ИБ-исследователи предупреждают о новой спам-кампании, направленной на бразильские организации: вложения в формате Compiled HTML используются для доставки банковского трояна.

Вредоносные вложения распространяются под именем comprovante.chm, как пишет Родель Мендрез (Rodel Mendrez), старший аналитик компании Trustwave, в отчете о проведенном исследовании.

Также он указывает, что многоэтапная методика заражения, используемая для доставки трояна, эффективно маскирует вредоносный код и препятствует его обнаружению: на данный момент всего восемь антивирусных сканеров из 60 идентифицируют вложения с этим CHM-файлом как вредоносные.

Злоумышленники используют проприетарный формат контекстной справки, разработанный Майкрософт, — Microsoft Compiled HTML Help, или CHM. Такие файлы доступны в интерактивном режиме и могут, например, запускать сценарий JavaScript, с помощью которого в данном случае злоумышленники перенаправляют жертву на внешний URL-адрес. В последнее время CHM-файлы уже несколько раз использовались в различных атаках, в том числе в ноябре в атаках группы, стоящей за трояном Silence.

«Как только пользователь открывает такой CHM-файл, выполняется простая команда PowerShell, которая скачивает сценарий PowerShell для второго этапа атаки. После этого зловред обеспечивает себе сохраняемость, добавляя в запланированные задачи запуск вредоносного кода при входе пользователя в систему», — рассказывает Мендрез.

Распаковка контейнеров CHM-файла показала, что он состоит из HTML-объектов, один из которых называется Load_HTML_CHM0.html.

«Когда в окно справки Майкрософт (hh.exe) загружается этот HTML-объект, он запускает JavaScript-функцию с именем open(), — продолжает Мендрез. — Функция open() декодирует блок данных, который затем подвергается двухуровневому декодированию с помощью алгоритмов Base64 и XOR».

После декодирования данные образуют объект ClassID, который активирует вредоносный сценарий PowerShell.

«Таким образом, злоумышленнику удается незаметно прокрасться мимо радаров: команда PowerShell тихо выполняется в фоновом режиме, завершая работу экземпляров hh.exe (программы, которая запускает CHM-файл) и устанавливая в стиле окна атрибут «скрытое». Затем она вызывает команду, закодированную с помощью Base64, которая загружает с сайтов Google сценарий PowerShell для второго этапа», — пишет исследователь.

Этот сценарий активирует скачивание второго бинарного файла трояна Bancos — он загружается в папку %Appdata%\Sysinit, а затем копируется в папку %Appdata%\SysRun. Основные из скачиваемых таким образом исполняемых бинарных файлов — это Server.bin, cmd.bin, XSysInit.bin для перехвата действий мыши и клавиатуры и CRYPTUI.DLL, способный скачивать дополнительную полезную нагрузку.

Последовательность атаки включает три запланированные задачи. Первая из них — запуск вредоносной программы при входе пользователя в систему. Вторая — принудительная перезагрузка пораженной системы при помощи вредоносного сценария PowerShell. Наконец, исполняемый файл Server.bin загружает файл CRYPTUI.DLL, который, в свою очередь, может скачивать новые полезные нагрузки.

Далее автор исследования пишет: «Когда загружается библиотека DLL (CRYPTUI.DLL), она порождает новый процесс iexpress.exe и внедряет в него свой вредоносный код. Затем она собирает информацию о системе, включая имя пользователя и имя компьютера, и передает ее на управляющий сервер.

Такая атака включает несколько этапов заражения, спровоцированного электронным сообщением с троянизированным CHM-файлом. Многоэтапное инфицирование — типовой прием, позволяющий злоумышленникам обходить антивирусные сканеры. На момент написания этой статьи, больше чем через месяц после обнаружения данного образца, его детектируют лишь 8 из 60 антивирусных сканеров».

Категории: Аналитика, Вредоносные программы, Спам