Ранее неизвестный дроппер доставляет на целевые устройства широкий спектр полезной нагрузки. Зловред, получивший название Legion Loader, не ограничивается установкой коммерческих инфостилеров, а внедряет на Windows-компьютеры собственный скрипт для кражи данных криптокошельков и RDP-бэкдор.

Специалисты компании Deep Instinct зафиксировали атаки с использованием нового загрузчика и подробно описали механизм его работы. Эксперты не сообщили, каким образом дроппер попадает на целевое устройство, однако отметили, что кампания с его участием направлена на пользователей из США и Европы.

Какие программы доставляет дроппер Legion

По словам исследователей, попав на компьютер, вредоносная программа сначала регистрируется на одном из своих командных серверов. Злоумышленники создали более 30 центров управления и варьируют их от атаки к атаке, чтобы уберечь от блокировки. После установки связи Legion загружает в целевую систему два или три образца полезной нагрузки, среди которых встречаются распространенные инфостилеры Raccoon, Vidar и Predator the Thief, а также другие вредоносные программы.

По мнению ИБ-специалистов, создатели дроппера предоставляют другим злоумышленникам услуги по доставки вредоносного ПО на целевые устройства. Сразу после установки полезной нагрузки Legion запускает PowerShell-скрипт и скачивает собственные вредоносные инструменты. Один из них — бесфайловый инфостилер для сбора учетных данных криптокошельков и сохраненных в браузерах паролей. Похищенные сведения передаются на командный сервер по защищенному каналу, за шифрование которого отвечает отдельная библиотека.

Второй стандартный модуль представляет собой бэкдор, использующий протокол RDP для коммуникации с центром управления. Скрипт упакован как установщик NSIS и закодирован шифром на основе стандарта Base64. Так же как и встроенный инфостилер, он не оставляет следов на диске, работая в рамках PowerShell-оболочки. Исследователи не раскрывают возможностей зловреда, а лишь отмечают, что он регистрируется на инфицированном устройстве как системный процесс.

В ноябре этого года стало известно, что новым дроппером обзавелся похититель информации Agent Tesla. Установщик, который представляет собой Autoit-скрипт, собирает полезную нагрузку по частям в памяти целевого устройства и не оставляет следов на диске. Чтобы обойти защитные фильтры, злоумышленники использовали для доставки зловреда ARJ-архив, приложенный к спам-письму.

Категории: Аналитика, Вредоносные программы