-
Shade: не шифрованием единым
Злоумышленники продолжают расширять возможности зловредов, стремясь извлечь максимальную выгоду от компрометации заражённых компьютеров. Интересный пример подобной «модернизации» мы обнаружили недавно: в новой версии широко распространённого на территории России и СНГ шифровальщика Shade появилась новая логика, в соответствии с которой зловред проверяет компьютер на причастность к бухгалтерии и в случае успеха устанавливает в скомпрометированную систему инструменты удалённого управления вместо стандартного шифрования файлов.
В качестве первичной проверки зараженной машины обновленный троянец (вердикт Trojan-Ransom.Win32.Shade.yb) перебирает список установленных в системе приложений и ищет строки, связанные с банковским ПО. Затем зловред ищет подстроки «BUH», «BUGAL», «БУХ», «БУГАЛ» в имени компьютера и пользователя. Если совпадение было найдено, троянец пропускает обычную процедуру поиска и шифрования файлов. Вместо этого он скачивает и запускает файл по заданной в конфигурации ссылке, а сам завершает исполнение.
Технически новые возможности выглядят так: в теле зловреда есть новый (по сравнению с предыдущими версиями Shade) блок данных, закодированных в base64:
После раскодирования видим конфигурационный блок:
Сразу после старта Shade начинает проверку зараженной системы в соответствии с этим конфигурационным блоком.
Троянец Shade.yb скачивает на компьютер пользователя бот Teamspy, который для коммуникации со своим командным сервером использует легальную утилиту удалённого управления TeamViewer 6, на лету модифицируя ее для незаметной работы. Вместе с ботом распространяются плагины (в нашем случае это installvpn.pg, rdw.pg, scankey.pg), которые хранятся на диске в зашифрованном виде и расшифровываются зловредом только в оперативной памяти. Расшифрованный плагин представляет собой DLL с экспортом InitPg, который и вызывается основным модулем бота. Отдельно отметим два плагина, выполнение которых предоставляет злоумышленникам возможность осуществить удаленный доступ к зараженной машине по протоколу Remote Desktop Protocol (RDP):
- installvpn.pg: в скрытном режиме устанавливает драйвер TeamViewer VPN.
- rdw.pg: в скрытном режиме устанавливает приложение «RDP Wrapper Library» и меняет настройки системы таким образом, чтобы разрешить соединение по протоколу RDP.
Автоматического соединения с VPN зловред не производит: возможно, эта возможность оставлена злоумышленниками для каких-то особых случаев.
Читать дальше: https://securelist.ru/blog/issledova...ryption-alone/
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ответить с цитированием
