Nowy malware „Troystealer”. Jak działa, jak się chronić?

Bliższe spojrzenie

Zagrożenie zostało pierwotnie wykryte przez Abuse.ch 12 czerwca 2020 r. Opis sygnatur tutaj. Uznano je wtedy za nowego rodzaju charakterystyczny malware, który atakował portugalskich internautów. Fragment złośliwego kodu był rozpowszechniany poprzez kampanie phishingowe z szablonem w języku portugalskim, przynętą był opisany problem z kontem bankowym i konieczność jego naprawienia poprzez dołączony złośliwy plik. Po uruchomieniu aplikacji z załącznika, malware wykorzystuje technikę „Process Injection” do uruchomienia nowego pliku binarnego po kilku rundach deobfuskacji. Poniżej przedstawiono wysokopoziomowy diagram działania wirusa na zainfekowanym urządzeniu:

Plik binarny rozpowszechniany pocztą elektroniczną (pierwszy etap) jest chroniony dwiema iteracjami zaciemniania kodu, a przestępcy użyli do tego dwóch różnych obfuskatorów: Smart Assembly i .NET Reactor. Jak widać na rysunku, złośliwe oprogramowanie jest wstrzykiwane do pamięci jako legalna biblioteka i rozpoczyna złośliwy proces zbierania poufnych informacji z urządzenia ofiary. Moduły złośliwego oprogramowania odpowiedzialne za kradzież informacji zbierają takie dane jak:

• Poświadczenia dostępne w bazach danych przeglądarek internetowych
• Hasła przechowywane w HKEY_CURRENT_USER \ Software \ Paltalk \ passwords
• Zainstalowane produkty do bezpieczeństwa na urządzeniu
• Wersję systemu operacyjnego
• Naciśnięcia klawiszy (funkcja keyloggera)
• Poświadczenia z różnych źródeł i zainstalowanych aplikacji

Troystealer został opracowany w celu kradzieży danych logowania z następujących aplikacji:

Paltalk, Purple, Thunderbird, Proxifier, MSN, Outlook, Pidgin, Chrome, Firefox, Opera, Firefox, Opera, Safari, iExplore CoolNovo, SRWare Iron, Dragon, Flock, Rockmelt, Skype, FileZilla, Battle.net, Trillion, TeamViewer, Nimbuzz, Chromium.

Podczas analizy zaobserwowano również, że złośliwe oprogramowanie analizuje pliki poświadczeń przy użyciu bibliotek DLL Mozilli i DLL nss3.

Następnie złośliwe oprogramowanie zbiera informacje o systemie, w tym poświadczenia systemu Windows i pobiera numery seryjne wolumenu oraz cyfrowy identyfikator produktu (klucz produktu Windows i strefa czasowa komputera). Wykonuje również niektóre zapytania WMI, takie jak:

• IWbemServices :: ExecQuery – root \ cimv2: SELECT Caption FROM Win32_OperatingSystem
• IWbemServices :: ExecQuery – root \ SecurityCenter2: SELECT * FROM AntivirusProduct

Informacje są następnie grupowane i wysyłane na e-mail przestępcy za pośrednictwem protokołu SMTP. Przed wykonaniem tego kroku malware sprawdza, czy komputer jest podłączony do Internetu. Jeden z nielicznych plików utworzonych przez Troystealer nosi nazwę halloee.txt. Plik zawiera wyniki ze strony speedtest.net. Jeśli dane odpowiedzi są prawidłowe, proces eksfiltracji jest kontynuowany. Poniżej w kodzie złośliwego oprogramowania widać funkcję odpowiedzialną za sprawdzenie połączenia internetowego:

W przypadku uzyskania prawidłowego wyniku z połączenia internetowego wyeksfiltrowane informacje są odbierane po stronie przestępcy. Poniżej widać funkcję odpowiedzialną za przesłanie danych:

Jak się chronić?

Zapobieganie tego rodzaju zagrożeniom powinno opierać się na silnej świadomości i ogólnie najlepszych praktykach internetowych, a zwłaszcza na czujnym i świadomym odbieraniu poczty e-mail. Większość złośliwych programów jest rozpowszechnianych przez scenariusze inżynierii społecznej i kampanie phishingowe. Poniżej zalecamy pewne środki, które mogą zapobiec infekowaniu komputera przez tego rodzaju złośliwe oprogramowanie:

• Zainstaluj program antywirusowy lub inne rozwiązanie chroniące przed złośliwym oprogramowaniem, Troystealer dostępny jest już w wielu regułach sygnaturowych,
• Aktualizuj swój system i regularnie instaluj aktualizacje systemu operacyjnego i oprogramowania, z którego korzystasz,
• Pomyśl, zanim klikniesz link udostępniony za pośrednictwem poczty e-mail, czatu i innych aplikacji. To samo dotyczy plików załączonych do wiadomości e-mail lub podobnych kanałów,
• Twórz kopie zapasowe plików online i offline, aby zapobiec uszkodzeniu danych podczas cyberincydentów, takich jak ataki ransomware,
• Nie zapisuj haseł w aplikacjach krytycznych i przeglądarkach internetowych, do przechowywanie haseł używaj zewnętrznego zasobu bądź sejfu takiego jak np. KeePass,
• Obserwuj swoje urządzenie i jego nietypowe zachowania, wysokie zużycie zasobów przez jakiś proces sugeruje infekcję niechcianym oprogramowaniem.