Дослідники помітили два фішингові сайти — один підмінює веб-сторінку Cisco, а інший маскується під сайт Grammarly — які зловмисники використовують для поширення особливо згубної частини шкідливого програмного забезпечення, відомого як «DarkTortilla».
Зловмисне програмне забезпечення на основі .NET можна налаштувати для доставки різноманітних корисних навантажень і відоме функціями, які це роблять надзвичайно непомітний і наполегливий на системах, які він компрометує.
Кілька груп загроз використовують DarkTortilla принаймні з 2015 року для видалення викрадачів інформації та троянів віддаленого доступу, таких як AgentTesla, AsyncRAT і NanoCore. Деякі групи програм-вимагачів, наприклад оператори Babuk, також використовували DarkTortilla як частину свого ланцюжка доставки корисного навантаження. У багатьох із цих кампаній зловмисники в основному використовували шкідливі вкладені файли (.zip, .img, .iso) у спам-листах, щоб заманити нічого не підозрюючих користувачів у зловмисне програмне забезпечення.
Доставка DarkTortilla через фішингові сайти
Нещодавно дослідники з Cyble Research and Intelligence Labs виявили зловмисну кампанію, у якій зловмисники використовують два фішингові сайти, які маскуються під законні сайти, для розповсюдження шкідливого програмного забезпечення. Cyble припустив, що оператори кампанії, ймовірно, використовують спам або онлайн-рекламу для розповсюдження посилань на два сайти.
Користувачі, які переходять за посиланням на підроблений веб-сайт Grammarly, завантажують шкідливий файл під назвою «GnammanlyInstaller.zip», коли натискають кнопку «Отримати Grammarly». Файл .zip містить зловмисний інсталятор, замаскований під виконуваний файл Grammarly, який видаляє другий зашифрований 32-розрядний виконуваний файл .NET. Це, у свою чергу, завантажує зашифрований файл DLL з контрольованого зловмисником віддаленого сервера. Виконуваний файл .NET розшифровує зашифрований файл DLL і завантажує його в пам’ять скомпрометованої системи, де він виконує різноманітні шкідливі дії, сказав Cyble.
Фішинговий сайт Cisco тим часом виглядає як сторінка завантаження технології Cisco Secure Client VPN. Але коли користувач натискає кнопку «замовити» продукт, замість цього він завантажує шкідливий файл VC++ із віддаленого сервера, контрольованого зловмисниками. Зловмисне програмне забезпечення запускає серію дій, які завершуються встановленням DarkTortilla у скомпрометованій системі.
Cyble's аналіз корисного навантаження показали функції пакування зловмисного програмного забезпечення для стійкості, ін’єкції процесів, виконання антивірусних перевірок і перевірок віртуальної машини/пісочниці, відображення підроблених повідомлень, а також зв’язок із сервером командного керування (C2) і завантаження з нього додаткових корисних даних.
Дослідники Cyble виявили, що, наприклад, для забезпечення стійкості в зараженій системі DarkTortilla скидає свою копію в папку запуску системи та створює записи реєстру Run/Winlogin. Як додатковий механізм збереження, DarkTortilla також створює нову папку під назвою «system_update.exe» в зараженій системі та копіює себе в папку.
Складне та небезпечне шкідливе програмне забезпечення
Тим часом функція підроблених повідомлень DarkTortilla в основному подає повідомлення, щоб обманом змусити жертв повірити, що програма Grammarly або Cisco, яку вони хотіли, не запустила, оскільки певні залежні компоненти програми були недоступні в їхній системі.
«Зловмисне програмне забезпечення DarkTortilla — це дуже складне шкідливе програмне забезпечення на основі .NET, яке націлено на користувачів у дикій природі», — заявили дослідники Cyble у повідомленні в понеділок. «Файли, завантажені з фішингових сайтів, демонструють різні методи зараження, що вказує на те, що [актори загрози] мають складну платформу, здатну налаштовувати та компілювати двійковий файл за допомогою різних параметрів».
DarkTortilla, як згадувалося, часто виступає в якості завантажувача першого етапу додаткового шкідливого програмного забезпечення. Раніше цього року дослідники з підрозділу протидії загрозам Secureworks виявили загрозливих суб’єктів, які використовують DarkTortilla для масового розповсюдження широкого спектру зловмисного програмного забезпечення, зокрема Remcos, BitRat, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire та DCRat.
Вони також виявили деяких противників, які використовують зловмисне програмне забезпечення для цілеспрямованих атак Кобальтовий удар і набори посткомпромісних атак Metasploit. У той час Secureworks повідомила, що нарахувала щонайменше 10,000 XNUMX унікальних зразків DarkTortilla, оскільки вперше помітила загрозу, яка використовувала зловмисне програмне забезпечення в атаці, націленій на критичну вразливість віддаленого виконання коду Microsoft Exchange (CVE-2021-34473) торік.
Secureworks оцінив DarkTortilla як дуже небезпечний через його високий ступінь конфігурації та використання інструментів з відкритим кодом, таких як CofuserEX і DeepSea, для обфускації коду. Той факт, що основне корисне навантаження DarkTortilla виконується повністю в пам’яті, є ще однією особливістю, яка робить зловмисне програмне забезпечення небезпечним і його важко помітити, зазначили тоді в Secureworks.
