Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Специалисты Trend Micro проанализировали новую версию CopperStealer и обнаружили, что его C2-инфраструктура сильно изменилась. Операторы вредоноса отказались от DGA и CDN-прокси и теперь размещают зашифрованный файл конфигурации на Pastebin, а IP-адреса прячут по методу fast flux. Вывод краденых данных инфостилер осуществляет через Telegram.

По данным экспертов, Windows-зловред CopperStealer применяется в атаках с конца 2019 года. Он распространяется через редиректы на пиратских сайтах по схеме PPI (pay-per-install, с платой за каждую установку). Чтобы уберечь вредоносный довесок к кряку от обнаружения, злоумышленники используют шифрование и сжатие (ZIP).

Инфостилер также умеет откатывать свое исполнение в песочнице, под отладчиком и на компьютерах, по умолчанию использующих китайский язык. Его основной задачей является кража учетных данных и куки из браузеров; в прошлом году CopperStealer живо интересовался учетками Facebook и Google с целью распространения непрошеной рекламы и устанавливал adware-расширения браузеров.

Проведенный в Trend Micro анализ показал, что обновленный зловред по-прежнему использует шелл-код в качестве точки входа и криптор на базе XOR для сокрытия полезной нагрузки второй ступени — DLL, упакованной с помощью UPX. В этот дроппер встроены два файла, сжатых с помощью 7-Zip: build.exe и shrdp.exe. Первый компонент предназначен для кражи данных из браузеров, второй — для обеспечения доступа к зараженной машине по RDP.

При запуске build.exe устанавливает свой сертификат в соответствующую папку текущего пользователя, затем извлекает из реестра Windows значение ключа MachineGuid и использует его как имя папки, в которой будут сохраняться куки и пароли, украденные из следующих браузеров:

  • Brave
  • Chrome
  • Chromium
  • Edge
  • Firefox
  • Opera
  • Яндекс.Браузер

Вредоноса также интересуют мессенджеры (Telegram, Discord, Elements), почтовые клиенты (Outlook, Thunderbird) и Steam. Всю добычу CopperStealer архивирует, запароливает и выгружает в отдельный Telegram-канал, отсылая оператору уведомление об успешном выполнении задачи.

Модуль shrdp.exe расшифровывает C2-адрес, хранящийся на Pastebin, регистрирует ID зараженной машины и периодически сигналит серверу о готовности к выполнению команд. Аккаунт Pastebin был создан в марте под именем Javalinkcrash; он содержит единственный фрагмент текста, который запрашивали 23 тыс. раз — по этой статистике можно судить о количестве заражений новой версией CopperStealer.

Из поддерживаемых задач shrdp.exe выявлены install и killme. При выполнении первой на машине создается новый скрытый аккаунт пользователя, который добавляется в группу админов и RDP.

В рамках install вредоносный компонент также отключает файрвол и проверку подлинности сетевого уровня (NLA), а затем извлекает из ресурсов и устанавливает оболочку RDP, OpenVPN, утилиту-загрузчик MiniThunderPlatform и n2n (инструмент для создания виртуальных сетей). Чтобы скрыть эти файлы от Microsoft Defender, модуль shrdp.exe добавляет всю папку в список исключений.

Задача killme предусматривает принудительное завершение запущенных процессов, удаление файлов и пользователей, совершивших вход, сброшенных или добавленных в ходе выполнения install.

Изменение командной инфраструктуры CopperStealer, по всей видимости, было вызвано подрывом прежней. В прошлом году ИБ-эксперты при поддержке крупных сервис-провайдеров провели sinkhole-операцию с целью пресечь дальнейшее распространение инфостилера, проникшего в 159 стран (в основном в Индию, Индонезию, Бразилию, Пакистан и на Филиппины).

На тот момент вредонос отыскивал C2, генерируя домены по DGA, а для сокрытия серверов злоумышленники использовали прокси-возможности Cloudflare. Теперь CopperStealer получает C2-адрес, обращаясь к странице Pastebin, а вместо CDN-прокси его хозяева применяют fast flux — подпольный DNS-сервис, позволяющий динамически перерегистрировать домены/IP и вдобавок использовать слой проксирования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры проникают в смартфоны Xiaomi и подделывают платежи

В моделях Xiaomi Redmi Note 9T и Redmi Note 11 обнаружены уязвимости, с помощью которых можно “вырубить” мобильные платежи и подделать транзакции. В устройство аферисты проникают через мошенническое приложение для Android.

О недостатках в телефонах на базе MediaTek сообщили в отчете специалисты Check Point. По версии компании, “дыру” нашли в надежной среде выполнения (TEE) китайского производителя телефонов.

TEE относится к безопасной области внутри главного процессора. Она гарантирует, что код и загруженные данные будут защищены с точки зрения конфиденциальности и целостности.

Израильская компания обнаружила, что приложение на устройстве Xiaomi может быть скомпрометировано. Это позволяет злоумышленнику заменить новую безопасную версию приложения старой уязвимой (даунгрейд).

“Злоумышленник может обойти обновления безопасности Xiaomi или MediaTek для проверенных приложений, понизив их до непропатченных версий”, — говорит исследователь из Check Point Слава Маккавеев.

 

Уязвимости нашли и в “thhadmin”, легитимном приложении, отвечающим за управление безопасностью. С их помощью вредоносная программа собирает сохраненные ключи и может сама управлять приложением.

“Мы обнаружили уязвимости, которые позволяют подделывать платежи или отключать платежную систему напрямую из приложения для Android”, — уточняет Маккавеев.

Цель хакеров — проникнуть в разработки Xiaomi и управлять сервисом Tencent Soter, который служит базой при авторизации транзакций для WeChat и Alipay.

Это еще не все. Check Point обнаружили, что вредоносный код может извлекать закрытые ключи для подписи платежных поручений. Уязвимость полностью компрометирует платформу Tencent Soter, говорят исследователи.

Xiaomi в июне выпустила патчи для устранения уязвимости CVE-2020-14125. Загруженные обновления должны закрывать “дыру”, добавляют в Check Point.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru