Kampanje mot skadelig programvare med dobbel nyttelast
En nylig avdekket skadevarekampanje får betydelig oppmerksomhet i nettsikkerhetsmiljøet på grunn av dens evne til å distribuere to forskjellige trusler samtidig. Én enkelt obfuskert laster brukes til å levere både Gh0st RAT og CloverPlus til det samme kompromitterte systemet.
Denne kombinasjonen er både uvanlig og svært strategisk. Gh0st RAT muliggjør full fjernkontroll over den infiserte maskinen, mens CloverPlus fokuserer på å manipulere nettleseraktivitet, injisere reklamekomponenter og generere inntekter gjennom påtrengende popup-vinduer. Den doble utrullingen lar trusselaktører opprettholde vedvarende uautorisert tilgang samtidig som de tjener penger på infeksjonen i sanntid.
Denne kampanjen fremhever en økende trend mot levering av flere nyttelaster, der angripere maksimerer driftseffektiviteten og den økonomiske avkastningen fra ett enkelt kompromiss.
Innholdsfortegnelse
Tilsløringstaktikker: Skjule nyttelasten
Lasteren i kjernen av denne kampanjen er konstruert for sniking. Den bygger inn to krypterte nyttelaster i ressursseksjonen sin, og bruker obfuskeringsteknikker for å unngå tradisjonelle deteksjonsmekanismer.
Utførelsen starter med CloverPlus-annonsemodulen, identifisert som AdWare.Win32.CloverPlus og tilknyttet en kjørbar fil kalt wiseman.exe. Denne komponenten endrer oppstartsinnstillingene for nettleseren og injiserer vedvarende popup-annonser.
Etter dette evaluerer lasteren utførelsesstien sin. Hvis den ikke opererer fra systemets %temp%-katalog, oppretter den en kopi av seg selv der før den fortsetter. Neste trinn innebærer å dekryptere Gh0st RAT-klientmodulen, som også er skjult som en kryptert ressurs i den skadelige binærfilen.
Når den er dekryptert, tildeler skadevaren et tilfeldig filnavn til nyttelasten og lagrer den i en tilfeldig navngitt mappe som ligger i roten av C:\-stasjonen, noe som ytterligere kompliserer deteksjon og analyse.
Å leve av landet: Pålitelige verktøy, ondsinnet hensikt
For å kjøre den dekrypterte nyttelasten bruker skadevaren det legitime Windows-verktøyet rundll32.exe. Denne tilnærmingen muliggjør kjøring av ondsinnet kode under dekke av en klarert systemprosess, noe som reduserer sannsynligheten for å utløse sikkerhetsforsvar betydelig.
Når Gh0st RAT er aktiv, begynner den å profilere det kompromitterte systemet ved å samle inn unike identifikatorer som MAC-adresse og harddiskens serienummer. Disse detaljene brukes til å registrere offeret i angriperens kommando- og kontrollinfrastruktur, noe som sikrer presis sporing og håndtering av infiserte verter.
Persistensmekanismer: Sikring av langsiktig tilgang
Å opprettholde tilgang etter omstart av systemet er et hovedmål for denne kampanjen. Gh0st RAT oppnår utholdenhet gjennom flere teknikker som er innebygd dypt i operativsystemet:
Endring av Windows Run-registernøkkelen for å sikre automatisk utførelse ved oppstart
Registrering av en skadelig DLL i tjenestebanen for ekstern tilgang under SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
Disse metodene gir skadevaren SYSTEM-nivårettigheter når den tilknyttede tjenesten startes, noe som eliminerer behovet for ytterligere brukerinteraksjon og forsterker langsiktig kontroll.
Deteksjon og forsvar: Indikatorer for kompromiss
Effekten av denne kampanjen er betydelig for både enkeltpersoner og organisasjoner. Mens annonsekomponenten forstyrrer nettleserfunksjonaliteten og øker eksponeringen for ondsinnet reklame, muliggjør RAT-komponenten datatyveri, tastetrykklogging, sikkerhetsomgåelse og vedvarende privilegert tilgang.
Sikkerhetsteam bør være årvåkne og overvåke følgende indikatorer på kompromittering:
- Utførelse av rundll32.exe laster DLL-er eller ikke-standard filtyper fra uvanlige eller mistenkelige mapper
- Prosessaktivitet som stammer fra %temp%-mappen
- Uautoriserte endringer i registerets kjørenøkler eller konfigurasjoner av RemoteAccess-tjenester
- Bruk av ping-baserte forsinkelser for å unngå sandkassedeteksjon
- Unormale DNS-trafikkmønstre og uventede endringer i systemets vertsfil
Proaktiv overvåking og rask respons på disse signalene er avgjørende for å redusere risikoen som denne sofistikerte kampanjen med skadelig programvare med dobbel trussel utgjør.
