Специалисты Symantec рассказали о сложной и многоступенчатой вредоносной кампании, нацеленной на компьютеры под управлением Windows. По словам исследователей, злоумышленники используют легитимные утилиты операционной системы для доставки полезной нагрузки на устройство жертвы. Такая тактика позволяет киберпреступникам похищать пользовательскую информацию и устанавливать бэкдоры, оставаясь незаметными для антивирусных сканеров.

Точкой входа в рамках новой кибератаки стала Windows Management Instrumentation Command-line (WMIC) — встроенная утилита для управления ресурсами ОС через интерфейс командной строки. При помощи этого инструмента нападающий может изменять системные настройки, останавливать активные процессы и запускать скрипты на устройстве в локальном или удаленном режиме.

Атака начинается с вредоносного письма, с Windows-ярлыком в качестве вложения или ссылки в тексте. Объект содержит WMIC‑команду, которая загружает на устройство XSL‑файл, также не вызывающий подозрения у систем безопасности, поскольку эту нотацию языка XML нередко применяют легитимные программы. Внедренный в этот файл Java-скрипт выполняется при помощи еще одной системной утилиты — Microsoft HTML Application Host, обычно используемой для запуска приложений в формате .hta.

Подготовив необходимую инфраструктуру, злоумышленники приступают ко второй стадии атаки. Вредоносный скрипт генерирует уникальный адрес загрузки, случайным образом выбирая один из 52 предопределенных доменов и один из 89 портов доступа. Полученный URL содержит HTA-файл, который после доставки на компьютер тоже формирует уникальную ссылку на скачивание полезной нагрузки. Таким образом киберпреступники пытаются усложнить идентификацию подозрительной активности в зараженной системе.

На третьей стадии нападения на устройство загружается пара DLL-файлов и несколько зашифрованных XOR-модулей с расширениями .jpg или .gif. Полезная нагрузка декодируется и внедряется на инфицированный компьютер при помощи одной из библиотек. Мошенники размещают в скомпрометированной системе широкий арсенал программ для кражи информации, удаленного управления и майнинга криптовалюты.

Набор зловредов включает в себя:

  • Программу для сбора паролей аккаунтов электронной почты.
  • Приложение, похищающее пароли, сохраненные в памяти браузера.
  • Кейлоггер, настроенный на работу с японской раскладкой клавиатуры, что свидетельствует о региональной направленности атаки.
  • Фишинговый модуль, в дальнейшем используемый одним из мошеннических сайтов.
  • Обозреватель файлов.
  • Бэкдор для удаленного контроля устройства.
  • Майнер криптовалюты.

Исследователи назвали кампании, использующие легитимные приложения для вредоносной активности, тактикой «перехода на подножный корм» (living off the land). Атакующие все чаще применяют инструменты, уже установленные на целевых компьютерах, или просто запускают несложные скрипты непосредственно в памяти устройства при помощи оболочек наподобие PowerShell. Такой подход позволяет создавать меньше новых файлов на жестком диске, а значит, снижает вероятность обнаружения и блокировки зловреда инструментами безопасности.

Одним из примеров подобной активности является целевая кампания RAT-трояна DNSMessenger, зафиксированная в марте прошлого года. Вредоносная программа запускалась в памяти компьютера, не оставляя следов на жестком диске, и создавала двусторонний канал связи с C&C-сервером, используя исключительно команды PowerShell.

Еще один эксплойт, опубликованный в сети на прошлой неделе, использовал недостатки планировщика задач Windows 10, чтобы повысить привилегии злоумышленника на скомпрометированном устройстве. Изначально уязвимость была обнаружена лишь в 64-битной версии ОС, однако позже исследователи сумели портировать ее и на 32-разрядную платформу.

Категории: Мошенничество, Спам, Хакеры