Evil Clone To Attack Users: How Cybercrooks Use Legitimate Software To Spread Cryptominers

Újra kiadta Platón

Követő: 0

Kriptobányászok Olvasási idő: 5 jegyzőkönyv

A kriptobányászat napjaink aranylázává vált, és a kiberbűnözőket is lefoglalja. Egyre ravaszabb trükköket találnak ki, hogy megfertőzzék a felhasználók gépeit, és kriptovalutát bányásztassanak a támadók hasznára. A Comodo szakemberei által a közelmúltban észlelt kiberbűnözés feltűnően illusztrálja ezt a folyamatot. A felhasználók megfertőzésére szerte a világon a támadók a legális alkalmazástelepítőt, a replikált szervert és… nos, ne ugorjunk előre, hanem menjünk végig az egész támadási láncon az elejétől a végéig.

Itt van a PDFescape szoftver. Sokan használják .PDF fájlok szerkesztésére, megjegyzésekkel ellátva vagy űrlapok kitöltésére. Nagy valószínűséggel Ön is ezt vagy hasonló szoftvert használt.

PDFescape
Természetesen jogos és biztonságos… legalábbis egészen a közelmúltig így volt, amikor egy számítógépes bûnözõnek eszébe jutott egy rosszindulatú programok terjesztésére való felhasználás.

De ami különösen érdekes, a rosszindulatú hackerek nem csak a PDFescape-et próbálták utánozni. Tovább mentek, és úgy döntöttek, hogy létrehozzák a gonosz klónját.

Gondoljunk csak a támadás hatókörére: az elkövetők az irányításuk alatt álló szerveren hozták létre újra a szoftverpartner infrastruktúráját. Ezután átmásolták az összes MSI-fájlt (Windows-hoz telepítőcsomag-fájl), és elhelyezték azokat a szerveren. A klónozott szoftver pontos másolata volt az eredetinek… egy apró részlet kivételével: a támadók visszafordították és módosították az egyik MSI-fájlt, egy ázsiai betűkészlet-csomagot. És hozzáadta a rosszindulatú rakományt, amely néhány kódot tartalmaz.

pdfescape-advanced

Ez a fekete mágia a PDFescape eredeti telepítőjét rosszindulatúvá változtatja.

pdf-desktop

Ez a módosított telepítő átirányítja a felhasználókat a rosszindulatú webhelyre, és letölti a rakományt a rejtett fájllal.

vps11240

Amint láthatja, a feltört telepítőnek nincs eredeti digitális aláírása:

Hacked

De pontosan hogyan árt ez a rosszindulatú program? Lássuk.

Dinamikus elemzés

Amikor egy áldozat letölti ezt a pdfescape-desktop-Asian-and-extended-font-packet, a rosszindulatú xbox-service.exe bináris fájl a Windows system32 mappájába kerül, és a run32dll segítségével végrehajtja a rosszindulatú DLL-t. A setup.log néven álcázott rosszindulatú DLL a Windows mappában rejtőzik.

Íme a folyamat menete.

A pdfescape-desktop-Asian-and-extended-font-pack.msi fájlt a com telepítette

mand line "C:\WindowsSystem32msiexec.exe” /i

dinamikus elemzés

Ezután a telepítő leesik xbox-service.exe a system32 mappában.

A leesett xbox-service.exe szolgáltatásként kezd működni:

xboxservice

Ezután rosszindulatú DLL-t futtat a rundll32 alatt setup.log néven a parancssor használatával:

rundll32 C:WindowsSystem32setup.log.dll

Evil clone to attack users: how cybercrooks use legitimate software to spread cryptominers PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Statikus elemzés

A módosított MSI rosszindulatú DLL fájlt tartalmaz. Ez a DLL viszont két végrehajtható fájlt tartalmaz az erőforrásokban.

Evil clone to attack users: how cybercrooks use legitimate software to spread cryptominers PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Így a DLL fájl rosszindulatú folyamatot futtat xbox-service.exe.

Evil clone to attack users: how cybercrooks use legitimate software to spread cryptominers PlatoBlockchain Data Intelligence. Vertical Search. Ai.

A DLL hasznos terhelés másik érdekessége, hogy a telepítési szakaszban megpróbálja módosítani a Windows HOSTS fájlt, hogy megakadályozza, hogy a fertőzött gép kommunikáljon a különféle PDF-hez kapcsolódó alkalmazások és biztonsági szoftverek frissítési kiszolgálóival. Így a rosszindulatú programok megpróbálják elkerülni az érintett gépek távoli tisztítását és helyreállítását.

Evil clone to attack users: how cybercrooks use legitimate software to spread cryptominers PlatoBlockchain Data Intelligence. Vertical Search. Ai.

host fájl

A HOSTS fájl rosszindulatú DLL-lel módosult

És végül a DLL-ben megtaláltuk a fő rosszat: a rosszindulatú böngészőszkriptet. A szkriptnek van egy beágyazott hivatkozása http://carma666.byethost12.com/32.html

DLL

Kövessük a linket, és nézzük meg, hová megy:

CoinHive

Amint most már világos, letölti a CoinHive nevű érmebányász JavaScriptjét, amellyel a rosszindulatú hackerek titkosan megfertőzik a gazdagépeket szerte a világon. További részleteket találsz róla a Comodo 1. I. negyedév és a Comodo 2. I. negyedév.

Comodo Q1

Szóval csak az volt a felhajtás, hogy megfertőzzék a felhasználókat egy kriptomerrel?! Igen ez így van. És ez segít annak tudatában, hogy nem szabad félvállról venni az ilyen rosszindulatú programokat.

„Amint azt már említettük Comodo 1. I. negyedév és a 2. második negyedévi globális veszélyjelentések, a cryptominers továbbra is az egyik legveszélyesebb fenyegetés a kiberbiztonság tér” – kommentálja Fatih Orhan, a Comodo Threat Research Labs vezetője. Vannak, akik a kriptobányászokat nem túl komoly fenyegetésnek tartják, mivel nem lopnak el információkat és nem titkosítják a felhasználók fájljait, de ez a hiba a valóságban nagyon költséges lehet számukra. A kriptobányászok kifinomult rosszindulatú szoftverekké válnak, amelyek összeomlhatják a felhasználói rendszereket, vagy befoghatják a fertőzött vállalat összes informatikai erőforrását, és csak a kiberbűnözők számára kriptovaluta bányászására késztethetik őket. Így a kriptomer támadásból származó pénzügyi veszteségek ugyanolyan pusztítóak lehetnek, mint a többi malware típusok. A kriptobányászok továbbra is egyre körülményesebbek lesznek, miközben veszélyes képességeik növekednek. Az elemzőink által észlelt módosított telepítővel kapcsolatos történet pedig ennek egyértelmű bizonyítéka.

A Comodo statisztikái szerint ez a rosszindulatú fájl 12 810 felhasználót ért el a világ 100 országában. Az alábbiakban felsoroljuk a tíz leginkább érintett országot.

országok támadnak