Security Week 2442: криптомайнеры в результатах поиска
На прошлой неделе эксперты «Лаборатории Касперского» опубликовали подробный разбор вредоносной кампании, направленной в основном на русскоязычных пользователей. Ссылки на вредоносные программы продвигаются в результатах поиска, результатом установки такого ПО является полный перехват контроля над системой злоумышленниками. Хотя подобные атаки никак нельзя назвать новыми, данная кампания представляет интерес как локализацией (большинство потенциальных жертв находятся в России), так и нестандартными методиками закрепления в системе.
Атака начинается с клика по ссылке в результатах поиска. Как видно на примере выше, вредоносный сайт зачастую оказывается достаточно высоко в результатах поиска в «Яндексе». Среди популярного софта, эксплуатируемого злоумышленниками, авторы исследования называют uTorrent, Microsoft Excel и Word, Minecraft, Discord. Веб-страница, как правило, имитирует либо официальный сайт разработчика программного обеспечения, либо популярные площадки для распространения пиратского ПО.
Результатами поиска организаторы атаки не ограничиваются. Софт также распространяется в ряде Telegram-каналов. В YouTube идентичное вредоносное программное обеспечение распространяется в виде ссылок под англоязычными видеороликами. Для этого канала распространения используются, скорее всего, взломанные учетные записи на видеохостинге. Так или иначе потенциальная жертва загружает архив в формате ZIP, внутри которого имеется инсталлятор .MSI и текстовый файл с паролем.
Исполняемый файл запрашивает пароль при запуске и без него не работает — это одна из мер против автоматического исследования файла защитными решениями. После ввода правильного пароля управление в итоге передается BAT-файлу, который распаковывает вредоносный код для следующего этапа атаки из зашифрованного архива. Помимо этого, еще один батник прописывается в автозапуск с привилегиями системы, а также инициируется перезагрузка.
Следующий этап атаки реализован достаточно необычно. Для запуска вредоносного A3X-скрипта используется легитимный интерпретатор AutoIT. Кроме него в зашифрованном архиве находится легитимная динамическая библиотека с валидной цифровой подписью. Скрипт для AutoIt в формате A3X внедрен в цифровую подпись этой библиотеки:
Такой подход интересен тем, что он, во-первых, не вредит легитимности цифровой подписи. Во-вторых, он не мешает запуску скрипта, так как AutoIt ищет особую сигнатуру, и игнорирует прочее содержимое библиотеки:
Вредоносный имплант проводит поиск процессов, указывающих на наличие отладочного или защитного ПО, и пытается их завершить. Далее устанавливается набор файлов финальной «полезной нагрузки». С помощью системы Windows Management Instrumentation обеспечивается регулярный запуск элементов вредоносного кода. Раз в три минуты выполняется утилита netcat, вывод которой передается на командный сервер злоумышленников. Каждые 5, 10 и 15 минут запускаются следующие элементы атаки, с дублированием выполнения ряда компонентов для надежности. Помимо WMI закрепление также происходит через ключи реестра и с помощью других методов.
Вторая необычная особенность данной атаки — использование опенсорсной SIEM-системы Wazuh для удаленного контроля над системой и сбора телеметрии. Через этот легитимный инструмент злоумышленники могут выполнять на компьютере жертвы произвольные команды. Помимо этого канала коммуникации, скрипт A3X также передает информацию организаторам через Telegram-канал. Конечной целью организаторов атаки является установка майнера криптовалют Monero и Zephyr.
Исследователи «Лаборатории Касперского» отмечают достаточно высокую сложность этой массовой атаки с применением нестандартных инструментов и методов. Хотя основной целью является майнинг криптовалют, вредоносная кампания направлена и на кражу криптовалюты у пользователей путем подмена адресов в буфере обмена. Конечно, это не исключает и иные вредоносные действия. По данным «Лаборатории Касперского», абсолютное большинство атак (88%) приходится на пользователей из России.
Что еще произошло
Еще один отчет экспертов «Лаборатории Касперского» разбирает сложную APT-атаку на организации в России.
На прошлой неделе стало известно о взломе архива веб-страниц Wayback Machine. Ресурс также подвергся DDoS-атаке и «дефейсу» — посетителям сайта какое-то время выводилось следующее сообщение:
Ресурс на несколько дней прекратил работу. Наиболее неприятным следствием этой комбинированной атаки стала утечка базы данных зарегистрированных пользователей — всего 31 миллион записей с адресами почты и зашифрованными паролями. Утечка базы пользователей произошла за несколько дней до DDoS-атаки, данные актуальны на 28 сентября этого года.
9 сентября выпущен срочный апдейт браузера Mozilla Firefox, закрывающий эксплуатируемую уязвимость типа use-after-free в компоненте Web Animations.
Выпущен очередной набор патчей для продуктов Microsoft. Наиболее серьезная уязвимость (CVE-2024–43572, 7,8 балла по шкале CVSS v3), закрытая данным патчем, относится к модулю Microsoft Management Console. Уязвимость активно эксплуатировалась на момент обнаружения и может приводить к выполнению произвольного кода при открытии файлов Microsoft Saved Console. На прошлой неделе также была исправлена неприятная ошибка в Microsoft Word 365, которая приводила к удалению документов вместо их сохранения.
Компания ESET сообщает об атаках на изолированные от сети системы (air-gapped). Вредоносная активность связывается с группировкой GoldenJackal, о которой в прошлом году сообщали исследователи «Лаборатории Касперского».
Компания Qualcomm сообщает о закрытии 20 уязвимостей в своих решениях, используемых в популярных Android-смартфонах. Наиболее серьезная проблема (CVE-2024–43047) найдена в подсистеме обработки звука, и, вероятно, она использовалась в таргетированных атаках на момент обнаружения.
Браузер Google Chrome начал предупреждать пользователей популярного блокировщика рекламы uBlock Origin о скором прекращении его работы. В ближайшем будущем расширения, использующие протокол Manifest V2, будут заблокированы в этом браузере. Пользователям рекомендуют переходить на расширения, использующие Manifest V3, который несколько ограничивает возможности расширений, включая блокировщики рекламных баннеров.
В брандмауэрах компании Palo Alto Networks обнаружены сразу несколько критических уязвимостей, в том числе одна с рейтингом 9,9 балла по шкале CVSS. Успешный взлом сетевого устройства может открыть злоумышленникам полный доступ к нему, включая данные пользователей с паролями открытым текстом.
Компания OpenAI опубликовала отчет об использовании ИИ-сервисов во вредоносных целях. Краткое содержание отчета: да, активно используют, причем на всех этапах кибератак, от написания кода до генерации текстов. Кроме того, отмечаются случаи распространения вредоносных программ под видом «клиента для ChatGPT» и атаки на сотрудников OpenAI.