Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Новые шпионские скрипты Unicorn крадут данные российских организаций (http://txgate.io:443/showthread.php?t=8100)

Artifact 05-13-2025 07:11 AM

В начале сентября наши системы зафиксировали новую рассылку вредоносного ПО, нацеленного на кражу конфиденциальных данных. Атаке подверглись российские энергетические компании, заводы, а также поставщики и разработчики электронных компонентов. В подобного рода атаках вредоносные программы, как правило, самоудаляются сразу после кражи информации, однако в данном случае этого не происходит.
Вредоносное ПО распространяется в виде почтовых вложений или файлов на «Яндекс Диске», на которые ведет ссылка из письма. Рассылаемый таким образом файл представляет собой RAR-архив, внутри которого содержится файл с двойным расширением PDF + LNK. Путь к файлу в архиве выглядит следующим образом:
Cписок наличия.rar/Список наличия/Список наличия.pdf.lnk
https://media.kasperskycontenthub.co..._HTA_RU_01.png
Содержимое вредоносного архива
Вредоносный ярлык содержит команду на запуск приложения mshta, которое скачивает и выполняет файл HTML Application (HTA). Для маскировки трафика URL-адрес, с которого скачивается вредоносный HTA, оканчивается на .pdf.
https://media.kasperskycontenthub.co...e_HTA_RU02.png
Свойства вредоносного ярлыка
При запуске HTA выполняется вредоносный VBS-скрипт, который создает на диске два скрипта:<ul><li>update.vbs</li>
</ul><ul><li>upgrade.vbs</li>
</ul>После этого он создает ключи на автозапуск этих скриптов в реестре:
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 66px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">"HKCU\Software\Microsoft\Windows\CurrentVer sion\Run\"
'ReaItekCheckDriverUpd'='C:\Windows\System32\wscri pt.exe "&lt;USERPROFILE&gt;\AppData\Local\ReaItekCache\up date.vbs"'
'ReaItekSoftwareUpgrade'='C:\Windows\System32\wscr ipt.exe "&lt;USERPROFILE&gt;\AppData\Local\ReaItekCache\up grade.vbs"'</pre>
Дополнительно с использованием утилиты schtasks.exe в планировщике задач создаются две задачи для запуска этих же скриптов:
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 50px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">schtasks.exe" /create /tn "ReaItekCheckDriverUpdate" /tr "&lt;USERPROFILE&gt;\AppData\Local\ReaItekCache\up date.vbs" /sc minute /mo 60 /f
schtasks.exe" /create /tn "ReaItekSoftwareUpgrade" /tr "&lt;USERPROFILE&gt;\AppData\Local\ReaItekCache\up grade.vbs" /sc minute /mo 60 /f</pre>
Наконец, в реестре, в ветке HKCU\Software\ReaItek\Audio\ создаются дополнительные ключи:
CID_SZ,GFI_SZ,IFE_SZ,AFI_SZ,SFP_SZ,UEC_SZ,UFP_SZ,U FS_SZ,SCP_SZ,EUP_SZ, в которых в зашифрованном виде содержится вредоносный VBS-код.
Созданные на диске скрипты (update.vbs и upgrade.vbs) при запуске вычитывают значения ключей из ветки HKCU\Software\ReaItek\Audio\, расшифровывают и выполняют их.
https://media.kasperskycontenthub.co...e_HTA_RU03.png
Пример кода, выполняющего скрипты, сохраненные в реестре
При запуске update.vbs расшифрованные им фрагменты скрипта создают папку %USERPROFILE%\AppData\Local\ReaItek, в которую затем копируют файлы из домашнего каталога пользователя. Троянца интересуют файлы размером менее 50 МБ с расширениями .txt, .pdf, .doc, .docx, .xls, .xlsx, .png, .rtf, .jpg, .zip и .rar. Также в созданную им папку копируется содержимое папки %USERPROFILE%\AppData\Roaming\Telegram Desktop\tdata. Информацию о скопированных файлах и дате их последней модификации скрипт сохраняет в текстовый файл iids.txt и постоянно сверяется с ним, чтобы при каждом запуске копировать только новые или измененные документы.
https://media.kasperskycontenthub.co...e_HTA_RU04.png
Деобфусцированная функция копирования файлов
Скрипт upgrade.vbs при помощи расшифрованного кода из реестра отправляет на сайт злоумышленников файлы, скопированные в созданную скриптом update.vbs папку. Чтобы не отправлять одни и те же файлы при перезапуске скрипта, информация об отправленных данных записывается в файл oids.txt, с которым скрипт постоянно сверяется.
https://media.kasperskycontenthub.co...e_HTA_RU05.png
Деобфусцированная функция отправки файлов
Оба скрипта после кражи данных остаются в системе и при перезапуске копируют и выгружают на сервер злоумышленников новые и изменившиеся файлы. Фактически, вместо того чтобы один раз украсть данные и замести следы своего присутствия, вредоносное ПО продолжает копировать файлы, пока его не обнаружат.
На момент написания статьи мы не обнаружили связи этих атак с известными группами. Мы продолжаем наблюдать за развитием событий. Решения «Лаборатории Касперского» детектируют эти скрипты с вердиктом Trojan-Spy.VBS.Unicorn.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://securelist.ru/unicorn-data-stealing-scripts/110606/</pre>


All times are GMT. The time now is 10:34 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.