Избирательный стилер: SapphireStealer маскировался под листовку ЦИК о выборах президента28.03.2024 11:15

5718576a49914474d3c73ac14211859c.png

Специалисты Threat Intelligence компании F.A. C.C.T. обнаружили pdf-файл с политинформацией о прошедших президентских выборах с модифицированным стилером SapphireStealer. Эту вредоносную программу, способную перехватывать учетные данные из браузеров и из мессенджера Telegram, злоумышленники распространяли с поддельного ресурса, мимикрирующего под домен Правительства РФ. 

Учитывая, что это первый случай, когда киберпреступники во время выборов распространяли ВПО, замаскированное под официальные документы Центральной избирательной комиссии, не исключено, что подобный вектор атаки они могут использовать и во время следующих выборов —  Единый день голосования назначен на 8 сентября 2024 года. 

Что за SapphireStealer

История SapphireStealer  началась немного раньше выборной кампании. В начале марта 2024 года  было опубликовано исследование об этом ВПО, нацеленном на россиян.  Злоумышленники распространяли стилер через домен, мимикрирующий под домен правительства России.

Специалисты F.A. C.C.T. обнаружили, что, предположительно, в марте 2022 исходный код этого стилера был выложен в Telegram-канале, а также опубликован на форуме zelenka.guru пользователем под псевдонимом barion89.

Скриншот публикации на форуме zelenka.guru

Скриншот публикации на форуме zelenka.guru

SapphireStealer — это стилер, написанный на C#. Он собирает информацию о хосте, данные из браузеров (Chrome, Opera, Brave, Microsoft Edge и так далее), файлы. Также он способен делать снимки экрана (*но не в данном случае) и отправлять украденные данные в виде ZIP-архивов в email письмах. Но так как он был опубликован в публичном доступе, то функциональность экземпляров SapphireStealer может варьироваться. В нашем случае, передача информации осуществляется через Телеграм-бот, а также сервер, IP-адрес которого будет получен через Телеграм-канал.

SapphireStealer идет на выборы

Специалисты Threat Intelligence F.A. C.C.T. обнаружили, что вредоносная активность, упомянутая Cyble, также использовала тематику выборов в России. С того же домена, указанного в оригинальной статье (домен govermentu[.]ru, зарегистрированный 29.01.2024), по следующей ссылке был скачан файл »О предоставлении информации о предстоящих выборах.exe»:

hxxps://t[.]ly/G8hGq → hxxps://govermentu[.]ru/media/3/O_predostavlenii_informatsii_o_predst_yashchikh_vyborakh.exe

Данный файл был загружен на VirusTotal 15 Марта 2024 года. 

Первая стадия выполнения файла является вариантом стилера SapphireStealer, который был описан в статье Cyble. Интересно, что данный стилер содержит еще один исполняемый файл (пейлоад), который стилер ставит в автозагрузку через планировщик задач Windows. Пейлоад представляет собой загрузчик, который время от времени обращается к серверу. Адрес сервера загрузчик получает при обращении к Телеграм-каналу. Загрузчик парсит код веб-страницы, достает оттуда строку закодированную Base64, декодирует её и получает адрес сервера, в нашем случае это 193.39.185[.]4.

Далее загрузчик получает внешний IP-адрес жертвы, обращаясь к сервису checkip.dyndns[.]org, а также формирует уникальный идентификатор: на основе значений processorID (процессор) и SerialNumber (системная плата). Загрузчик формирует запросы к серверу вида: hxxp://193.39.185[.]4/download? ip=[внешний IP-адрес жертвы]&uId=[уникальный идентификатор жертвы]. Семпл может получить ответ от сервера, записать его в файл во временном каталоге и далее запустить.

Для отвлечения внимания жертвы, после запуска стилера на устройстве жертвы открывается документ-приманка с именем «О предоставлении информации о предстоящих выборах.pdf»:

Содержимое документа-приманки

Содержимое документа-приманки

Содержимое документа-приманки

Содержимое документа-приманки

Содержимое документа-приманки

Содержимое документа-приманки

Согласно мета-информации документа он был создал 13 марта 2024, накануне выборов.

Отметим, что помимо доменного имени govermentu[.]ru, в тот же день и вероятно тем же злоумышленником был создан домен supgov[.]ru, но на момент исследования эксперты не обнаружили связанной с ним вредоносной активности.

Индикаторы компрометации

SapphireStealer
О предоставлении информации о предстоящих выборах.exe
MD5: 67201e170f705ad22ebc216fe5a9c397
SHA-1: 3dd56230112775bd89526d6eecdeca74c10f77fb
SHA-256: 5c01531a6b7f25b92e9a2d0d67fe7057813140d2c60dc0bb356b190aa91a5857

Downloader
MicrosoftEdgeUpdate.exe
MD5: a098dc2904a1810e6da68d91de26a61e
SHA-1: a3299b610db24fcbd1cf29ade00d45a5a02b7b82
SHA-256: d45a44a7ddd662a65eb623df1cb742ee38922f8f4e6ed2319f94cc62290798c7

Легитимный PDF-документ
О предоставлении информации о предстоящих выборах.pdf (Выборы.pdf)
MD5: 7a283eaae42e28e03488206194fb17eb
SHA-1: 7b642b237f92fae45eaf6fa311c7f93c8ba27f9c
SHA-256: cd1f33f5ea2c4d3bc6cb4c2532df1c8373a350f70af9364f0cde1934e703ed75

Пути к файлам:
%TEMP%\О предоставлении информации о предстоящих выборах.pdf
%APPDATA%\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe

Задача в планировщике задач:
Задача с именем «MicrosoftEdgeUpdateTaskMachineCore{EC48D71D-B5F9–4823-A499–6D4D49E8FA8F}» выполняет команду »%APPDATA%\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe», которая будет выполняться каждый час.

URLs:
hxxps://govermentu[.]ru/media/3/O_predostavlenii_informatsii_o_predst_yashchikh_vyborakh.exe
hxxps://t[.]me/s/ASFGS43TQFGHTRHGFD24
hxxp://193.39.185[.]4/download? ip=[внешний IP-адрес жертвы]&uId=[уникальный идентификатор жертвы]

Домены:
govermentu[.]ru
supgov[.]ru

IP-адрес:
193.39.185[.]4

© Habrahabr.ru