Спецпроекты

Безопасность Техника

Хакеры захватывают ПК безработных ИТ-шников

Эксперты компании SafeBreach выявили скрытный шпионский инструмент, который, впрочем, пытается проникнуть в систему довольно грубым способом, с явным расчетом на низкую подготовленность жертв.

Мнимое обновление и макросы

Эксперты компании SafeBreach опубликовали информацию о новом бэкдоре PowerShell, который маскируется под процесс, относящийся к подсистеме обновления ОС Windows. Это позволяет ему избегать обнаружения.

Сам по себе вредоносный код распространяется вместе со специально подготовленными документами Microsoft Word (в частности, в виде файла «ApplyForm.docm»), представляющими собой фальшивую форму для заполнения заявки о приеме на работу в профессиональной соцсети LinkedIn. Экспертам удалось установить, что этот документ был загружен с IP-адреса на территории Иордании 25 августа 2022 г.

Эксперты уверены, что бэкдор распространяется как часть спиэр-фишинговой кампании, которую осуществляет некая продвинутая кибергруппировка.

Если потенциальная жертва открывает заряженный вредоносом документ и активирует встроенный макрос (чего делать нельзя никогда), в систему загружается скрипт updater.vbs. Вредонос немедленно обеспечивает себе постоянство присутствия в системе, создавая отложенную системную задачу. Далее скрипт имитирует процесс обновления Windows. Но это именно имитация: процесс запускается скриптом из поддельного каталога %AppData%\Local\Microsoft\Windows\Update. В реальности в \Local\Microsoft\Windows подкаталога Update не бывает.

Шпионский скрипт прячется в макросе и создает фальшивый системный каталог Windows

Скрипт updater.vbs создает сразу два скрипта PowerShell: Script.ps1 и Temp.ps1. Их содержание хранится в поддельном документе Word и загружается в тот же поддельный каталог обновлений %AppData%\Local\Microsoft\Windows\Update.

Для маскировки содержимого скриптов используется мощная обфускация, и действительно, на VirusTotal у них нулевой коэффициент обнаружения.

Нумерованные операции

Script1.ps1 подключается к серверу управления, отправляет get-запрос и получает уникальный идентификатор, предположительно обозначающий порядковый номер заражения. Эксперты утверждают, что им пришло ID-значение 70.

При последующем запросе Script.ps1 получает команду, зашифрованную алгоритмом AES-256 CBC. Эта команда направляется второму скрипту, который декодирует и исполняет ее, отправляя полученные в результате данные обратно на командный сервер.

«Злоумышленники совершили критическую ошибку в маскировке своих операций, — использовали предсказуемые идентификаторы для каждой жертвы. Мы разработали скрипт, который притворялся каждой предыдущей жертвой, и получили соответствующие ответы от командного сервера (команды) в виде файла pcap. Второй инструмент, который мы разработали, позволил извлечь все зашифрованные команды из этого pcap-файла», — написали исследователи.

Содержание команд удалось расшифровать, более того, впоследствии эксперты установили, какое количество и каких команд управляющий сервер отправлял на скомпрометированные системы. В большей части случаев (66%) запрашивался список активных процессов; на втором месте — команда ожидания (idle, 23%), в остальных случаях запрашивалась информация о локальных и сетевых пользователях, изредка списки файлов из конкретных каталогов, включая рабочий стол. В 2% случаев поступала команда на удаление файлов из общедоступных каталогов.

Судя по всему, основная задача скрипта — сбор данных о пользователях конкретных систем. Это заставляет предположить, что данный вредонос — не самодостаточная сущность, а лишь элемент более продвинутой и комплексной операции.

О происхождении вредоноса, кроме иорданского IP-адреса, никакой информации на данный момент нет.

«Создается впечатление, что злоумышленники целят в лиц с низким уровнем осведомленности об основах кибербезопасности и не слишком знакомых с файловой структурой Microsoft Windows, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Учитывая предполагаемый узконаправленный характер атак, возможно, злоумышленники и не особенно заботились о том, чтобы действовать с большей изобретательностью. Удивительно, впрочем, что до недавнего времени у этого вредоноса был нулевой коэффициент обнаружения на VirusTotal.

Роман Георгиев

Короткая ссылка