It's a new day — there's a new threat
На этот раз всё гораздо сложнее (по крайней мере, для меня).
За несколько минут убедиться, что здесь что-то нечисто не получилось.
Тем не менее, я уверен, что это — новая угроза.
Зачем так обфусцировать скрипт и URI серверов если, например, тот же MAS даёт открытый код.
Так что, base64 — тревожный звоночек.
Осторожность и здравый смысл должны удержать от запуска подобного.
Описывать всё пошагово очень долго, да и не всё я понимаю на 100%.
Снова используется PowerShell от имени Администратора.
Задействованы как минимум: base64, функция XOR, iex, irm.
Первый сценарий, который нас просят выполнить: через зашифрованную в base64 строку с удалённого сервера запрашивается скрипт, в котором содержится новая директива, часть которой зашифрована с помощью функции XOR; хорошая новость — ключ объявлен в первой же переменной. После последовательной дешифровки, на этот раз мы получаем требование добавить в исключения Защитника Windows файлы с расширениями .scr (файлы скринсейверов) и .vbs (файлы сценариев Visual Basic):
Второй сценарий: как и в прошлом случае (из моего предыдущего поста) с удалённого сервера запрашивается исполняемый файл под видом файла изображения .jpeg.
Удаляется признак файла Zone.Identifier, создаются скрытые окна, отложенное на 1 минуту после логина в систему запланированное задание с наивысшим приоритетом, возможно в трее появляется значок «Очистка диска» (накопитель со щёткой сверху), загружается ещё одна шифрованная директива:
В ней содержится URI ещё одного файла «изображения» для загрузки; на этот раз — файл сценария .vbs, заботливо добавленный в исключения на первом шаге и скрипт пытается выполниться:
Он слишком огромен для файла сценариев, но половина объёма составляет иконка. Файл сценариев, скорее всего, просто извлекается при выполнении.
Первый файл был загружен на VirusTotal сутки назад, скриншоты:
Второй до меня не загружал никто, скриншоты:
Отчёты о проверке на VirusTotal:
Первый файл:
Размер: 269312 байт
SHA-256: da5152c1d2ef8cbad1a26ae529ddf2c5eaacff627d30997d04e5456e696616dc
Второй файл:
Размер: 561152 байта
SHA-256: 82f41cd46f9659a7f1ad4379866a20a17e19faf167ea7b7777730b17e42e05ee
В этот раз угрозу увидел даже Kaspersky; снова это какое-то spyware; возможно, стилер.
Наверное, скоро эти «инструкции» появятся на крупных площадках в Рунете, а может и не только у нас.
К сожалению, у меня практически нигде нет аккаунтов чтобы я мог отправить репорт или пожаловаться.
Они уже есть на:
github (на русском)
github (на английском)
Последовательность попытки заражения содержит обращение к API ip.sb, возможно с целью определения страны жертвы.
Возможно, вирус нацелен на русскоязычных пользователей и продолжает сценарий заражения целевой системы если получен подходящий IP.
Возможно, сценарий останавливается в какой-то момент с сообщением: «Error: 0x0000231. Please check the system requirements or contact support for further assistance..»
Возможно, это сообщение об ошибке просто заглушка, поясняющая что произошёл «сбой» попытки активации.
Хотя, «приятным» бонусом к заражению могла бы идти активация неактивированной ОС с какого-нибудь KMS-сервера. Бдительность усыпило бы хорошо так.
Надеюсь, я сам не запутался в попытках коротко описать это всё. Я могу.
Опять же, я просто попытался описать сценарий доставки payload до компьютера жертвы.
Для чего предназначена сама полезная нагрузка я не знаю.
К тому же, до кода ещё нужно добраться.
Может быть применён хитрый упаковщик .exe-файлов.
Может быть код сильно обфусцирован.
На данный момент я не потяну.
Да может, это не так уж и важно.
Может, я преувеличиваю опасность или вовсе ошибаюсь, не являясь специалистом в ИБ, но всё-таки решил поделиться изысканиями.
И чтобы снова дёрнуть Рейнджера. =)