Кампания с вредоносным ПО, содержащим две полезные нагрузки.
Недавно обнаруженная кампания вредоносного ПО привлекает значительное внимание в сообществе кибербезопасности из-за своей способности одновременно развертывать две различные угрозы. Для доставки как Gh0st RAT, так и CloverPlus на одну и ту же скомпрометированную систему используется один обфусцированный загрузчик.
Такое сочетание является одновременно необычным и стратегически важным. Gh0st RAT обеспечивает полный удаленный контроль над зараженной машиной, в то время как CloverPlus фокусируется на манипулировании активностью браузера, внедрении рекламных компонентов и получении дохода за счет навязчивых всплывающих окон. Двойное развертывание позволяет злоумышленникам поддерживать постоянный несанкционированный доступ, одновременно монетизируя заражение в режиме реального времени.
Эта кампания подчеркивает растущую тенденцию к доставке нескольких вредоносных программ одновременно, когда злоумышленники максимизируют операционную эффективность и финансовую выгоду от одного взлома.
Оглавление
Тактика обфускации: сокрытие полезной нагрузки
Основной загрузчик этой кампании разработан для скрытного использования. Он внедряет два зашифрованных полезных груза в свой ресурсный раздел, используя методы обфускации для обхода традиционных механизмов обнаружения.
Запуск начинается с модуля рекламного ПО CloverPlus, идентифицированного как AdWare.Win32.CloverPlus и связанного с исполняемым файлом wiseman.exe. Этот компонент изменяет параметры запуска браузера и внедряет навязчивую всплывающую рекламу.
После этого загрузчик оценивает свой путь выполнения. Если он работает не из системного каталога %temp%, он создает там свою копию, прежде чем продолжить. Следующий этап включает расшифровку клиентского модуля Gh0st RAT, который также скрыт в виде зашифрованного ресурса внутри исполняемого файла вредоносного ПО.
После расшифровки вредоносная программа присваивает полезной нагрузке случайное имя файла и сохраняет его в папке со случайным именем, расположенной в корневом каталоге диска C:\, что еще больше усложняет обнаружение и анализ.
Жизнь за счет даров земли: проверенные инструменты, злые намерения
Для выполнения расшифрованной полезной нагрузки вредоносная программа использует легитимную утилиту Windows rundll32.exe. Такой подход позволяет выполнять вредоносный код под видом доверенного системного процесса, что значительно снижает вероятность срабатывания средств защиты.
После активации Gh0st RAT начинает профилирование скомпрометированной системы, собирая уникальные идентификаторы, такие как MAC-адрес и серийный номер жесткого диска. Эти данные используются для регистрации жертвы в инфраструктуре управления злоумышленника, обеспечивая точное отслеживание и управление зараженными хостами.
Механизмы обеспечения устойчивости: гарантия долгосрочного доступа
Сохранение доступа после перезагрузки системы является ключевой задачей этой кампании. Gh0st RAT обеспечивает устойчивость с помощью множества методов, глубоко встроенных в операционную систему:
Изменение ключа реестра «Выполнить» в Windows для обеспечения автоматического запуска при загрузке системы.
Регистрация вредоносной DLL-библиотеки в пути службы удаленного доступа по адресу SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
Эти методы предоставляют вредоносной программе привилегии уровня SYSTEM при каждом запуске соответствующей службы, устраняя необходимость в дальнейшем взаимодействии с пользователем и усиливая долгосрочный контроль.
Обнаружение и защита: индикаторы компрометации
Последствия этой кампании значительны как для отдельных лиц, так и для организаций. В то время как рекламный компонент нарушает функциональность браузера и увеличивает подверженность вредоносной рекламе, компонент RAT позволяет красть данные, перехватывать нажатия клавиш, обходить системы безопасности и получать постоянный привилегированный доступ.
Группам безопасности следует сохранять бдительность и отслеживать следующие признаки компрометации:
- Запуск rundll32.exe, загружающий DLL-файлы или файлы с нестандартными расширениями из необычных или подозрительных каталогов.
- Процессы, исходящие из папки %temp%.
- Несанкционированные изменения ключей реестра Run или конфигураций службы RemoteAccess
- Использование задержек, основанных на пингах, для обхода обнаружения в песочнице.
- Аномальные закономерности DNS-трафика и неожиданные изменения в системном файле hosts.
Активный мониторинг и оперативное реагирование на эти сигналы имеют решающее значение для снижения рисков, связанных с этой сложной кампанией вредоносного ПО, представляющей двойную угрозу.
