Вредоносное ПО для кражи биткоинов распространялось через Download.com

Если вы спросите ИТ-специалиста о базовых мерах безопасности в интернете, он, вероятно, посоветует загружать софт только с легитимных площадок. Жаль, что это не панацея. Мы обнаружили три троянизированных приложения, размещенных на download.cnet.com — одном из наиболее популярных сайтов в мире (163 в рейтинге Alexa).

moyy8pw_db-b6w_qcg5mkhjkid4.jpeg

Одной из жертв малвари стал Crawsh, пользователь сабреддита /r/monero, но в его случае история закончилась хорошо.

c0iswd1kspu1ibc2t_ku4qwepja.png

Crawsh заподозрил неладное, когда пытался скопировать и вставить адрес своего кошелька Monero, чтобы перевести туда средства, и неожиданно увидел сообщение, что адрес недействителен. Он решил разобраться, что могло стать причиной ошибки, и выяснил, что проблема во вредоносном ПО. Малварь перехватывала в буфере обмена адрес кошелька пользователя и заменяла собственным — жестко закодированным адресом биткоин-кошелька.

К счастью для Crawsh, адрес атакующих был предназначен для транзакций биткоинов. Целевое приложение отклонило Monero до того, как пользователь перевел средства. В отличие от других жертв, работавших с биткоинами, — их переводы были выполнены без сбоев. На сегодняшний день злоумышленники собрали 8,8 ВТС — около 4 млн рублей (по курсу на 15 марта).

«Почти пострадавший» Crawsh написал об инциденте в сабреддит /r/Monero. Пост заметили в ESET и провели расследование, чтобы выяснить обстоятельства заражения и помочь потенциальным жертвам.

Проверив в Google биткоин-адрес атакующих, мы нашли несколько жертв. В частности, кто-то написал пост о взломе сайта (не связанного с данным вредоносным ПО). Но в тексте оригинальный адрес биткоин-кошелька был заменен уже знакомым адресом похитителей биткоинов (см. рисунок ниже). Не исключено, что автор поста столкнулся с той же вредоносной программой, что и Crawsh.

5wbtww3odusnyy2f9sojtwhb8a0.png
zvrlgr8vwfzaa9uh6e1hrwg010w.png

Распространение


Мы выяснили, что компьютер пользователя Crawsh был заражен троянизированным приложением Win32 Disk Imager, загруженным с сайта download.com, где оно размещалось с 2 мая 2016 года.

Антивирусные продукты ESET детектируют это приложение как MSIL/TrojanDropper.Agent.DQJ. Программа была загружена с CNET 311 раз только на прошлой неделе и больше 4500 раз в общей сложности.

ttvglso36unndfl0grciee5-n-s.png

Позже мы установили, что Win32 Disk Imager — не единственное троянизированное приложение на download.com. Обнаружено не меньше двух программ тех же авторов. Первое — CodeBlocks, оно содержит такую же полезную нагрузку (MSIL/CLipBanker.DF) и уже заблокировано CNET. CodeBlocks — популярная кроссплатформенная среда разработки (IDE — Integrated Development Environment) на базе открытого исходного кода, ее используют многие C/C++ разработчики.

xpldz234hooyeiwysve8xkidnfg.png

Второе троянизированное приложение — MinGW-w64, доступное для загрузки на момент начала исследования. Ее полезная нагрузка включает вредоносное ПО для кражи биткоинов и вирус. MinGW — компилятор, программный порт GNU Compiler Collection для Microsoft Windows.

ns2-isihvujqn6lzgwf9gr7wnz4.png

Ниже представлена статистика загрузок этих приложений (информация с сайта download.com). Обратите внимание, что число недавних загрузок CodeBlocks равно нулю, поскольку программа была удалена CNET. Не знаем точную дату удаления, но, по данным нашей телеметрии, это могло произойти в марте 2017.

qqe-samqa_ayh99d37s1vcxbbmu.png

После предупреждения ESET, CNET оперативно удалили вредоносные приложения.

Анализ


Троянизированный дроппер (MSIL/TrojanDropper.Agent.DQJ)

На первом этапе простой дроппер извлекает легитимный установщик приложения (Win32DiskImager, CodeBlocks, MinGw) и полезную нагрузку из ресурсов, сохраняет оба файла в папку %temp% и выполняет их.

puoqra3ipwvn40exyw_juffmkgk.png

Вредоносное ПО, подменяющее адреса кошельков в буфере обмена

1. MSIL/ClipBanker.DF

Полезная нагрузка малвари напоминает дроппер с точки зрения простоты. Программа копирует себя в путь %appdata%\Dibifu_8\go.exe и добавляет в реестр ключ автозапуска для обеспечения персистентности.

Замена адреса биткоин-кошелька осуществляется с помощью простого кода, который можно видеть на рисунке ниже. Код ищет биткоин-адрес с использованием регулярного выражения и заменяет его адресом жестко закодированного кошелька злоумышленников: 1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj.

gj76wqhyi5mscbcpgh6bfvs9vd8.png

Атакующие не прилагали особых усилий для сокрытия активности, поскольку даже путь отладочного символа дроппера и ClipBanker демонстрируют их намерения. Мы считаем, что SF to CNET (см. ниже) означает SourceForce to CNET, поскольку все три приложения имеют чистые экземпляры в хранилище исходного кода.

C:\Users\Ngcuka\Documents\V\SF to CNET\Btc Clipboard Rig\WindowsFormsApplication1\obj\x86\Release\WindowsFormsApplication1.pdb

fskktyi7-qo1446iuveegichzku.png

Есть несколько дополнительных индикаторов заражения, которые могут проверить жертвы. В частности, полезная нагрузка и троянизированный пакет сбрасываются в %temp% под именами y3_temp008.exe и Win32DiskImage_0_9_5_install.exe соответственно и выполняются.

2. Win32/ClipBanker.DY

Полезную нагрузку малвари сбрасывает троянизированное приложение MinGW-w64. Это немного более сложный вариант, использующий аналогичное регулярное выражение для поиска кошелька:

q4yu-iwm4oxjkz8mlkfo2fux6ou.png

Кроме того, он содержит дополнительные вредоносные компоненты, зашифрованные в ресурсах, и около 3500 адресов биткоин-кошельков (см. на рисунке).

azn7t5vkldohjqb7scy51vyjt7m.png

Дополнительная полезная нагрузка, доставляемая вместе с вредоносным ПО для кражи биткоинов, также имеет пути PDB. Один из них C:\Users\Ngcuka\Documents\V\Flash Spreader\obj\x86\Release\MainV.pdb.

Имя пользователя идентично имени, найденному в пути PDB первой малвари. Таким образом, мы уверены, что эти вредоносные программы разработаны одним и тем же автором.

Как очистить зараженную систему


 — Удалите следующие загруженные установщики: win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDD02D4617566); codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB); mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) из папки загрузки
 — Удалите исполняемый файл в папке %appdata%\dibifu_8\ (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)
 — Удалите файл y3_temp008.exe из папки %temp%\ (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3; C758F832935A30A865274AA683957B8CBC65DFDE)
 — Удалите параметр реестра ScdBcd из HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

В ходе исследования мы сообщили CNET о проблеме, и они оперативно удалили троянизированные приложения с сайта, предотвратив дальнейшее распространение малвари.

Если вы подозреваете, что ваш компьютер был заражен, установите современное антивирусное решение, которое удаляет файлы автоматически. Наиболее эффективная мера защиты от подмены содержимого буфера обмена — двойная проверка адресов при совершении транзакций.

Индикаторы компрометации


Троянизированные приложения:

win32diskimager.exe 0B1F49656DC5E4097441B04731DDDD02D4617566 MSIL/TrojanDropper.Agent.DQJ trojan
codeblocks.exe 7242AE29D2B5678C1429F57176DDEBA2679EF6EB MSIL/ClipBanker.EY trojan
mingw-w64-install.exe 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918 MSIL/TrojanDropper.Agent.DQJ trojan

ClipBankers:

mingw-w64 payload #1 BE33BDFD9151D0BC897EE0739F1137A32E4437D9 Win32/ClipBanker.DY trojan
mingw-w64 payload #1 2EABFFA385080A231156420F9F663DC237A9843B Win32/ClipBanker.DY trojan
mingw-w64 payload #1 7B1E9A6E8AF6D24D13F6C561399584BFBAF6A2B5 Win32/ClipBanker.DY trojan
codeblocks.exe payload E65AE5D0CE1F675962031F16A978F582CC67D3D5 MSIL/ClipBanker.AB trojan
win32diskimager.exe payload E0BB415E858C379A859B8454BC9BA2370E239266 MSIL/ClipBanker.DF trojan

Адреса URL:

MinGW-w64: download.cnet.com/MinGW-w64/3000–2069_4–77411782.html
Win32 Disk imager: download.cnet.com/Win32-Disk-Imager/3000–2242_4–76554991.html
CodeBlocks: download.cnet.com/Code-Blocks/3000–2212_4–10516243.html

© Habrahabr.ru