Специалисты команды Unit 42 сумели вскрыть алгоритм шифрования нового экземпляра Chainshot и проанализировали его исходный код. Эксперты выяснили, что загрузчик, получивший название Chainshot, эксплуатирует уязвимость нулевого дня Adobe Flash Player для доставки на целевое устройство полезной нагрузки. Приложение является частью нового набора вредоносных программ, нацеленного на атаки в Ближневосточном регионе.

Как рассказали исследователи, злоумышленники применили 512-битный приватный ключ для шифрования пакетов данных, передаваемым между вредоносной программой и командным сервером. В отличие от AES-паролей размером 128 и 256 бит, такая последовательность является уязвимой для взлома.

Слабая устойчивость ключа была выявлена еще в 1999 году, и сегодня системы, основанные на облачных технологиях, справляются с декодированием подобных криптоалгоритмов за несколько часов. Этим и воспользовались ИБ-эксперты, заказав расшифровку специализирующемуся на распределенных вычислениях онлайн-сервису.

Получив доступ к коду программы, исследователи провели статический и динамический анализ зловерда. Для этого они создали упрощенную модель командного сервера, которая имитировала сеанс связи с зараженным устройством. В ходе проведенных экспериментов специалисты установили, что в результате цепочки загрузок Chainshot размещает в скомпрометированной системе программу для кражи информации о работе целевой системы.

Зловред имеет сложный механизм работы, предусматривающий протоколирование своих действий и отправку преступникам сообщений о ходе взлома. Кроме того, скрипт сканирует память устройства, пытаясь обнаружить и обойти защитное ПО «Лаборатории Касперского» и других антивирусов. Если выгрузить систему безопасности из памяти не удается, программа прекращает работу.

Один из SSL-сертификатов, использовавшийся злоумышленниками для своих сайтов, оказался засвечен в базе данных IceBrg. Благодаря этому исследователи смогли обнаружить еще несколько доменов, принадлежащих киберпреступникам и задействованных в других кампаниях.

Уязвимость CVE-2018-5002, которую эксплуатирует Chainshot, допускает выполнение произвольного кода с правами текущего пользователя Adobe Flash Player. Баг обнаружили в дикой природе китайские исследователи, и вендор был вынужден закрывать его внеочередным патчем. Несмотря на выход обновления, брешь все еще находится на вооружении авторов вредоносных программ.

Категории: Аналитика, Вредоносные программы