«Доктор Веб» о добыче криптовалюты с использованием стеганографии

По сообщению компании «Доктор Веб», специалисты ее вирусной лаборатории в ходе анализа данных телеметрии выявили образцы вредоносного ПО, оказавшиеся компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP.

Начало кампании было положено, вероятно, в 2022 г., когда был обнаружен исполняемый файл Services.exe, представляющий собой .NET-приложение, запускающее сценарий VBscript. Этот сценарий реализует функции бэкдора, связываясь с сервером злоумышленников и выполняя скрипты и файлы, присланные в ответ. Так, на компьютер жертвы скачивался вредоносный файл ubr.txt – скрипт для интерпретатора PowerShell, у которого расширение было изменено с ps1 на txt.

Скрипт ubr.txt проверяет наличие майнеров, которые могли быть уже установлены на скомпрометированной машине, и заменяет их на нужные злоумышленникам версии. Устанавливаемые скриптом файлы представляют собой майнер SilentCryptoMiner и его настройки, с помощью которого хакеры добывали криптовалюту Monero.

Как отмечают в «Доктор Веб», для злоумышленников этот майнер привлекателен простотой конфигурации, расширенными возможностями по добыче различных типов криптовалют и маскировки от диагностических утилит, а также поддержкой удаленного управления всеми майнерами в ботнете посредством веб-панели.

В рамках этой кампании файлы майнера маскируются под различное ПО, в частности для проведения видеозвонков в Zoom (ZoomE.exe и ZoomX.exe) или службы Windows (Service32.exe и Service64.exe) и т. д. Несмотря на то что существует несколько наборов вредоносных файлов, имеющих разные имена, все они выполняют одинаковые задачи – удаление других майнеров, установка нового майнера и доставка обновлений для него. Дополнительно майнер обращается к домену getcert[.]net, на котором расположен файл m.txt с настройками добычи криптовалюты. Этот ресурс также задействован и в других цепочках.

В дальнейшем мошенники видоизменили методологию атаки, сделав ее значительно более интересной и подключив средства стеганографии – метода сокрытия одной информации внутри другой. В отличие от криптографии, когда зашифрованные данные могут привлечь внимание, стеганография позволяет незаметно скрыть информацию, например, в изображении. Многие эксперты по кибербезопасности полагают, что популярность использования стеганографии для обхода средств защиты будет набирать обороты.

Вторая, более новая, цепочка реализована посредством трояна Amadey, который запускает PowerShell-скрипт Async.ps1, скачивающий изображения в формате BMP с легитимного хостинга изображений imghippo.com. С помощью стеганографических алгоритмов из изображений извлекаются два исполняемых файла: стилер Trojan.PackedNET.2429 и полезная нагрузка, которая:

•              отключает запрос UAC на повышение прав для администраторов,

•              вносит множество исключений во встроенный антивирус Windows Defender,

•              отключает уведомления в Windows,

•              создает новую задачу по пути \Microsoft\Windows\WindowsBackup\ с именем ‘User’.

В ходе выполнения задачи происходит обращение к доменам злоумышленников, в записи DNS TXT которых содержится адрес хранения последующей полезной нагрузки. После ее скачивания происходит распаковка архива с изображениями в формате BMP и запуск следующих файлов:

•              Cleaner.txt – PowerShell-скрипт, удаляющий любые другие майнеры,

•              m.txt – PowerShell-скрипт, извлекающий полезную нагрузку из изображений m.bmp и IV.bmp. Нагрузка внутри изображений является майнером SilentCryptoMiner и запускающим его инжектором,

•              Net.txt – скрипт, который читает запись DNS TXT у доменов windowscdn[.]site и buyclients[.]xyz. В этой записи находится ссылка на полезную нагрузку, ведущая на сервис raw.githack[.]com.

Запись DNS TXT представляет собой расширение стандартной записи DNS и содержит текст, который в легитимных целях используется для верификации домена. Тем не менее владелец домена может внести туда произвольные данные – например, ссылку на полезную нагрузку.

Модули майнера постоянно развиваются. В последнее время авторы перешли к использованию легитимных ресурсов для размещения вредоносных изображений и платформу GitHub для хранения полезной нагрузки. Кроме того, были найдены модули, проверяющие факт запуска в песочницах и на виртуальных машинах.

Эта кампания, подчеркивают в «Доктор Веб», – лишь верхушка айсберга в мире киберугроз, построенных на средствах стеганографии.