Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware VOID#GEIST

Programe malware VOID#GEIST

Până în Mezo în Programe malware, Instrumente de administrare la distanță
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o campanie sofisticată de malware în mai multe etape, care se bazează pe scripturi batch pentru a livra sarcini utile criptate de troieni de acces la distanță (RAT). Campania, identificată ca VOID#GEIST, implementează mai multe familii de RAT, inclusiv XWorm, AsyncRAT și Xeno RAT.

Lanțul de atac utilizează un script batch ofuscat care inițiază o secvență de acțiuni concepute pentru a evita detectarea. Aceste acțiuni includ lansarea unui script batch suplimentar, implementarea unui mediu de execuție Python încorporat legitim și decriptarea sarcinilor utile shellcode criptate. Shellcode-ul este executat direct în memorie după ce este injectat în instanțe separate ale procesului Windows explorer.exe folosind o tehnică cunoscută sub numele de injecție Early Bird Asynchronous Procedure Call (APC).

Distribuirea de programe malware bazate pe scripturi: un model modern de amenințări

Actorii moderni de amenințare abandonează din ce în ce mai mult programele malware executabile tradiționale, independente, în favoarea unor cadre de livrare stratificate, bazate pe scripturi, care imită comportamentul legitim al utilizatorilor. În loc să implementeze fișiere binare convenționale Portable Executable (PE), atacatorii orchestrează conducte multi-componente care combină mai multe tehnologii și medii de scripting legitime.

Componentele tipice utilizate în cadrul acestor framework-uri includ:

  • Scripturi batch folosite pentru a orchestra secvența de infectare.
  • Comenzi PowerShell care facilitează staging-ul ascuns al sarcinii utile.
  • Runtime-uri legitime încorporate care asigură portabilitatea între sisteme.
  • Cod shell brut executat direct în memorie pentru a menține persistența și controlul.

Această abordare de execuție fără fișiere reduce semnificativ oportunitățile de detectare bazată pe disc. Fiecare etapă individuală pare relativ inofensivă atunci când este examinată independent și adesea seamănă cu o activitate administrativă de rutină, permițând actorilor de amenințare să opereze în medii compromise fără a declanșa alerte de securitate imediate.

Acces inițial prin infrastructura de phishing și Cloudflare

Punctul de intrare al atacului începe cu un script batch malițios livrat prin e-mailuri de phishing. Scriptul este preluat din infrastructura găzduită pe un domeniu TryCloudflare. Odată executat, scriptul evită în mod deliberat încercările de escaladare a privilegiilor și operează strict în limitele permisiunilor utilizatorului conectat în prezent.

Această strategie permite malware-ului să-și stabilească inițial prezența, integrându-se în operațiunile de rutină la nivel de utilizator. Prin evitarea acțiunilor care necesită privilegii sporite, atacul reduce probabilitatea declanșării avertismentelor de securitate sau a solicitărilor administrative.

Distragere vizuală și tehnici de execuție ascunsă

După execuție, prima etapă a malware-ului lansează un document capcană pentru a distrage victima. Google Chrome este deschis în modul ecran complet pentru a afișa un document financiar sau o factură prezentată ca PDF. În timp ce utilizatorul se concentrează asupra documentului, activitatea rău intenționată continuă în fundal.

Simultan, o comandă PowerShell este executată pentru a relansa scriptul batch original cu parametri de execuție ascunși. Utilizarea parametrului -WindowStyle Hidden previne apariția unei ferestre vizibile a consolei, asigurându-se că activitatea rău intenționată rămâne ascunsă utilizatorului.

Persistență prin execuția la nivel de utilizator la pornire

Pentru a menține persistența după repornirea sistemului, malware-ul implementează un script batch auxiliar în directorul Startup al utilizatorului Windows. Această locație asigură executarea automată a scriptului de fiecare dată când victima se conectează la sistem.

Acest mecanism de persistență este intenționat subtil. În loc să utilizeze tehnici mai intruzive, cum ar fi modificarea cheilor de registry de sistem, crearea de sarcini programate sau instalarea de servicii, malware-ul se bazează exclusiv pe comportamentul standard de pornire la nivel de utilizator. Deoarece abordarea funcționează în întregime în contextul privilegiilor utilizatorului curent, evită declanșarea solicitărilor de escaladare a privilegiilor și reduce probabilitatea detectării de către instrumentele de monitorizare a registry-ului.

Cadrul de recuperare și decriptare a sarcinii utile

În următoarea etapă a lanțului de infectare, malware-ul contactează un domeniu TryCloudflare pentru a prelua componente suplimentare ale sarcinii utile ambalate în arhive ZIP. Aceste arhive conțin modulele necesare pentru decriptarea și executarea sarcinilor utile finale ale malware-ului.

Arhiva descărcată conține de obicei următoarele componente:

  • runn.py – un încărcător bazat pe Python responsabil pentru decriptarea și injectarea în memorie a modulelor shellcode criptate
  • new.bin – sarcină utilă shellcode criptată asociată cu XWorm
  • xn.bin – sarcină utilă shellcode criptată corespunzătoare Xeno RAT
  • pul.bin – sarcină utilă shellcode criptată corespunzătoare AsyncRAT
  • a.json, n.json și p.json – fișiere cheie utilizate de încărcătorul Python pentru a decripta dinamic payload-urile shellcode în timpul execuției

Acest design modular permite atacatorilor să organizeze diferite sarcini utile independent și să le activeze doar atunci când este necesar.

Runtime Python încorporat pentru portabilitate și ascundere

Odată ce arhiva este extrasă, malware-ul implementează un runtime Python legitim încorporat, obținut direct de pe python.org. Integrarea unui interpretor legitim elimină dependența de orice instalare Python care ar putea exista deja pe sistemul compromis.

Din perspectiva unui atacator, acest pas oferă mai multe avantaje strategice. Malware-ul devine un mediu de execuție autonom, capabil să decripteze și să injecteze sarcini utile fără a necesita dependențe externe. Acest lucru îmbunătățește portabilitatea între diferite sisteme, sporește fiabilitatea și contribuie la discreția operațională prin utilizarea de componente software legitime.

Execuția în memorie a mai multor sarcini utile RAT

Runtime-ul Python încorporat este apoi utilizat pentru a executa scriptul de încărcare runn.py. Încărcătorul decriptează codul shell asociat cu XWorm și îl injectează într-o instanță de explorare.exe care rulează folosind injecția Early Bird APC.

Pentru a implementa Xeno RAT, malware-ul utilizează un fișier binar Microsoft legitim numit AppInstallerPythonRedirector.exe, care este utilizat pentru a invoca Python și a executa componentele necesare. Aceeași tehnică de injectare este ulterior reutilizată pentru a implementa AsyncRAT, asigurându-se că toate sarcinile utile sunt executate în întregime în memorie, fără a lăsa artefacte executabile tradiționale pe disc.

Semnalizare de comandă și control și arhitectură modulară

Etapa finală a atacului implică trimiterea unui semnal HTTP minim către infrastructura de Comandă și Control (C2) controlată de atacator, găzduită pe TryCloudflare. Acest semnal confirmă că sistemul a fost compromis cu succes și este gata să primească instrucțiuni suplimentare.

Deși țintele specifice ale campaniei rămân necunoscute, lanțul de infectare demonstrează o arhitectură extrem de modulară. În loc să implementeze o singură sarcină utilă de malware de mari dimensiuni, atacatorii introduc componente incremental în mai multe etape. Acest design îmbunătățește flexibilitatea operațională și reziliența.

Din perspectiva detectării, un indicator comportamental notabil apare pe parcursul campaniei: injectarea repetată de procese în explorer.exe în intervale scurte de timp. Acest model poate servi drept un semnal puternic pentru apărătorii care încearcă să coreleze activitățile suspecte în diferite etape ale ciclului de viață al atacului.

Trending

Cele mai văzute

Se încarcă...