Cisco Talos niedawno odkrył nową kampanię złośliwego oprogramowania skierowaną do graczy gier wideo oraz moderów gier na PC. Wykryto tam program szyfrujący używany w kilku różnych kampaniach złośliwego oprogramowania, ukryty w pozornie legalnych plikach, które użytkownicy zwykle pobierali w celu zainstalowania kodów do gier lub innych modyfikacji wizualnych (modów).
Program, nazwany roboczo „Kryptor” używa języka Visual Basic 6 wraz z kodem powłoki i technikami wstrzykiwania procesów. Dodatkowo wykorzystuje kilka technik zaciemniania, które utrudniają analizę i mogą stanowić wyzwanie dla analityków bezpieczeństwa, którzy nie są zaznajomieni z Visual Basic 6. Analiza od Cisco Talos zapewnia wgląd w taktykę przeciwnika i szczegółowo opisuje jak działa szyfrator.
Gracze grający w gry wideo mogą zdecydować się na pobranie pewnych kodów lub modyfikacji (zwanych też „modami”), aby zmienić sposób prezentacji niektórych gier lub urozmaicić samą grywalność. Cyberprzestępcy używają tego mechanizmu modyfikowania gier, do zmieniania systemu operacyjnego i dołączania ukrytego złośliwego oprogramowania. Cisco zauważyło kilka małych, niegroźnych narzędzi, które wyglądały jak zwykłe łatki do gier, ale zostały zainfekowane przez złośliwe oprogramowanie ukryte za pomocą tego właśnie narzędzia kryptograficznego.
Pracownicy działów bezpieczeństwa muszą być stale czujni i monitorować zachowanie systemów w swojej sieci, ponieważ pracownicy nadal działają zdalnie podczas pandemii i często łączą pracę z prywatnym użytkowaniem swoich komputerów. Przedsiębiorstwa są jeszcze bardziej narażone na ataki ze strony zhakowanych komputerów osobistych należących do ich pracowników. Pracownicy czasami pobierają narzędzia modyfikujące lub oszukujące silniki gier z wątpliwych źródeł, aby dostosować swój komputer lub gry działające na tej samej maszynie, której używają do pracy. To poważne zagrożenie dla sieci korporacyjnych.
Wiele z tych kampanii zaczyna się od reklam lub filmów instruktażowych w serwisie YouTube lub innych kanałach mediów społecznościowych związanych z modowaniem gier wideo. Poniższy zrzut ekranu przedstawia przykład jednego z nich.
Niestety, te narzędzia zapewniają nieco więcej niż obiecane poprawki i kody. Większość z nich doposażona jest w backdoor RAT. Ten powyżej instaluje na przykład XtremeRAT, trojana zdalnego dostępu i złodzieja informacji.
Opisana powyżej kampania wykorzystała narzędzie Viotto Binder z Breaking Security do połączenia dwóch plików, które zostały upuszczone do %AppData%/Local/Temp. Jeden nazywa się „Servidor.exe” i jest to próbka spakowana z szyfratorem VB6, który działa jako moduł ładujący XtremeRAT. Plik Servador.exe jest kopiowany do C:\Windows\SysWOW64\Windows\taskhost.exe. Drugi upuszczony plik to przynęta o nazwie „GameLoader.exe”, który jest małym programem .NET z GUI widocznym na powyższym obrazku.
W tym przypadku osoby atakujące wykorzystywały narzędzia do modyfikowania gier wideo, aby nakłonić użytkowników do wykonania dropperów złośliwego oprogramowania. To pokazuje, jak niebezpieczne jest instalowanie losowego oprogramowania z wątpliwych źródeł. Ponieważ tendencja do pracy w domu prawdopodobnie nie zakończy się w najbliższym czasie, stale wzrasta wykorzystanie prywatnego sprzętu komputerowego do łączenia się z sieciami firmowymi – jest to poważne zagrożenie dla sieci korporacyjnych. Ważne jest, aby firmy upewniły się, że ich pracownicy pobierają oprogramowanie wyłącznie z zaufanych źródeł i stosują odpowiednią higienę pracy z domu – pisaliśmy o tym tutaj.
Ze względu na ogromną ilość technik zaciemniania oraz łatwy i tani dostęp do programów szyfrujących, typowe zagrożenia, które widzimy obecnie, są bardziej wyrafinowane niż w przeszłości. Zagrożenie to wykorzystywało złożony program szyfrujący oparty na VisualBasic, aby ukryć swój ostateczny ładunek. Dropper wstrzykuje kod do nowego procesu, aby ukryć swój ostateczny ładunek przed prostymi narzędziami do ochrony przed złośliwym oprogramowaniem. Większość złośliwego oprogramowania stale ulepsza swoje techniki infekowania. Obecnie ważniejsze niż kiedykolwiek jest posiadanie wielowarstwowej architektury zabezpieczeń do wykrywania tego rodzaju ataków. Nie jest nieprawdopodobne, że cyberprzestępcom uda się ominąć jeden lub drugi środek bezpieczeństwa, ale znacznie trudniej jest im ominąć je wszystkie.
Poniżej zamieszczamy IOC opisywanego przypadku infekcji:
DOMENY:
Dracula4000[.]duckdns[.]org
Draculax[.]myq-see[.]com
Macroso[.]ddns[.]net
Win08[.]zapto[.]org
ADRESY IP:
45.163[.]152.127
51.79[.]47.48
51.161[.]76.196
141.255[.]147.114
177.18[.]137.16
179.253[.]227.97
185.185[.]197.247