Специалисты по информационной безопасности сообщают о целевой киберкампании, направленной на организации технологического сектора в Юго-Восточной Азии. Злоумышленники используют легитимное ПО NVIDIA для доставки бэкдора, чтобы получить привилегии администратора, заменив трояном встроенную Windows-утилиту для чтения текста с экрана. Эксперты пока затрудняются идентифицировать APT-группировку, стоящую за атаками.

Киберпреступники используют opensource-бэкдор PcShare

Нападение начинается с доставки на компьютер жертвы бэкдора PcShare. Зловред распространяется через фишинговые сайты в составе легитимного приложения NVIDIA Smart Maximise Helper Host. Преступники подменили библиотеку NvSmartMax.dll на модифицированную версию PcShare. Из оригинального бэкдора удалили функции, связанные с потоковым вещанием и перехватом ввода на клавиатуре, но добавили возможности для шифрования канала связи с командным сервером и обхода прокси.

Подменив легитимный DLL-файл, киберпреступники могут загружать исполняемый модуль в оперативную память и доставлять другую полезную нагрузку под прикрытием утилиты NVIDIA.

Код бэкдора содержит адрес промежуточного командного сервера, на котором хранятся инструкции по взаимодействию с центром управления. Таким образом злоумышленники скрывают адрес основного хоста и при необходимости фильтруют трафик.

Второй этап атаки: внедрение фальшивого экранного диктора Windows

Закрепившись на целевой машине, атакующие доставляют на нее троян, имитирующий функции экранного диктора Windows. Для приложения, зачитывающего текст с экрана, упрощен вход в систему и разрешен запуск других программ с системными привилегиями. После старта троян включает легитимный голосовой помощник и открывает диалоговое окно от его имени, а также запускает процесс, который перехватывает действия с клавиатурой.

Зловред ожидает ввод специального пароля, жестко зашитого в коде, а затем открывает диалог для запуска команды или файла. Таким образом, киберпреступник может выполнить код на целевом устройстве даже без учетных данных пользователя: достаточно лишь передать на машину заданный ключ, чтобы активировать окно трояна.

Точных данных о том, кто стоит за этой кампанией, нет. ИБ-специалисты считают, что использование PcShare, а также география атак может указывать на кибергруппировку Tropic Trooper, которая регулярно нападает на правительственные учреждения и промышленные компании в Тайване и на Филиппинах.

В августе этого года специалисты «Лаборатории Касперского» рассказали о полиморфном бэкдоре VBShower, взятом на вооружение командой злоумышленников Cloud Atlas. Вредоносная программа меняет свой код от атаки к атаке, что затрудняет ее обнаружение сканерами безопасности.

Категории: Аналитика, Вредоносные программы, Хакеры