Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Специалисты Trend Micro проанализировали новую версию CopperStealer и обнаружили, что его C2-инфраструктура сильно изменилась. Операторы вредоноса отказались от DGA и CDN-прокси и теперь размещают зашифрованный файл конфигурации на Pastebin, а IP-адреса прячут по методу fast flux. Вывод краденых данных инфостилер осуществляет через Telegram.

По данным экспертов, Windows-зловред CopperStealer применяется в атаках с конца 2019 года. Он распространяется через редиректы на пиратских сайтах по схеме PPI (pay-per-install, с платой за каждую установку). Чтобы уберечь вредоносный довесок к кряку от обнаружения, злоумышленники используют шифрование и сжатие (ZIP).

Инфостилер также умеет откатывать свое исполнение в песочнице, под отладчиком и на компьютерах, по умолчанию использующих китайский язык. Его основной задачей является кража учетных данных и куки из браузеров; в прошлом году CopperStealer живо интересовался учетками Facebook и Google с целью распространения непрошеной рекламы и устанавливал adware-расширения браузеров.

Проведенный в Trend Micro анализ показал, что обновленный зловред по-прежнему использует шелл-код в качестве точки входа и криптор на базе XOR для сокрытия полезной нагрузки второй ступени — DLL, упакованной с помощью UPX. В этот дроппер встроены два файла, сжатых с помощью 7-Zip: build.exe и shrdp.exe. Первый компонент предназначен для кражи данных из браузеров, второй — для обеспечения доступа к зараженной машине по RDP.

При запуске build.exe устанавливает свой сертификат в соответствующую папку текущего пользователя, затем извлекает из реестра Windows значение ключа MachineGuid и использует его как имя папки, в которой будут сохраняться куки и пароли, украденные из следующих браузеров:

  • Brave
  • Chrome
  • Chromium
  • Edge
  • Firefox
  • Opera
  • Яндекс.Браузер

Вредоноса также интересуют мессенджеры (Telegram, Discord, Elements), почтовые клиенты (Outlook, Thunderbird) и Steam. Всю добычу CopperStealer архивирует, запароливает и выгружает в отдельный Telegram-канал, отсылая оператору уведомление об успешном выполнении задачи.

Модуль shrdp.exe расшифровывает C2-адрес, хранящийся на Pastebin, регистрирует ID зараженной машины и периодически сигналит серверу о готовности к выполнению команд. Аккаунт Pastebin был создан в марте под именем Javalinkcrash; он содержит единственный фрагмент текста, который запрашивали 23 тыс. раз — по этой статистике можно судить о количестве заражений новой версией CopperStealer.

Из поддерживаемых задач shrdp.exe выявлены install и killme. При выполнении первой на машине создается новый скрытый аккаунт пользователя, который добавляется в группу админов и RDP.

В рамках install вредоносный компонент также отключает файрвол и проверку подлинности сетевого уровня (NLA), а затем извлекает из ресурсов и устанавливает оболочку RDP, OpenVPN, утилиту-загрузчик MiniThunderPlatform и n2n (инструмент для создания виртуальных сетей). Чтобы скрыть эти файлы от Microsoft Defender, модуль shrdp.exe добавляет всю папку в список исключений.

Задача killme предусматривает принудительное завершение запущенных процессов, удаление файлов и пользователей, совершивших вход, сброшенных или добавленных в ходе выполнения install.

Изменение командной инфраструктуры CopperStealer, по всей видимости, было вызвано подрывом прежней. В прошлом году ИБ-эксперты при поддержке крупных сервис-провайдеров провели sinkhole-операцию с целью пресечь дальнейшее распространение инфостилера, проникшего в 159 стран (в основном в Индию, Индонезию, Бразилию, Пакистан и на Филиппины).

На тот момент вредонос отыскивал C2, генерируя домены по DGA, а для сокрытия серверов злоумышленники использовали прокси-возможности Cloudflare. Теперь CopperStealer получает C2-адрес, обращаясь к странице Pastebin, а вместо CDN-прокси его хозяева применяют fast flux — подпольный DNS-сервис, позволяющий динамически перерегистрировать домены/IP и вдобавок использовать слой проксирования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Первый пошел: оператор заплатит 1 млн рублей за вызов с подменного номера

Российский суд оштрафовал компанию за пропуск звонка с подменного номера от иностранного оператора. "Оранж Бизнес Сервисез" заплатит в казну миллион рублей. Это первое наказание за такое правонарушение.

ООО "Оранж Бизнес Сервисез" принадлежит нидерландской Equant Finance B.V., головной компании выступает французская телекоммуникационная Orange.

Роскомнадзор составил в отношении российской “дочки” протокол по ч. 2 ст. 13.2.1 КоАП РФ, передает Интерфакс:

"В России вынесено первое решение о привлечении к административной ответственности оператора связи за пропуск вызова с подменного номера от иностранного оператора. За такое правонарушение оператору "Оранж Бизнес Сервисез" мировым судом назначен штраф в размере 1 млн рублей", — сообщили в ведомстве.

Других подробностей дела нет. Миллион рублей — верхняя планка штрафа по этой статье. Президент подписал закон 30 декабря 2021 года. Должностные лица могут заплатить от 30 до 100 тысяч рублей, индивидуальные предприниматели — от 200 до 800 тысяч рублей, а юрлица - от 500 тысяч до 1 млн рублей.

Наказание предусмотрено за каждый выявленный факт нарушения закона, то есть за каждый звонок с подменным номером, который поступил абоненту.

Согласно поправкам в закон “О связи” операторы не должны пропускать вызовы и СМС-сообщения из-за рубежа с подменных номеров. Для этого телеком обязан подключиться к системе Роскомнадзора, которая будет анализировать информацию.

В июле сотовые операторы раскритиковали систему блокировки звонков с подменных номеров, а в августе стало известно, что Минцифры предлагает увеличить срок хранения данных о таких звонках до года. До этого речь шла о шести месяцах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru