03 июнь 2019

GandCrab Ransomware и вирус Ursnif распространяются через макросы MS Word

Исследователи в области безопасности обнаружили две отдельные вредоносные кампании, одна из которых распространяет трояна Ursnif по краже данных и вымогателей GandCrab в дикой природе, тогда как вторая заражает жертв вредоносным ПО Ursnif.



Хотя обе вредоносные кампании, по-видимому, являются работой двух отдельных групп киберпреступников, мы обнаруживаем в них много общего. Обе атаки начинаются с фишинговых писем, содержащих прикрепленный документ Microsoft Word, в который встроены вредоносные макросы, и затем используют Powershell для доставки вредоносных программ без файлов.

Ursnif - это вредоносное ПО для кражи данных, которое, как правило, крадет конфиденциальную информацию с скомпрометированных компьютеров с возможностью сбора банковских учетных данных, операций просмотра, сбора нажатий клавиш, информации о системе и процессах и развертывания дополнительных бэкдоров.

Обнаруженный ранее в прошлом году, GandCrab представляет собой широко распространенную угрозу вымогателей, которая, как и любая другая программа-вымогатель на рынке, шифрует файлы в зараженной системе и настаивает на том, чтобы жертвы платили выкуп в цифровой валюте, чтобы разблокировать их. Его разработчики запрашивают платежи в основном в DASH, который более сложно отслеживать.

MS Docs + VBS макросы = инфекция Ursnif и GandCrab

Первая вредоносная кампания, распространяющая две вредоносные угрозы, была обнаружена исследователями безопасности из Carbon Black, которые обнаружили в дикой природе примерно 180 вариантов документов MS Word, предназначенных для пользователей с вредоносными макросами VBS.

В случае успешного выполнения вредоносный макрос VBS запускает скрипт PowerShell, который затем использует серию методов для загрузки и выполнения Ursnif и GandCrab в целевых системах.

microsoft office docs macros malware ransomware
Сценарий PowerShell закодирован в base64, который выполняет следующий этап заражения, который отвечает за загрузку основных вредоносных программ для взлома системы.

Первая полезная нагрузка представляет собой однострочную оболочку PowerShell, которая оценивает архитектуру целевой системы и затем соответственно загружает дополнительную полезную нагрузку с веб-сайта Pastebin, который выполняется в памяти, что затрудняет традиционным антивирусным методам обнаружение ее действий.

    «Этот скрипт PowerShell является версией модуля Empire Invoke-PSInject с очень небольшим количеством модификаций», - говорят исследователи из Carbon Black. «Сценарий возьмет встроенный файл PE [Portable Executable], который был закодирован в base64, и вставит его в текущий процесс PowerShell».


Окончательная полезная нагрузка затем устанавливает вариант вымогателя GandCrab в систему жертвы, блокируя их из их системы, пока они не заплатят выкуп в цифровой валюте.

В то же время вредоносная программа также загружает исполняемый файл Ursnif с удаленного сервера и после запуска проверяет систему, отслеживает трафик веб-браузера для сбора данных, а затем отправляет его на сервер управления и контроля (C & C) злоумышленников.

    «Тем не менее, многочисленные варианты Ursnif были размещены на сайте bevendbrec [.] Com во время этой кампании. Carbon Black удалось обнаружить около 120 различных вариантов Ursnif, которые размещались на доменах iscondisth [.] Com и bevendbrec [.] Com, "Исследователи сказали.


MS Docs + VBS макросы = вредоносная программа для кражи данных

Аналогично, вторая вредоносная кампания, обнаруженная исследователями безопасности в Cisco Talos, использует документ Microsoft Word, содержащий вредоносный макрос VBA, для доставки другого варианта того же вредоносного ПО Ursnif.
microsoft office docs macros malware
Эта вредоносная атака также ставит под угрозу целевые системы в несколько этапов, начиная от фишинговых писем и заканчивая вредоносными командами PowerShell, чтобы получить постоянство без файлов, а затем загружая и устанавливая компьютерный вирус Ursnif, крадущий данные.

    «Команда [PowerShell] состоит из трех частей. Первая часть создает функцию, которая позднее используется для декодирования PowerShell в кодировке base64. Вторая часть создает байтовый массив, содержащий вредоносную DLL», - пояснили исследователи Talos.

    «Третья часть выполняет функцию декодирования base64, созданную в первой части, с закодированной в base64 строкой в ​​качестве параметра функции. Возвращенная декодированная оболочка PowerShell впоследствии выполняется с помощью сокращенной функции Invoke-Expression (iex)».


После запуска на компьютере жертвы вредоносная программа собирает информацию из системы, помещает ее в формат файла CAB и затем отправляет ее на свой командно-контрольный сервер по безопасному соединению HTTPS.

Исследователи Talos опубликовали в своем блоге список показателей компрометации (IOC), а также имена файлов полезных данных, сброшенных на скомпрометированных машинах, которые могут помочь вам обнаружить и остановить вредоносное ПО Ursnif до того, как оно заразит вашу сеть.
Автор 
Опубликовано в Анонимность
Onion

Главред Darkmore.ru

Другие материалы в этой категории: « Как VPN стал инструментом защиты прав человека

Добавить комментарий


Защитный код
Обновить