До тех пор, пока киберпреступники охотятся за деньгами, они не прекратят создавать вредоносное ПО, а пока они создают вредоносное ПО, мы продолжим его анализировать, публиковать отчеты и предлагать защитные решения.
В прошлом месяце мы рассказали о нескольких вредоносных кампаниях. Например, мы опубликовали закрытый отчет о новом зловреде, обнаруженном на теневых форумах, который мы называем ASMCrypt (связан с ). Однако в мире киберкриминала происходят и другие события, поэтому мы также опубликовали отчеты о новых версиях стилера Lumma и банковского троянца для Android под названием Zanubis. В статье мы приводим выдержки из этих отчетов.
Если вы хотите больше узнать о нашем сервисе информирования о ПО, используемом для совершения киберпреступлений (crimeware), напишите по адресу [email protected].
Анализ показал, что с высокой долей вероятности ASMCrypt — более поздняя версия DoubleFinger. Однако ASMCrypt работает немного по-другому: он выступает скорее как «фасад» для службы, которая выполняется в сети TOR.
Сначала покупатель приобретает бинарный файл ASMCrypt, который подключается к серверной службе через сеть TOR с использованием жестко закодированных учетных данных. Если подключение установлено успешно, открывается меню выбора параметров.
Покупатель может задать следующие параметры:
Когда вредоносная DLL-библиотека выполняется в целевой системе, она загружает PNG-файл, расшифровывает его, загружает в память и выполняет.
Lumma распространяется через поддельный веб-сайт для преобразования файлов .docx в .pdf, который маскируется под легитимный. Отправленный на него файл возвращается с двойным расширением pdf.exe.
Этот стилер впервые появился в поле нашего зрения в августе 2022 года, когда мы обнаружили неизвестные прежде образцы. Примерно в то же время исследователь-любитель Fumik0_ о том, что Lumma — это форк или результат рефакторинга кода Mars.
С того момента в коде Lumma произошли изменения, некоторые из которых мы рассмотрим ниже:
Образец кода «отладочного» образца
Примерно в апреле 2023 года мы обнаружили новые образцы Zanubis, которые выдают себя за Android-приложение перуанского госучреждения SUNAT (Национальное управление таможенной и налоговой администрации). Мы изучили обновившуюся функциональность троянца, ставшего за это время более продвинутым.
Для подключения к командному серверу используются протокол WebSocket и библиотека Socket.IO. С помощью последней вредоносное ПО устанавливает отказоустойчивое соединение с командным сервером, позволяющее переключаться с WebSocket на HTTP и наоборот. Также библиотека предоставляет командному серверу доступ к масштабируемой среде, где все новые устройства, зараженные Zanubis, могут при необходимости массово получать команды (также называемые событиями) от командного сервера. После запуска зловреда имплант вызывает функцию проверки подключения к C2. Он устанавливает два соединения с одним и тем же командным сервером, но эти подключения выполняют разные задачи, и второе соединение устанавливается только по запросу командного сервера.
В коде Zanubis нет жестко заданного списка приложений для атаки. В последние годы разработчики вредоносного ПО обычно динамически обновляют список целей, добавляя или удаляя названия приложений. Чтобы внести приложения в этот список, командный сервер отправляет событие config_packages. JSON-объект, рассылаемый вместе с событием, содержит массив со списком приложений, которые должен отслеживать зловред. Вредоносное ПО парсит список целей каждый раз, когда на экране происходит какое-либо событие (например, открывается приложение), которое троянец отслеживает с помощью функции onAccessibilityEvent.
Как только Zanubis обнаруживает, что на устройстве открыто приложение из списка целей, троянец крадет данные пользователя при помощи одного из двух действий в зависимости от настроек: отслеживания событий/перехвата данных, вводимых с клавиатуры, или же записи экрана.
Ранее мы упоминали о втором соединении с командным сервером, которое позволяет зловреду выполнять еще больше действий. После того как Zanubis устанавливает новое соединение с командным сервером, зловред отправляет серверу событие VncInit, сообщая о том, что инициализация дополнительных функций выполнена. После этого он будет каждую секунду отправлять на сервер данные рендеринга экрана (например, размер дисплея). Можно предположить, что таким образом операторы получают контроль над зараженным телефоном или внедряют бэкдор.
Среди дополнительных функций особого внимания заслуживает событие bloqueoUpdate. Это одно из наиболее агрессивных и мешающих пользователю действий зловреда: он имитирует обновление Android, препятствующее использованию телефона — троянец мониторит попытки заблокировать или разблокировать устройство и пресекает их.
Фальшивое обновление препятствует использованию телефона
Согласно нашему анализу, вредоносное ПО нацелено на приложения банков и финансовых учреждений Перу. Этот факт в сочетании с данными телеметрии позволяет сделать вывод о том, что мишенью Zanubis являются пользователи из Перу. Список приложений — целей троянца насчитывает более 40 имен пакетов. Собранные на данный момент образцы Zanubis могут заразить любой телефон на базе Android, но все они предназначены в первую очередь для устройств, на которых в качестве языка системы установлен испанский.
Zanubis
В прошлом месяце мы рассказали о нескольких вредоносных кампаниях. Например, мы опубликовали закрытый отчет о новом зловреде, обнаруженном на теневых форумах, который мы называем ASMCrypt (связан с ). Однако в мире киберкриминала происходят и другие события, поэтому мы также опубликовали отчеты о новых версиях стилера Lumma и банковского троянца для Android под названием Zanubis. В статье мы приводим выдержки из этих отчетов.
Если вы хотите больше узнать о нашем сервисе информирования о ПО, используемом для совершения киберпреступлений (crimeware), напишите по адресу [email protected].
ASMCrypt
Как мы писали в , мы отслеживаем активность на различных подпольных форумах. На одном из таких форумов мы увидели объявление о новом «крипторе и загрузчике» ASMCrypt. Этот зловред используется для загрузки итоговой полезной нагрузки так, чтобы процесс загрузки или сама полезная нагрузка остались незамеченными антивирусом или EDR-решением. В этом он очень похож на DoubleFinger, который мы описывали .Анализ показал, что с высокой долей вероятности ASMCrypt — более поздняя версия DoubleFinger. Однако ASMCrypt работает немного по-другому: он выступает скорее как «фасад» для службы, которая выполняется в сети TOR.
Сначала покупатель приобретает бинарный файл ASMCrypt, который подключается к серверной службе через сеть TOR с использованием жестко закодированных учетных данных. Если подключение установлено успешно, открывается меню выбора параметров.
Покупатель может задать следующие параметры:
- метод скрытого или невидимого внедрения;
- процесс, в который будет внедрена полезная нагрузка;
- имя папки для закрепления в автозагрузке;
- тип полезной нагрузки: либо сам зловред, который маскируется под Apple Quicktime, либо легитимное приложение, которое динамически загружает вредоносный DLL-файл.
Когда вредоносная DLL-библиотека выполняется в целевой системе, она загружает PNG-файл, расшифровывает его, загружает в память и выполняет.
Lumma
Стилер Arkei, написанный на языке C++, впервые был замечен в мае 2018 года. За последние несколько лет появилось множество его вариантов: Vidar, Oski, Mars и, наконец, — Lumma (код этого стилера на 46% совпадает с Arkei). Основные функции всех вариантов оставались одинаковыми: кража кэшированных файлов, конфигурационных файлов и логов криптовалютных кошельков. Зловред может работать как плагин для браузера, но также совместим с приложением Binance.Lumma распространяется через поддельный веб-сайт для преобразования файлов .docx в .pdf, который маскируется под легитимный. Отправленный на него файл возвращается с двойным расширением pdf.exe.
Этот стилер впервые появился в поле нашего зрения в августе 2022 года, когда мы обнаружили неизвестные прежде образцы. Примерно в то же время исследователь-любитель Fumik0_ о том, что Lumma — это форк или результат рефакторинга кода Mars.
С того момента в коде Lumma произошли изменения, некоторые из которых мы рассмотрим ниже:
- Мы нашли только один образец (MD5: 6b4c224c16e852bdc7ed2001597cde9d), который мог составлять список системных процессов. Этот же образец использовал URL-адрес для обмена данными с командным сервером, отличный от адреса для предыдущих версий (/winsock вместо /socket.php).
- Мы также нашли образец (MD5: 844ab1b8a2db0242a20a6f3bbceedf6b), похожий на отладочную версию. Когда при выполнении доходит очередь до определенных фрагментов кода, на командный сервер отправляется уведомление. И снова используется другой URL-адрес (/windbg).
- В более свежем образце (MD5: a09daf5791d8fd4b5843cd38ae37cf97) атакующие изменили значение поля User-Agent на HTTP/1.1. Причина этого непонятна.
- Все ранние образцы, включая три указанных выше, загружали с командного сервера дополнительные библиотеки для 32-разрядных систем, позволяющие парсить файлы, специфичные для браузеров (пароли и т. п.). В отличие от них образец с MD5-хешем 5aac51312dfd99bf4e88be482f734c79 просто отправляет всю базу данных на командный сервер.
- Образец с MD5-хешем d1f506b59908e3389c83a3a8e8da3276 содержит алгоритм шифрования строк. Строки в нем преобразуются в шестнадцатеричный код и шифруются XOR-ключом (первые 4 байта строки).
- Одно из самых крупных изменений произошло с образцом с MD5-хешем c2a9151e0e9f4175e555cf90300b45c9. Он поддерживает динамические конфигурационные файлы, которые присылает командный сервер. Конфигурация закодирована по методу Base64, а затем к ней применена операция XOR с первыми 32 байтами конфигурационного файла.
Образец кода «отладочного» образца
Zanubis
Банковский троянец Zanubis для Android был впервые в августе 2022 года. Тогда он использовался для атаки на пользователей финансовых организаций и криптовалютных бирж в Перу. Zanubis имитирует легитимные перуанские приложения для Android и запрашивает у пользователя доступ к специальным возможностям с целью получения полного контроля над устройством.Примерно в апреле 2023 года мы обнаружили новые образцы Zanubis, которые выдают себя за Android-приложение перуанского госучреждения SUNAT (Национальное управление таможенной и налоговой администрации). Мы изучили обновившуюся функциональность троянца, ставшего за это время более продвинутым.
Для подключения к командному серверу используются протокол WebSocket и библиотека Socket.IO. С помощью последней вредоносное ПО устанавливает отказоустойчивое соединение с командным сервером, позволяющее переключаться с WebSocket на HTTP и наоборот. Также библиотека предоставляет командному серверу доступ к масштабируемой среде, где все новые устройства, зараженные Zanubis, могут при необходимости массово получать команды (также называемые событиями) от командного сервера. После запуска зловреда имплант вызывает функцию проверки подключения к C2. Он устанавливает два соединения с одним и тем же командным сервером, но эти подключения выполняют разные задачи, и второе соединение устанавливается только по запросу командного сервера.
В коде Zanubis нет жестко заданного списка приложений для атаки. В последние годы разработчики вредоносного ПО обычно динамически обновляют список целей, добавляя или удаляя названия приложений. Чтобы внести приложения в этот список, командный сервер отправляет событие config_packages. JSON-объект, рассылаемый вместе с событием, содержит массив со списком приложений, которые должен отслеживать зловред. Вредоносное ПО парсит список целей каждый раз, когда на экране происходит какое-либо событие (например, открывается приложение), которое троянец отслеживает с помощью функции onAccessibilityEvent.
Как только Zanubis обнаруживает, что на устройстве открыто приложение из списка целей, троянец крадет данные пользователя при помощи одного из двух действий в зависимости от настроек: отслеживания событий/перехвата данных, вводимых с клавиатуры, или же записи экрана.
Ранее мы упоминали о втором соединении с командным сервером, которое позволяет зловреду выполнять еще больше действий. После того как Zanubis устанавливает новое соединение с командным сервером, зловред отправляет серверу событие VncInit, сообщая о том, что инициализация дополнительных функций выполнена. После этого он будет каждую секунду отправлять на сервер данные рендеринга экрана (например, размер дисплея). Можно предположить, что таким образом операторы получают контроль над зараженным телефоном или внедряют бэкдор.
Среди дополнительных функций особого внимания заслуживает событие bloqueoUpdate. Это одно из наиболее агрессивных и мешающих пользователю действий зловреда: он имитирует обновление Android, препятствующее использованию телефона — троянец мониторит попытки заблокировать или разблокировать устройство и пресекает их.
Фальшивое обновление препятствует использованию телефона
Согласно нашему анализу, вредоносное ПО нацелено на приложения банков и финансовых учреждений Перу. Этот факт в сочетании с данными телеметрии позволяет сделать вывод о том, что мишенью Zanubis являются пользователи из Перу. Список приложений — целей троянца насчитывает более 40 имен пакетов. Собранные на данный момент образцы Zanubis могут заразить любой телефон на базе Android, но все они предназначены в первую очередь для устройств, на которых в качестве языка системы установлен испанский.
Заключение
Вредоносное ПО постоянно эволюционирует — это ясно показывает пример Lumma, разные варианты которого обладают разной функциональностью. Другой пример — Zanubis, который становится все более опасным банковским троянцем, способным красть деньги и персональные данные мобильных пользователей. Постоянные изменения во вредоносном коде и смена тактик, техник и процедур (TTP) злоумышленников затрудняют работу специалистов по кибербезопасности. Организация сможет защититься от новых угроз, если будет узнавать о них сразу после возникновения. Отчеты об угрозах помогают быть в курсе новых вредоносных инструментов и TTP преступников. Если вы хотите получить свежую информацию о новейших тактиках, техниках и процедурах злоумышленников или задать вопрос о наших приватных отчетах, напишите по адресу [email protected].Индикаторы компрометации (хеши MD5)
LummaZanubis
