Активаторы с сюрпризом: RedLine превращает экономию на ПО в утечку данных

В отчете «Лаборатории Касперского» сообщается , что пользователи нелицензионных копий корпоративного программного обеспечения для автоматизации бизнес-процессов столкнулись с атакой. Злоумышленники распространяли вредоносные активаторы на бухгалтерских форумах. Распространяемые версии представляли собой модификации активатора HPDxLIB, содержащие стилер RedLine. Библиотека активатора обфусцирована с помощью .NET Reactor, а вредоносный код сжат и зашифрован в несколько слоев. Кампания началась в январе 2024 года и продолжается до сих пор.

Распространение

Атакующие распространяют вредоносные активаторы через форумы, посвященные бизнесу и бухгалтерскому учету. В сообщениях указывается на функционал обхода проверки лицензии, при этом информация о вредоносной составляющей отсутствует.

Новая версия активатора отличается использованием .NET вместо C++ и наличием самоподписанного сертификата с отпечатком 1c964ea8c58e03cb8517917d062d30f9ad134d29. «Чистые» версии подписаны валидными сертификатами.

Некоторые форумы начали предупреждать о наличии стилера RedLine в сборках HPDxLIB. Однако инструкции к активатору по-прежнему предлагают отключать антивирусное ПО для его корректной работы.

Заражение

В инструкции к вредоносной версии предлагается заменить легитимную библиотеку techsys.dll на её модифицированный вариант. Это применяется и в «чистых» версиях активатора, однако вредоносная сборка при запуске корпоративного ПО подгружает библиотеку, запускающую стилер.

Вредоносная библиотека techsys.dll содержит ресурс — loader.hpdx.dll, который в более поздних версиях дополнительно сжат с помощью Deflate. Основная вредоносная нагрузка — зашифрованный стилер RedLine. Для шифрования данных используется комбинация XOR, Base85 и AES-256-CBC.

Для расшифровки данных задействованы строки, зашифрованные с помощью XOR, которые используются для формирования криптографических параметров AES-256-CBC. После завершения всех этапов расшифровки извлекается стилер, сжатый алгоритмом Deflate, который затем распаковывается и загружается с помощью Assembly.Load().

Особенности RedLine

RedLine распространяется по модели Malware-as-a-Service, что позволяет приобретать его как разовую сборку или подписку. Программа ориентирована на кражу данных из браузеров, мессенджеров, а также другой конфиденциальной информации, которая передаётся на командный сервер. В исследованных образцах указанный сервер имел адрес 213.21.220[.]222:8080.

Согласно данным телеметрии, сервер использовался разными группами злоумышленников, что может указывать на аренду инфраструктуры для распространения RedLine.