Исследователи в области безопасности обнаружили две вредоносные кампании, одна из которых распространяет троян Ursnif предназначенный для кражи данных и распространяет вымогатель GandCrab, тогда как вторая заражает жертв вредоносным ПО Ursnif.
Хотя обе вредоносные кампании, по-видимому, являются работой двух отдельных групп киберпреступников, мы обнаруживаем в них много общего. Обе атаки начинаются с фишинговых писем, содержащих прикрепленный документ Microsoft Word, в который встроены вредоносные макросы, и затем используют Powershell для доставки вредоносных программ без файлов.
Ursnif — это вредоносное ПО для кражи данных, которое, как правило, крадет конфиденциальную информацию со скомпрометированных компьютеров с возможностью сбора банковских учетных данных, осуществляет сбор нажатий клавиш, информации о системе и процессах и обеспечивает возможность развертывания дополнительных бэкдоров. Обнаруженный ранее в прошлом году, GandCrab представляет собой широко распространенную угрозу вымогателей, которая, как и любая другая программа-вымогатель на рынке, шифрует файлы в зараженной системе и настаивает на том, чтобы жертвы платили выкуп в цифровой валюте, чтобы разблокировать их. Его разработчики запрашивают платежи в основном в DASH, которые сложнее отслеживать.
MS Docs + VBS макросы = инфекция Ursnif и GandCrab
Первая вредоносная кампания, распространяющая две вредоносные угрозы, была обнаружена исследователями безопасности из Carbon Black, которые обнаружили в дикой природе примерно 180 вариантов документов MS Word, предназначенных для пользователей с вредоносными макросами VBS.
В случае успешного выполнения вредоносный макрос VBS запускает сценарий PowerShell, который затем использует ряд методов для загрузки и выполнения Ursnif и GandCrab в целевых системах.
Сценарий PowerShell закодирован в base64, который выполняет следующий этап заражения, который отвечает за загрузку основных вредоносных программ для взлома системы.
Первая полезная нагрузка представляет собой однострочную оболочку PowerShell, которая оценивает архитектуру целевой системы и затем соответственно загружает дополнительную полезную нагрузку с веб-сайта Pastebin, который выполняется в памяти, что затрудняет традиционным антивирусным методам обнаружение действий.
«Этот скрипт PowerShell является версией модуля Empire Invoke-PSInject с очень небольшим количеством модификаций», — говорят исследователи из Carbon Black. «Сценарий использует встроенный PE [Portable Executable] файл, который был закодирован в base64, и вставит его в текущий процесс PowerShell».
Окончательная полезная нагрузка затем устанавливает вариант вымогателя GandCrab в систему жертвы, блокируя ее из своей системы, пока они не заплатят выкуп в цифровой валюте.
В то же время вредоносная программа также загружает исполняемый файл Ursnif с удаленного сервера и после запуска проверяет систему, отслеживает трафик веб-браузера для сбора данных, а затем отправляет его на сервер (C & C) злоумышленников.
Многочисленные варианты Ursnif были размещены на сайте bevendbrec [.] com во время этой кампании. Carbon Black удалось обнаружить приблизительно 120 различных вариантов Ursnif, которые размещались на доменах iscondisth [.] com и bevendbrec [.] com.
MS Docs + VBS макросы = вредоносная программа для кражи данных
Аналогично, вторая вредоносная кампания, обнаруженная исследователями безопасности в Cisco Talos, использует документ Microsoft Word, содержащий вредоносный макрос VBA, для доставки другого варианта того же вредоносного ПО Ursnif.
Эта вредоносная атака также ставит под угрозу целевые системы в несколько этапов, начиная от фишинговых писем и заканчивая вредоносными командами PowerShell, чтобы получить постоянство без файлов, а затем загружая и устанавливая компьютерный вирус Ursnif, крадущий данные.
«Команда [PowerShell] состоит из трех частей. Первая часть создает функцию, которая позже используется для декодирования PowerShell в кодировке base64. Вторая часть создает байтовый массив, содержащий вредоносную DLL», — пояснили исследователи Talos.
«Третья часть выполняет функцию декодирования base64, созданную в первой части, с кодированной строкой base64 в качестве параметра функции. Возвращенная декодированная оболочка PowerShell впоследствии выполняется с помощью сокращенной функции Invoke-Expression (iex)».
После запуска на компьютере жертвы вредоносная программа собирает информацию из системы, помещает ее в формат файла CAB и затем отправляет ее на свой командно-контрольный сервер через защищенное соединение HTTPS.
Исследователи Talos опубликовали в своем блоге список показателей компрометации (IOC), а также имена файлов полезных данных, сброшенных на скомпрометированных машинах, которые могут помочь вам обнаружить и остановить вредоносное ПО Ursnif до того, как оно заразит вашу сеть.