Plik „txt”, który kradnie wrażliwe dane

Analiza infekcji

W tym scenariuszu atakujący dostarcza plik phishingowy przy użyciu technologii RLO (Right-to-Left Override), która ma pomagać translacji znaków Unicode w językach, w których pisze się od prawej do lewej strony. Dzięki technologii RLO złośliwy plik pierwotnie nazwany „ReadMe_txt.lnk.lnk” zostanie wyświetlony na komputerze użytkownika jako „ReadMe_knl.txt”. Jednocześnie, jeśli atakujący ustawi ikonę pliku lnk jako ikonę notatnika, użytkownik może łatwo pomylić go z plikiem txt. Na tym polega cała sztuczka.

W ten sposób ofiara myśląc o otwarciu pliku txt, w rzeczywistości wykonuje kod przygotowany przez atakującego. System wykona polecenie PowerShell zgodnie z zawartością w atrybucie „target”. Komenda pobiera złośliwy program hxxps://iwillcreatemedia[.]com/build.exe, ustawa atrybut „ukryty” i uruchomia go. Treść polecenia widzimy poniżej:

Po analizie kodu pobranego szkodliwego programu można w prosty sposób dowiedzieć się dwóch rzeczy. Że został skompilowany w .NET oraz że jest to ładunek Poullight.exe, znanego niebezpiecznego „stealera” danych.

Działanie

Program putty3.exe pobrany do systemu docelowego najpierw sprawdzi, czy bieżące środowisko jest maszyną wirtualną, czy środowiskiem sandbox. Jeśli wykryje środowisko testowe, program się nie uaktywni. Po przejściu inspekcji środowiskowej trojan zaczyna tworzyć wątki w celu wykonania swoich prawdziwych złośliwych modułów funkcyjnych. Trojan ładuje własne zasoby zakodowane w Base64, które po zdekodowaniu zawierają dane konfiguracyjne wirusa.

Oprócz wykrywania środowiska operacyjnego trojan rejestruje również nazwy użytkowników, nazwy komputerów, nazwy systemów i inne informacje o maszynach, w tym o zainstalowanych produktach antywirusowych, etykietach kart graficznych i etykietach procesorów. Wszystkie powyższe dane zapisywane są w pliku %LocalAppData% \\ \\ PC-Information.txt.

Następnie trojan uzyskuje listę aktualnie aktywnych procesów i zapisuje ją w pliku %LocalAppData% \\ 1z9sq09u \\ ProcessList.txt. Lista ta musi zawierać wstrzyknięty proces trojana, aby kolejny krok infekcji mógł się rozpocząć.

Po tym etapie, z plików konfiguracyjnych złośliwego oprogramowania oraz ze stworzonych plików z danymi zbierane są niezbędne informacje o systemie, kompilowany jest kod C++ dostarczony z ładunkiem i tworzony jest nowy plik %TEMP% \\ Windows Defender.exe, który jest uruchamiany. To właśnie on odpowiada za kradzież wrażliwych danych z systemu. W tym celu wywoływana jest poniższa metoda:

Wszystkie skradzione dane przechowywane są w katalogach: %LocalAppData%\\1z9sq09u\\.

Kradzież danych

Następnie skradzione informacje przesyłane są na jeden z dwóch serwerów C&C:

– hxxp://poullight[.]ru/handle.php – hxxp://gfl.com[.]pk/Panel/gate.php.

Po zakodowaniu dane przesyłane są na serwery po kolei, w interwałach. Po tym jak zdalny serwer zwróci dobrą odpowiedź, zostanie wykonany kolejny kod. W przeciwnym razie próba przesłania będzie podejmowana co 2 sekundy, aż się powiedzie.

Podsumowanie

Poniżej przedstawiamy IOC analizowanego złośliwego oprogramowania:

Hash dcb4dfc4c91e5af6d6465529fefef26f 083119acb60804c6150d895d133c445a b874da17a923cf367ebb608b129579e1

C2 hxxp://gfl.com.pk/Panel/gate.php hxxp://poullight.ru/handle.php

URL hxxps://iwillcreatemedia.com/build.exe hxxp://ru-uid-507352920.pp.ru/example.exe