Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Специалисты Trend Micro проанализировали новую версию CopperStealer и обнаружили, что его C2-инфраструктура сильно изменилась. Операторы вредоноса отказались от DGA и CDN-прокси и теперь размещают зашифрованный файл конфигурации на Pastebin, а IP-адреса прячут по методу fast flux. Вывод краденых данных инфостилер осуществляет через Telegram.

По данным экспертов, Windows-зловред CopperStealer применяется в атаках с конца 2019 года. Он распространяется через редиректы на пиратских сайтах по схеме PPI (pay-per-install, с платой за каждую установку). Чтобы уберечь вредоносный довесок к кряку от обнаружения, злоумышленники используют шифрование и сжатие (ZIP).

Инфостилер также умеет откатывать свое исполнение в песочнице, под отладчиком и на компьютерах, по умолчанию использующих китайский язык. Его основной задачей является кража учетных данных и куки из браузеров; в прошлом году CopperStealer живо интересовался учетками Facebook и Google с целью распространения непрошеной рекламы и устанавливал adware-расширения браузеров.

Проведенный в Trend Micro анализ показал, что обновленный зловред по-прежнему использует шелл-код в качестве точки входа и криптор на базе XOR для сокрытия полезной нагрузки второй ступени — DLL, упакованной с помощью UPX. В этот дроппер встроены два файла, сжатых с помощью 7-Zip: build.exe и shrdp.exe. Первый компонент предназначен для кражи данных из браузеров, второй — для обеспечения доступа к зараженной машине по RDP.

При запуске build.exe устанавливает свой сертификат в соответствующую папку текущего пользователя, затем извлекает из реестра Windows значение ключа MachineGuid и использует его как имя папки, в которой будут сохраняться куки и пароли, украденные из следующих браузеров:

  • Brave
  • Chrome
  • Chromium
  • Edge
  • Firefox
  • Opera
  • Яндекс.Браузер

Вредоноса также интересуют мессенджеры (Telegram, Discord, Elements), почтовые клиенты (Outlook, Thunderbird) и Steam. Всю добычу CopperStealer архивирует, запароливает и выгружает в отдельный Telegram-канал, отсылая оператору уведомление об успешном выполнении задачи.

Модуль shrdp.exe расшифровывает C2-адрес, хранящийся на Pastebin, регистрирует ID зараженной машины и периодически сигналит серверу о готовности к выполнению команд. Аккаунт Pastebin был создан в марте под именем Javalinkcrash; он содержит единственный фрагмент текста, который запрашивали 23 тыс. раз — по этой статистике можно судить о количестве заражений новой версией CopperStealer.

Из поддерживаемых задач shrdp.exe выявлены install и killme. При выполнении первой на машине создается новый скрытый аккаунт пользователя, который добавляется в группу админов и RDP.

В рамках install вредоносный компонент также отключает файрвол и проверку подлинности сетевого уровня (NLA), а затем извлекает из ресурсов и устанавливает оболочку RDP, OpenVPN, утилиту-загрузчик MiniThunderPlatform и n2n (инструмент для создания виртуальных сетей). Чтобы скрыть эти файлы от Microsoft Defender, модуль shrdp.exe добавляет всю папку в список исключений.

Задача killme предусматривает принудительное завершение запущенных процессов, удаление файлов и пользователей, совершивших вход, сброшенных или добавленных в ходе выполнения install.

Изменение командной инфраструктуры CopperStealer, по всей видимости, было вызвано подрывом прежней. В прошлом году ИБ-эксперты при поддержке крупных сервис-провайдеров провели sinkhole-операцию с целью пресечь дальнейшее распространение инфостилера, проникшего в 159 стран (в основном в Индию, Индонезию, Бразилию, Пакистан и на Филиппины).

На тот момент вредонос отыскивал C2, генерируя домены по DGA, а для сокрытия серверов злоумышленники использовали прокси-возможности Cloudflare. Теперь CopperStealer получает C2-адрес, обращаясь к странице Pastebin, а вместо CDN-прокси его хозяева применяют fast flux — подпольный DNS-сервис, позволяющий динамически перерегистрировать домены/IP и вдобавок использовать слой проксирования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Исследователи показали, как управлять «мыслями» ИИ на лету

Команда из T-Bank AI Research предложила новый подход к интерпретации и управлению большими языковыми моделями — вроде тех, что лежат в основе современных чат-ботов. Разработку представили на международной конференции ICML в Ванкувере, одном из крупнейших событий в области машинного обучения.

Речь идёт о модифицированном методе SAE Match, который позволяет не просто наблюдать за тем, как модель обрабатывает информацию, но и влиять на это поведение без переобучения или вмешательства в архитектуру.

Что нового?

Вместо того чтобы просто смотреть, какие признаки активируются в слоях модели, исследователи научились строить граф потока признаков. Он показывает, как определённые смысловые элементы (например, тема или стиль ответа) зарождаются и проходят через внутренние механизмы модели — от attention до feedforward.

Самое интересное — теперь можно точечно усиливать или подавлять эти элементы. Например, изменить тональность текста или убрать нежелательную тему. Причём это делается не путём настройки модели заново, а с помощью управления внутренними активностями на нужных этапах.

Почему это важно?

  • Можно контролировать поведение модели более точно, если воздействовать сразу на несколько уровней обработки.
  • Не нужны дополнительные данные или переобучение, метод работает с уже обученными моделями.
  • Прозрачность — можно проследить, откуда берётся тот или иной фрагмент текста: из контекста или из внутренних «знаний» модели.
  • Безопасность — если модель сгенерировала что-то нежелательное, теперь можно понять, почему так вышло, и в будущем избежать повторения.

В чём уникальность?

Раньше интерпретация ИИ сводилась к тому, чтобы просто наблюдать, как он работает. Теперь же появляется возможность вмешиваться в процесс генерации — причём быстро и точечно. Это может быть полезно не только в научных задачах, но и в реальных продуктах, где важно избегать неожиданных или опасных ответов от ИИ.

Так что теперь исследователи могут не просто догадываться, что происходит внутри модели, а действительно видеть и управлять этими процессами. И это, по сути, шаг к более контролируемому и предсказуемому искусственному интеллекту.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru