Nos últimos anos, os trojans móveis substituíram ativamente os trojans dos computadores pessoais, de modo que o surgimento de novos malwares sob os bons e velhos carros e seu uso ativo pelos cibercriminosos, apesar de desagradável, mas ainda um evento. Recentemente, o centro de resposta 24 horas por dia do CERT Group-IB para incidentes de segurança da informação registrou uma lista de phishing incomum, que ocultava um novo malware para o PC, combinando as funções do Keylogger e do PasswordStealer. A atenção dos analistas foi atraída pela maneira como o spyware chegou à máquina do usuário - usando o popular mensageiro de voz.
Ilya Pomerantsev , especialista em análise de malware do CERT Group-IB, contou como o malware funciona, por que é perigoso e até encontrou seu criador - no distante Iraque.
Então, vamos em ordem. Sob o disfarce de um anexo, essa carta continha uma figura; quando clicada, o usuário
acessava o cdn.discordapp.com e um arquivo malicioso era baixado de lá.
O uso do Discord, um mensageiro de voz e texto gratuito, é bastante incomum. Normalmente, outros mensageiros ou redes sociais são usados para esses fins.
Em uma análise mais detalhada, a família HPE foi estabelecida. Acabou sendo um recém-chegado ao mercado de malware -
404 Keylogger .
O primeiro anúncio de venda de keylogger foi publicado no
fórum por um usuário com o apelido "404 Coder" em 8 de agosto.
O domínio da loja foi registrado recentemente - 7 de setembro de 2019.
Como
garantem os desenvolvedores do site
404 [.] Xyz ,
404 , esta é uma ferramenta criada para ajudar as empresas a aprender sobre as ações de seus clientes (com sua permissão) ou é necessária para quem deseja proteger seu arquivo binário da engenharia reversa. Olhando para o futuro, digamos que o
404 simplesmente não consegue lidar com a última tarefa.
Decidimos redirecionar um dos arquivos e verificar o que é "BEST SMART KEYLOGGER".
Ecossistema HPE
Carregador de inicialização 1 (AtillaCrypter)
O arquivo de origem é protegido pelo
EaxObfuscator e executa um download em duas etapas do
AtProtect na seção de recursos. Na análise de outras amostras encontradas no VirusTotal, ficou claro que esse estágio não foi fornecido pelo próprio desenvolvedor, mas foi adicionado pelo seu cliente. Foi estabelecido ainda que este gerenciador de inicialização é o AtillaCrypter.
Carregador de inicialização 2 (AtProtect)
De fato, esse carregador de inicialização é parte integrante do malware e, de acordo com o desenvolvedor, deve assumir a funcionalidade para combater a análise.
No entanto, na prática, os mecanismos de proteção são extremamente primitivos e nossos sistemas detectam esse malware com êxito.
O carregamento do módulo principal é realizado usando várias versões do
Franchy ShellCode . No entanto, não excluímos que outras opções possam ser usadas, por exemplo,
RunPE .
Arquivo de configuração
Pino do sistema
A fixação ao sistema é fornecida pelo carregador
AtProtect , se o sinalizador correspondente estiver definido.
- O arquivo é copiado no caminho % AppData% \\ GFqaak \\ Zpzwm.exe .
- O arquivo % AppData% \\ GFqaak \\ WinDriv.url é criado , iniciando o Zpzwm.exe .
- Na ramificação HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run , uma chave para iniciar o WinDriv.url é criada .
Interação com C&C
AtProtect Loader
Com o sinalizador apropriado, o malware pode iniciar o processo
iexplorer oculto e seguir o link especificado para notificar o servidor sobre uma infecção bem-sucedida.
DataStealer
Independentemente do método usado, a interação na rede começa com a obtenção do IP externo da vítima usando o
[http]: // checkip [.] Dyndns [.] Org / recurso.
Agente do Usuário: Mozilla / 4.0 (compatível; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
A estrutura geral da mensagem é a mesma. Cabeçalho atual
| ------- 404 Keylogger - {Tipo} ------- | , onde
{type} corresponde ao tipo de informação transmitida.
A seguir estão as informações do sistema:
_______ + INFORMAÇÕES VÍTIMAS + _______
IP: {IP externo}
Nome do Proprietário: {Nome do Computador}
Nome do SO: {Nome do SO}
Versão do SO: {Versão do SO}
SO PlatForm: {Platform}
Tamanho da RAM: {Tamanho da RAM}
______________________________
E, finalmente, os dados transmitidos.
SMTP
O assunto da carta é o seguinte:
404 K | {Tipo de mensagem} | Nome do cliente: {Nome de usuário} .
Curiosamente, o servidor SMTP dos desenvolvedores é usado para entregar cartas ao cliente
404 Keylogger .
Isso nos permitiu identificar alguns clientes, bem como o correio de um dos desenvolvedores.
FTP
Ao usar esse método, as informações coletadas são armazenadas em um arquivo e lidas imediatamente.
A lógica desta ação não é totalmente clara, mas cria um artefato adicional para escrever regras comportamentais.
% HOMEDRIVE %% HOMEPATH% \\ Documents \\ A {Número Arbitrário} .txtPastebin
No momento da análise, esse método é usado apenas para transferir senhas roubadas. Além disso, é usado não como uma alternativa aos dois primeiros, mas em paralelo. A condição é um valor constante igual a "Vavaa". Este é supostamente o nome do cliente.
A interação ocorre através do protocolo https através da API
pastebin . O valor
api_paste_private é
PASTE_UNLISTED , que proíbe a pesquisa por essas páginas no
pastebin .
Algoritmos de criptografia
Extrair arquivo de recursos
A carga útil é armazenada nos recursos do carregador
AtProtect na forma de imagens Bitmap. A extração é realizada em várias etapas:
- Uma matriz de bytes é extraída da imagem. Cada pixel é tratado como uma sequência de 3 bytes na ordem BGR. Após a extração, os primeiros 4 bytes da matriz armazenam o comprimento da mensagem, o próximo - a própria mensagem.
- A chave é calculada. Para fazer isso, o MD5 é calculado a partir do valor "ZpzwmjMJyfTNiRalKVrcSkxCN" especificado como uma senha. O hash resultante é gravado duas vezes.
- A descriptografia é realizada pelo algoritmo AES no modo ECB.
Funcionalidade maliciosa
Downloader
Implementado no
carregador de inicialização
AtProtect .
- Ao entrar em contato com [activelink-repalce], é solicitado que o status do servidor esteja pronto para fornecer o arquivo. O servidor deve retornar "ON" .
- Use o link [downloadlink-replace] para baixar a carga útil.
- O FranchyShellcode injeta a carga no processo [inj-replace] .
Uma análise do domínio
404projects [.] Xyz no VirusTotal revelou instâncias adicionais do
404 Keylogger , além de vários tipos de downloaders.
Convencionalmente, eles são divididos em dois tipos:
- O download é realizado a partir do recurso 404projects [.] Xyz .
Os dados são codificados em Base64 e AES.
- Esta opção consiste em vários estágios e é provavelmente usada em conjunto com o carregador AtProtect .
- No primeiro estágio, os dados são baixados do pastebin e decodificados usando a função HexToByte .
- No segundo estágio, o 404projects [.] Xyz em si serve como fonte de carregamento. As funções de descompactação e decodificação são semelhantes às encontradas no DataStealer. Provavelmente foi originalmente planejado para implementar a funcionalidade do carregador de inicialização no módulo principal.
- Nesse estágio, a carga útil já está no manifesto do recurso em um formato compactado. Funções de extração semelhantes também foram encontradas no módulo principal.
Entre os arquivos analisados foram encontrados carregadores
njRat ,
SpyGate e outros RAT.
Keylogger
Período de envio do log: 30 minutos.
Todos os caracteres são suportados. Caracteres especiais são escapados. Há um processamento das chaves BackSpace e Delete. Diferencia maiúsculas de minúsculas.
Clipboardlogger
Período de envio do log: 30 minutos.
Período de polling do buffer: 0,1 segundos.
Links de escape implementados.
Screenlogger
Período de envio do log: 60 minutos.
As
capturas de tela são salvas em
% HOMEDRIVE %% HOMEPATH% \\ Documents \\ 404k \\ 404pic.png .
Após o envio, a pasta
404k é excluída.
PasswordStealer
Anulação da análise dinâmica
- Verificando o processo em análise
É realizado pesquisando processos taskmgr , ProcessHacker , procexp64 , procexp , procmon . Se pelo menos um for encontrado, o malware será encerrado. - Verifique se você está em um ambiente virtual
É realizada pesquisando os processos vmtoolsd , VGAuthService , vmacthlp , VBoxService , VBoxTray . Se pelo menos um for encontrado, o malware será encerrado. - Adormecer por 5 segundos
- Demonstração de vários tipos de caixas de diálogo
Pode ser usado para ignorar algumas caixas de areia. - Bypass do UAC
Isso é feito editando a chave de registro EnableLUA nas configurações de Diretiva de Grupo. - Aplicando o atributo Secreto ao arquivo atual.
- Capacidade de excluir o arquivo atual.
Recursos inativos
Durante a análise do gerenciador de inicialização e do módulo principal, foram encontradas as funções responsáveis pela funcionalidade adicional, mas elas não são usadas em nenhum lugar. Provavelmente, isso se deve ao fato de o malware ainda estar em desenvolvimento e em breve a funcionalidade será expandida.
AtProtect Loader
Foi encontrada uma função responsável por carregar e injetar um módulo arbitrário no processo
msiexec.exe .
DataStealer
- Pino do sistema
- Funções de descompressão e descriptografia
Provavelmente, a criptografia de dados durante a interação da rede será implementada em breve.
- Terminando processos antivírus
- Auto destruição
- Carregando dados do manifesto de recurso especificado
- Copiando o arquivo no caminho % Temp% \\ tmpG \\ [Data e hora atuais em milissegundos] .tmp
Curiosamente, uma função idêntica está presente no malware AgentTesla.
- Funcionalidade Worm
O malware recebe uma lista de mídias removíveis. Uma cópia do malware é criada na raiz do sistema de arquivos de mídia com o nome Sys.exe . A inicialização automática é implementada usando o arquivo autorun.inf .
Perfil do intruso
Durante a análise do centro de comando, foi possível estabelecer o e-mail e o apelido do desenvolvedor - Razer, também conhecido como Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Em seguida, foi encontrado um curioso vídeo no YouTube, que demonstra o trabalho com o construtor.
Isso nos permitiu encontrar o canal do desenvolvedor original.
Ficou claro que ele tinha experiência em escrever criptografadores. Há também links para páginas nas redes sociais, bem como o nome real do autor. Acabou sendo um residente do Iraque.
É assim que o desenvolvedor do 404 Keylogger supostamente se parece. Fotos de seu perfil pessoal no Facebook.
O CERT Group-IB anunciou uma nova ameaça - 404 Keylogger, um centro de resposta e monitoramento de ameaças cibernéticas (SOC) no Bahrein, aberto 24 horas.