cilj ove kampanje. Gh0st RAT postiže postojanost putem više tehnika ugrađenih duboko u operativni sustav:

Izmjena ključa registra Windows Run kako bi se osiguralo automatsko izvršavanje pri pokretanju
Registracija zlonamjernog DLL-a unutar putanje servisa za udaljeni pristup pod SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Ove metode daju zlonamjernom softveru privilegije na razini SYSTEM-a kad god se pokrene povezana usluga, eliminirajući potrebu za daljnjom interakcijom korisnika i jačajući dugoročnu kontrolu.

Otkrivanje i obrana: Pokazatelji kompromitiranja

Utjecaj ove kampanje je značajan i za pojedince i za organizacije. Dok adware komponenta ometa funkcionalnost preglednika i povećava izloženost zlonamjernom oglašavanju, RAT komponenta omogućuje krađu podataka, bilježenje pritiska tipki, zaobilaženje sigurnosti i trajni privilegirani pristup.

Sigurnosni timovi trebaju ostati budni i pratiti sljedeće pokazatelje kompromitiranja:

• Izvršavanje rundll32.exe učitava DLL-ove ili nestandardne ekstenzije datoteka iz neobičnih ili sumnjivih direktorija
• Aktivnost procesa koja potječe iz mape %temp%
• Neovlaštene izmjene ključeva registra Run ili konfiguracija usluge RemoteAccess
• Korištenje kašnjenja temeljenih na pingu za izbjegavanje otkrivanja sandboxa
• Neobični obrasci DNS prometa i neočekivane promjene u datoteci hosts sustava

Proaktivno praćenje i brz odgovor na ove signale ključni su za ublažavanje rizika koje predstavlja ova sofisticirana kampanja zlonamjernog softvera s dvostrukom prijetnjom.