Специалисты «Лаборатории Касперского» проанализировали новую спам-кампанию и обнаружили, что злоумышленники используют ее для распространения зловреда для сбора информации Dimnie. Разработчики добавили модульному трояну возможность устанавливать полезную нагрузку в виде шифровальщика Purga, банкера Buhtrap и компоненты TeamBot, обеспечивающие преступникам удаленный доступ.

Экспертам Dimnie известен еще с 2014 года, однако широкая публика узнала о нем после атаки на GitHub в 2017 году. Вероятнее всего, злоумышленники намеревались похитить учетные данные разработчиков и проникнуть с их помощью в сети крупных организаций и предприятий для шпионажа. Все это время троян совершенствовался, научившись скрывать вредоносный трафик и не оставлять следов присутствия в системе.

Для сокрытия коммуникаций Dimnie с управляющим сервером команды и дополнительные модули шифруются с помощью алгоритма AES. Более того, пересылаемые вредоносные файлы выдаются за картинки в формате JPEG.

Специалисты «Лаборатории Касперского» отмечают и другой метод маскировки, используемый операторами трояна. После разрешения доменного имени C&C-сервера зловред подключается к полученному IP, хотя при этом использует в качестве заголовка HTTP-запросов адрес поискового сервиса Google.

В апреле 2018 года Dimnie модернизировали, добавив банковский троян Buhtrap, чья задача — похищение денег со счетов юридических лиц.

Однако недавно в арсенале вредоноса появилось еще два инструмента. Один из них — TeamBot — включает компоненты легитимной программы для удаленного доступа TeamViewer, а также вредоносную библиотеку TV.dll и конфигурационный файл config.bin.

После запуска зловред перехватывает несколько системных вызовов, чтобы оставаться незамеченным, а затем отправляет на управляющий сервер имя пользователя, модель процессора, объем оперативной памяти, установленный антивирус и другую информацию об устройстве. В результате злоумышленники получают возможность выполнять на зараженном компьютере любые действия, в том числе загружать и запускать любые файлы.

Еще одно нововведение операторов Dimnie — загрузка варианта Purga, также известного как Globe, Amnesia и Scarab. Первые сообщения об этом шифровальщике появились в середине 2016 года, но  с тех пор он неоднократно модифицировался.

Все последние варианты Purga используют одну и ту же криптографическую схему. Во время запуска программы генерируется пара сессионных ключей RSA, приватный сессионный ключ шифруется содержащимся в теле вредоноса публичным RSA-ключом злоумышленников. Затем эта информация записывается в текст с требованиями вымогателей.

Ключ и вектор для каждого объекта генерируются непосредственно перед шифрованием, проходящим по алгоритму AES-256-CBC. Исследователи отмечают, что в зависимости от конфигурации трояны семейства Purga также могут шифровать имена файлов.

Если изначально вымогатель распространялся через спам с ботнета Necurs, то в феврале 2018-го появилась ориентированная на российские компании версия, устанавливаемая вручную через уязвимые RDP-подключения.

Категории: Аналитика, Вредоносные программы, Главное