Cyber Threat Warning
На днях несколько пользователей предотвратили широкое распространение вируса из поста на DTF.
Пост был быстро удалён. Аккаунт почему-то не забанен/не удалён.
Такой же пост появился и на vc.ru.
Возможно, в силу низкой активности там некому сообщить об опасности.
Я не могу этого сделать потому что у меня нет там аккаунта.
Регистрироваться же только ради этого не хочется.
Не могли бы вы передать коллегам адрес страницы с опасной инструкцией?
VC-шный «герой»
DTF-ский «герой»
Дальше можно не читать.
Дальше поверхностные измышления.
В силу своих скромных способностей/возможностей к детальному пониманию и описанию подробностей расскажу хоть как-то.
Вирус предназначен для заражения компьютеров под управлением Windows. Obviously. :-|
Команды зашифрованы в base64.
Я даже не знал, что PowerShell может принимать на вход, интерпретировать и выполнять строки в base64.
Это чтобы понимать уровень моей «экспертизы». :-(
Адреса/имена я заменил на '?' на всякий случай.
Первая команда добавляет в исключения Защитника Windows файлы скринсейверов (.scr):
Вторая команда загружает с Pastebin такую директиву:
Она отключает защиту в режиме реального времени, загружает с удалённого сервера файл с расширением .jpeg и сохраняет его в папке TEMP как файл с расширением .scr.
На самом деле, это исполняемый файл.
С него снимается признак файла или удаляются/подавляются/игнорируются данные (ADS) о том, что он получен из интернета; путь до него также добавляется в исключения Защитника; файл пытается выполниться:
Это было самое простое.
Кто-то грамотней меня может меня поправить и указать на то, что я не так понял, а если не лень, то расписать всю последовательность обычным языком.
Со сложным я не справился.
Что несёт в себе payload я не знаю.
Я скачал вирус к себе на компьютер, извлёк содержимое .exe-файла, но яснее не стало.
Код извлечь я не смог, а если бы и смог, то, скорее всего, не смог бы его прочитать и понять.
Автор скрипта для доставки полезной нагрузки на Pastebin, уже успел поменять имя и путь до файла как минимум один раз. Скорее всего он делает это раз в сутки.
Контрольные суммы файла полезной нагрузки остаются неизменными. Файл тот же самый.
Если кто-то увидит у себя на компьютере файл размером 365056 байт и такой иконкой — это повод насторожиться:
Я отправил его на VirusTotal.
До меня его ещё не загружали на сервис.
Результаты на скриншотах:
Краткий поиск по кодовым именам угроз ясности не добавил.
Какой-то троян; возможно, стилер или шифровальщик.
Dr.Web, к примеру, не находит ничего подозрительного.
Если на DTF найдётся скучающий эксперт по информационной безопасности, возможно он сможет разобрать алгоритм угрозы.
Прямые ссылки на вирус давать не буду; всё это легко находится при желании.
Ссылка на результаты проверки на VirusTotal
Размер файла: 365056 байт
Обновление и итог:
модераторы удалили все найденные мной страницы и несколько пропущенных.
Помимо DTF и VC эти инструкции нашлись на:
И только я сделал вывод, что целью были русскоязычные пользователи, как инструкция нашлась на Medium
И хотя, на всех ресурсах кроме DTF и VC они по-прежнему доступны, угрозы эти способы на данный момент не представляют, так как страница с директивой для скачивания и применения полезной нагрузки больше не существует на Pastebin:
Not Found (#404)
This page is no longer available. It has either expired, been removed by its creator, or removed by one of the Pastebin staff.
На этом, кажется, всё.
Продолжение следует…