Oferta rabatowa na wiele licencji
Baza danych zagrożeń Narzędzia do zdalnej administracji Kampania z użyciem złośliwego oprogramowania o podwójnym...

Kampania z użyciem złośliwego oprogramowania o podwójnym ładunku

Do Mezo w Narzędzia do zdalnej administracji, Oprogramowanie reklamowe
Przetłumacz na:

Niedawno odkryta kampania złośliwego oprogramowania przyciąga uwagę społeczności cyberbezpieczeństwa ze względu na możliwość jednoczesnego wdrażania dwóch różnych zagrożeń. Pojedynczy, zamaskowany program ładujący jest używany do dostarczania zarówno Gh0st RAT, jak i CloverPlus do tego samego zainfekowanego systemu.

To połączenie jest zarówno nietypowe, jak i wysoce strategiczne. Gh0st RAT umożliwia pełną zdalną kontrolę nad zainfekowaną maszyną, podczas gdy CloverPlus koncentruje się na manipulowaniu aktywnością przeglądarki, wstrzykiwaniu komponentów reklamowych i generowaniu przychodów za pomocą natrętnych wyskakujących okienek. Podwójne wdrożenie pozwala cyberprzestępcom na stałe utrzymywanie nieautoryzowanego dostępu, jednocześnie monetyzując infekcję w czasie rzeczywistym.

Kampania ta uwydatniła rosnący trend przenoszenia wielu ładunków, w ramach którego atakujący maksymalizują wydajność operacyjną i zwrot finansowy z pojedynczego ataku.

Taktyka zaciemniania: ukrywanie ładunku

Program ładujący, będący sercem tej kampanii, został zaprojektowany z myślą o działaniu w ukryciu. Zawiera dwa zaszyfrowane ładunki w sekcji zasobów, wykorzystując techniki zaciemniania, aby ominąć tradycyjne mechanizmy wykrywania.

Uruchomienie rozpoczyna się od modułu adware CloverPlus, zidentyfikowanego jako AdWare.Win32.CloverPlus i powiązanego z plikiem wykonywalnym o nazwie wiseman.exe. Ten komponent modyfikuje ustawienia uruchamiania przeglądarki i wstrzykuje trwałe reklamy pop-up.

Następnie program ładujący analizuje ścieżkę wykonywania. Jeśli nie działa w katalogu systemowym %temp%, tworzy tam swoją kopię przed kontynuacją. Następnym etapem jest odszyfrowanie modułu klienta Gh0st RAT, który jest również ukryty jako zaszyfrowany zasób w pliku binarnym złośliwego oprogramowania.

Po odszyfrowaniu złośliwe oprogramowanie przypisuje losową nazwę pliku do ładunku i zapisuje go w folderze o losowej nazwie znajdującym się w katalogu głównym dysku C:\, co jeszcze bardziej komplikuje wykrywanie i analizę.

Życie z ziemi: zaufane narzędzia, złośliwe intencje

Aby uruchomić odszyfrowany ładunek, złośliwe oprogramowanie wykorzystuje legalne narzędzie systemu Windows o nazwie rundll32.exe. Takie podejście umożliwia wykonanie złośliwego kodu pod przykrywką zaufanego procesu systemowego, znacznie zmniejszając prawdopodobieństwo uruchomienia zabezpieczeń.

Po aktywacji, Gh0st RAT rozpoczyna profilowanie zainfekowanego systemu, zbierając unikatowe identyfikatory, takie jak adres MAC i numer seryjny dysku twardego. Dane te służą do zarejestrowania ofiary w infrastrukturze dowodzenia atakującego, co zapewnia precyzyjne śledzenie i zarządzanie zainfekowanymi hostami.

Mechanizmy trwałości: zapewnienie długoterminowego dostępu

Utrzymanie dostępu po ponownym uruchomieniu systemu jest kluczowym celem tej kampanii. Gh0st RAT osiąga trwałość dzięki wielu technikom głęboko osadzonym w systemie operacyjnym:

Modyfikacja klucza rejestru Uruchom systemu Windows w celu zapewnienia automatycznego wykonywania podczas uruchamiania
Rejestracja złośliwego pliku DLL w ścieżce usługi dostępu zdalnego w SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Metody te przyznają złośliwemu oprogramowaniu uprawnienia na poziomie SYSTEMOWYM za każdym razem, gdy uruchamiana jest powiązana usługa, eliminując potrzebę dalszej interakcji użytkownika i wzmacniając długoterminową kontrolę.

Wykrywanie i obrona: wskaźniki zagrożenia

Wpływ tej kampanii jest znaczący zarówno dla osób prywatnych, jak i organizacji. Komponent adware zakłóca działanie przeglądarki i zwiększa podatność na złośliwe reklamy, natomiast komponent RAT umożliwia kradzież danych, rejestrowanie naciśnięć klawiszy, omijanie zabezpieczeń i trwały dostęp uprzywilejowany.

Zespoły ds. bezpieczeństwa powinny zachować czujność i monitorować następujące wskaźniki zagrożenia:

  • Uruchomienie programu rundll32.exe ładującego biblioteki DLL lub niestandardowe rozszerzenia plików z nietypowych lub podejrzanych katalogów
  • Aktywność procesu pochodząca z folderu %temp%
  • Nieautoryzowane modyfikacje kluczy rejestru Run lub konfiguracji usługi RemoteAccess
  • Wykorzystanie opóźnień opartych na pingach w celu uniknięcia wykrycia w piaskownicy
  • Nieprawidłowe wzorce ruchu DNS i nieoczekiwane zmiany w pliku hosts systemu

Proaktywne monitorowanie i szybka reakcja na te sygnały są kluczowe dla ograniczenia ryzyka, jakie niesie ze sobą ta wyrafinowana kampania podwójnego zagrożenia związana ze złośliwym oprogramowaniem.

Popularne

Potwierdź nową aktualizację zabezpieczeń prywatności...

Phishing, Spam
Nieoczekiwane wiadomości e-mail wymagające pilnego działania należy zawsze traktować z ostrożnością. Cyberprzestępcy często maskują złośliwe wiadomości pod legalnymi powiadomieniami, aby wykorzystać zaufanie i wywołać panikę. Należy pamiętać, że oszustwa takie jak e-maile z prośbą o potwierdzenie nowej aktualizacji zabezpieczeń prywatności nie są powiązane z żadnymi legalnymi firmami,...

Najczęściej oglądane

Ładowanie...