Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Специалисты Trend Micro проанализировали новую версию CopperStealer и обнаружили, что его C2-инфраструктура сильно изменилась. Операторы вредоноса отказались от DGA и CDN-прокси и теперь размещают зашифрованный файл конфигурации на Pastebin, а IP-адреса прячут по методу fast flux. Вывод краденых данных инфостилер осуществляет через Telegram.

По данным экспертов, Windows-зловред CopperStealer применяется в атаках с конца 2019 года. Он распространяется через редиректы на пиратских сайтах по схеме PPI (pay-per-install, с платой за каждую установку). Чтобы уберечь вредоносный довесок к кряку от обнаружения, злоумышленники используют шифрование и сжатие (ZIP).

Инфостилер также умеет откатывать свое исполнение в песочнице, под отладчиком и на компьютерах, по умолчанию использующих китайский язык. Его основной задачей является кража учетных данных и куки из браузеров; в прошлом году CopperStealer живо интересовался учетками Facebook и Google с целью распространения непрошеной рекламы и устанавливал adware-расширения браузеров.

Проведенный в Trend Micro анализ показал, что обновленный зловред по-прежнему использует шелл-код в качестве точки входа и криптор на базе XOR для сокрытия полезной нагрузки второй ступени — DLL, упакованной с помощью UPX. В этот дроппер встроены два файла, сжатых с помощью 7-Zip: build.exe и shrdp.exe. Первый компонент предназначен для кражи данных из браузеров, второй — для обеспечения доступа к зараженной машине по RDP.

При запуске build.exe устанавливает свой сертификат в соответствующую папку текущего пользователя, затем извлекает из реестра Windows значение ключа MachineGuid и использует его как имя папки, в которой будут сохраняться куки и пароли, украденные из следующих браузеров:

  • Brave
  • Chrome
  • Chromium
  • Edge
  • Firefox
  • Opera
  • Яндекс.Браузер

Вредоноса также интересуют мессенджеры (Telegram, Discord, Elements), почтовые клиенты (Outlook, Thunderbird) и Steam. Всю добычу CopperStealer архивирует, запароливает и выгружает в отдельный Telegram-канал, отсылая оператору уведомление об успешном выполнении задачи.

Модуль shrdp.exe расшифровывает C2-адрес, хранящийся на Pastebin, регистрирует ID зараженной машины и периодически сигналит серверу о готовности к выполнению команд. Аккаунт Pastebin был создан в марте под именем Javalinkcrash; он содержит единственный фрагмент текста, который запрашивали 23 тыс. раз — по этой статистике можно судить о количестве заражений новой версией CopperStealer.

Из поддерживаемых задач shrdp.exe выявлены install и killme. При выполнении первой на машине создается новый скрытый аккаунт пользователя, который добавляется в группу админов и RDP.

В рамках install вредоносный компонент также отключает файрвол и проверку подлинности сетевого уровня (NLA), а затем извлекает из ресурсов и устанавливает оболочку RDP, OpenVPN, утилиту-загрузчик MiniThunderPlatform и n2n (инструмент для создания виртуальных сетей). Чтобы скрыть эти файлы от Microsoft Defender, модуль shrdp.exe добавляет всю папку в список исключений.

Задача killme предусматривает принудительное завершение запущенных процессов, удаление файлов и пользователей, совершивших вход, сброшенных или добавленных в ходе выполнения install.

Изменение командной инфраструктуры CopperStealer, по всей видимости, было вызвано подрывом прежней. В прошлом году ИБ-эксперты при поддержке крупных сервис-провайдеров провели sinkhole-операцию с целью пресечь дальнейшее распространение инфостилера, проникшего в 159 стран (в основном в Индию, Индонезию, Бразилию, Пакистан и на Филиппины).

На тот момент вредонос отыскивал C2, генерируя домены по DGA, а для сокрытия серверов злоумышленники использовали прокси-возможности Cloudflare. Теперь CopperStealer получает C2-адрес, обращаясь к странице Pastebin, а вместо CDN-прокси его хозяева применяют fast flux — подпольный DNS-сервис, позволяющий динамически перерегистрировать домены/IP и вдобавок использовать слой проксирования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PyPI приостановил регистрацию новых пользователей из-за вредоноса

Популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

PyPI — одно из первых мест, куда идут разработчики на Python, пытаясь найти нужные пакеты. Из-за популярности репозиторий не раз становился объектом внимания киберпреступников.

Именно такую кампанию злоумышленники запустили на днях, из-за чего администраторам PyPI пришлось приостановить регистрацию новых пользователей на площадке.

 

О кибероперации также написали исследователи из Checkmarx. По их словам, атакующие сразу начали с загрузки 365 пакетов, чьи имена были замаскированы под легитимные проекты.

Все злонамеренные пакеты включали вредоносный код в файле «setup.py», который выполнялся в процессе установки. Этот код пытается получить дополнительный пейлоад с удалённого сервера.

Для ухода от детектирования вредонос зашифрован с помощь модуля Fernet, а URL командного центра собирается динамически при необходимости.

Конечный пейлоад представляет собой троян, ворующий данные пользователей, сохранённые в браузерах: логины и пароли, cookies и крипторасширения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru