Cinoshi MaaS: майнер, клиппер, бот и бесплатный стилер в одном флаконе

Cinoshi MaaS: майнер, клиппер, бот и бесплатный стилер в одном флаконе

Cinoshi MaaS: майнер, клиппер, бот и бесплатный стилер в одном флаконе

Эксперты Cyble обнаружили на хакерском форуме рекламу нового MaaS-сервиса (Malware-as-a-Service, вредонос как услуга) — Cinoshi Project. Подписчикам предлагают инфостилер на безвозмездной основе, что сильно снижает планку для неискушенных преступников.

Более того, вредоноса можно кастомизировать, добавив в сборку оплаченный клиппер или бот-загрузчик. Тулкит Cinoshi также можно использовать для установки криптомайнера, приобретенного по бессрочной подписке. Примечательно, что плата во всех случаях взимается в долларах или рублях.

 

Бесплатный инфостилер снабжен веб-панелью с билдером, позволяющим интегрировать дополнительные функции. Ее необязательно размещать на сервере, для сборки можно воспользоваться консолью разработчика.

Согласно объявлению, Cinoshi-стилер умеет собирать системную информацию, делать скриншоты, захватывать фото с веб-камеры и воровать данные из множества приложений. Обфускации или шифрования кода бесплатная подписка не предусматривает, за такие услуги придется заплатить 300 рублей.

Проведенный в Cyble анализ образца (32-битный бинарник .Net, уровень детектирования 46/68 на 23 марта) подтвердил заявленные функции кражи данных. Изучение веб-панели выявило опцию получения уведомлений в Telegram, а также возможность блокировки исполнения кода в странах бывшего СНГ (геолокацию по IP вредонос получает обращением на легитимный спецсервис).

 

В качестве мер противодействия анализу Cinoshi-стилер использует обфускацию, изменяет свой код в ходе исполнения, а также генерирует сообщения об ошибке при применении автоматических деобфускаторов.

Проникнув в систему, зловред создает папку ChromeUpdater в каталоге AppData\Roaming и исполняется по этому пути под именем chrome.exe, прописавшись на автозапуск. Нужные зависимости он получает с C2-сервера в домене anaida.evisyn[.]lol и выполняет свои задачи в многопоточном режиме.

Краденые данные сохраняются не на диске, а в памяти с помощью MemoryStream. Для их вывода в папке AppData\Local\ создается архивный файл Arch666.zip. Туда помещаются также файлы, найденные на рабочем столе жертвы (.txt, .doc, .mafile, .rdp, .jpg, .png, .db весом менее 1 Мбайт). После эксфильтрации ZIP-архив удаляется, чтобы скрыть следы вредоносной активности.

Клиппер Cinoshi нацелен на кошельки Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Neocoin, Bitcoin Cash и Dashcoin. Он также ищет в буфере обмена трейд-ссылки Steam; списки адресов для подмены обновляются обращением на тот же C2.

Криптомайнер, предоставляемый в рамках MaaS-сервиса, добывает эфиры и монеро. В веб-панели можно задать уровень загрузки CPU, данные кошельков, период активности. Для загрузки такого экзешника из anaida.evisyn[.]lol инфостилер создает в папке AppData\Local файл UpdateLinks со ссылками и инструкциями.

Полученный файл сохраняется в ту же папку под произвольным именем (числа от 111111 to 999999). Все связанные с загрузкой изменения можно отыскать в журнале WinUpdateLog в папке AppData\Roaming. Завершив операцию, стилер засыпает на пять минут, чтобы не выдать свое присутствие.

Майнер копирует себя в папку C:\Program Files\Google\Chrome\ под именем updater.exe и выполняет множество PowerShell-команд для устранения препятствий. В частности, он добавляет нужные для работы папки (UserProfile и Program Files) в список исключений Microsoft Defender и останавливает службу обновления Windows, а также обеспечивает себе автозапуск, создавая новое запланированное задание.

Изучить бот Cinoshi аналитикам не удалось. По словам продавца, он в основном предназначен для загрузки и запуска других зловредов и с этой целью умеет прописывать их на автозапуск и изменять список исключений Defender.

Похожий MaaS-сервис эксперты Cyble обнаружили в прошлом году. Вначале ассортимент Eternity Project включал инфостилер, клиппер, криптомайнер, червь и шифровальщик, позднее был добавлен DDoS-бот.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сенатор Шейкин уточнил порядок новых норм в отношении VPN

Как подчеркнул сенатор Артём Шейкин, новые нормы не направлены против конечных пользователей, а касаются в первую очередь провайдеров, платформ и технических посредников. По его словам, цель поправок — не массовое отслеживание граждан, а усиление контроля над инфраструктурой, обеспечивающей доступ к интернет-ресурсам.

Речь идёт о поправках ко второму чтению законопроекта №755710-8, которое намечено на ближайшие дни.

«Ужесточается ответственность владельцев VPN и других средств обхода блокировок в случае, если они не подключаются к федеральной системе фильтрации и не блокируют запрещённые ресурсы.

Предусмотрены "оборотные" штрафы для организаторов распространения информации, которые не внедряют технические средства для выполнения требований СОРМ (системы оперативно-разыскных мероприятий). В том числе это касается возможности предоставлять информацию по запросу уполномоченных органов», — заявил сенатор.

В комментарии РИА Новости Артём Шейкин заверил, что угрозы штрафов не будет для тех, кто использует средства подмены адресов для доступа к заблокированному контенту, но при этом не нарушает законодательство — в частности, не распространяет запрещённые материалы. Ответственность в таком случае понесёт оператор или владелец сервиса.

«Обычный просмотр страниц, даже материалов иноагентов или "сомнительных лиц", если они не внесены в соответствующий список, не является нарушением», — подчеркнул сенатор.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru