В ноябре прошлого года специалисты по информационной безопасности рассказали о новой технике внедрения стороннего кода в приложения Windows. Спустя восемь месяцев алгоритм, названный PROPagate, включили в пакет эксплойтов RIG и применили во вредоносной кампании.

Метод основан на ошибках функции SetWindowSubclass API, которая управляет окнами приложений в графическом интерфейсе (GUI) Windows. Специалисты обнаружили, что при помощи этой команды и параметров UxSubclassInfo и CC32SubclassInfo можно загрузить вредоносный код внутрь приложения и выполнить его.

Баг затрагивает только программы, использующие GUI операционной системы. В число таких приложений входит большинство системных утилит Windows, включая «Проводник».

В дикой природе PROPagate обнаружили при изучении вредоносной кампании, целью которой является установка майнера криптовалюты Monero. Чтобы скрытно внедрить зловерд на компьютер жертвы, мошенники используют трехступенчатый алгоритм, в котором новая техника играет не последнюю роль.

Атака начинается на скомпрометированном сайте, который при помощи невидимого фрейма перенаправляет посетителя на подконтрольную киберпреступникам страницу. Ее код содержит три фрагмента на JavaScript, каждый из которых использует собственный метод доставки полезной нагрузки.

Для загрузки установщика на базе платформы NSIS злоумышленники эксплуатируют известные уязвимости. Одна из них (CVE-2016-0189) связана с недостатками реализации скриптов Visual Basic, другая (CVE-2015-2419) относится к некорректному выполнению JavaScript в Internet Explorer, а CVE-2018-4878 является багом Adobe Flash Player.

Попав на компьютер, инсталлятор распаковывает DLL-библиотеку, которая содержит функцию расшифровки PE-файла, необходимого для размещения в памяти полезной нагрузки. На втором этапе зловред отключает виртуальные машины, которые могут представлять для него опасность. Далее, программа при помощи PROPagate внедряет код собственной оболочки в «Проводник» Windows.

Таким образом, с точки зрения операционной системы все дальнейшие действия вредоносной программы выполняются от имени легитимного процесса explorer.exe.

Финальная стадия включает в себя создание процессов, выгружающих все системные средства проверки, и удаление следов деятельности зловреда с жесткого диска. Итогом атаки становится скачивание и запуск криптомайнера Monero.

Эксплойт-паки теряют популярность в среде киберпреступников с 2016 года. Однако несмотря на снижение количества атак, RIG остается грозным оружием в руках злоумышленников. В прошлом году при помощи этого набора распространяли шифровальщик Matrix, а чуть ранее он участвовал в доставке вымогателя CryptoShield.

Категории: Уязвимости, Хакеры