В начале сентября наши системы зафиксировали новую рассылку вредоносного ПО, нацеленного на кражу конфиденциальных данных. Атаке подверглись российские энергетические компании, заводы, а также поставщики и разработчики электронных компонентов. В подобного рода атаках вредоносные программы, как правило, самоудаляются сразу после кражи информации, однако в данном случае этого не происходит.
Вредоносное ПО распространяется в виде почтовых вложений или файлов на «Яндекс Диске», на которые ведет ссылка из письма. Рассылаемый таким образом файл представляет собой RAR-архив, внутри которого содержится файл с двойным расширением PDF + LNK. Путь к файлу в архиве выглядит следующим образом:
Cписок наличия.rar/Список наличия/Список наличия.pdf.lnk
Содержимое вредоносного архива
Вредоносный ярлык содержит команду на запуск приложения mshta, которое скачивает и выполняет файл HTML Application (HTA). Для маскировки трафика URL-адрес, с которого скачивается вредоносный HTA, оканчивается на .pdf.
Свойства вредоносного ярлыка
При запуске HTA выполняется вредоносный VBS-скрипт, который создает на диске два скрипта:
После этого он создает ключи на автозапуск этих скриптов в реестре:
Code:
"HKCU\Software\Microsoft\Windows\CurrentVersion\Run \"
'ReaItekCheckDriverUpd'='C:\Windows\System32\wscri pt.exe "<USERPROFILE>\AppData\Local\ReaItekCache\update.vb s"'
'ReaItekSoftwareUpgrade'='C:\Windows\System32\wscr ipt.exe "<USERPROFILE>\AppData\Local\ReaItekCache\upgrade.v bs"'
Дополнительно с использованием утилиты schtasks.exe в планировщике задач создаются две задачи для запуска этих же скриптов:
Code:
schtasks.exe" /create /tn "ReaItekCheckDriverUpdate" /tr "<USERPROFILE>\AppData\Local\ReaItekCache\update.vb s" /sc minute /mo 60 /f
schtasks.exe" /create /tn "ReaItekSoftwareUpgrade" /tr "<USERPROFILE>\AppData\Local\ReaItekCache\upgrade.v bs" /sc minute /mo 60 /f
Наконец, в реестре, в ветке HKCU\Software\ReaItek\Audio\ создаются дополнительные ключи:
CID_SZ,GFI_SZ,IFE_SZ,AFI_SZ,SFP_SZ,UEC_SZ,UFP_SZ,U FS_SZ,SCP_SZ,EUP_SZ, в которых в зашифрованном виде содержится вредоносный VBS-код.
Созданные на диске скрипты (update.vbs и upgrade.vbs) при запуске вычитывают значения ключей из ветки HKCU\Software\ReaItek\Audio\, расшифровывают и выполняют их.
Пример кода, выполняющего скрипты, сохраненные в реестре
При запуске update.vbs расшифрованные им фрагменты скрипта создают папку %USERPROFILE%\AppData\Local\ReaItek, в которую затем копируют файлы из домашнего каталога пользователя. Троянца интересуют файлы размером менее 50 МБ с расширениями .txt, .pdf, .doc, .docx, .xls, .xlsx, .png, .rtf, .jpg, .zip и .rar. Также в созданную им папку копируется содержимое папки %USERPROFILE%\AppData\Roaming\Telegram Desktop\tdata. Информацию о скопированных файлах и дате их последней модификации скрипт сохраняет в текстовый файл iids.txt и постоянно сверяется с ним, чтобы при каждом запуске копировать только новые или измененные документы.
Деобфусцированная функция копирования файлов
Скрипт upgrade.vbs при помощи расшифрованного кода из реестра отправляет на сайт злоумышленников файлы, скопированные в созданную скриптом update.vbs папку. Чтобы не отправлять одни и те же файлы при перезапуске скрипта, информация об отправленных данных записывается в файл oids.txt, с которым скрипт постоянно сверяется.
Деобфусцированная функция отправки файлов
Оба скрипта после кражи данных остаются в системе и при перезапуске копируют и выгружают на сервер злоумышленников новые и изменившиеся файлы. Фактически, вместо того чтобы один раз украсть данные и замести следы своего присутствия, вредоносное ПО продолжает копировать файлы, пока его не обнаружат.
На момент написания статьи мы не обнаружили связи этих атак с известными группами. Мы продолжаем наблюдать за развитием событий. Решения «Лаборатории Касперского» детектируют эти скрипты с вердиктом Trojan-Spy.VBS.Unicorn.
Code:
https://securelist.ru/unicorn-data-stealing-scripts/110606/