Боты Tsundere приходят под видом шутера и прячут C2 в сети Ethereum

Этим летом эксперты «Лаборатории Касперского» обнаружили новый ботнет и нарекли его Tsundere (имя значилось на странице входа в панель управления). Как оказалось, лежащий в его основе Windows-зловред полагается на Node.js и блокчейн-технологии.

Способ распространения Tsundere доподлинно неизвестен. В одном из случаев злоумышленники использовали легитимный RMM-инструмент для загрузки поддельного установщика Windows (pdf.msi) с взломанного сайта.

Имена некоторых семплов — valorant, r6x (Rainbow Six Siege X), and cs2 (Counter-Strike 2) — свидетельствуют о возможности раздачи вредоноса под видом пиратских копий популярных игр для Windows.

Загруженный MSI-файл развертывает в зараженной системе Node.js и запускает скрипт, который расшифровывает (AES-256 CBC) и инициирует исполнение основной полезной нагрузки. Для подготовки рабочей среды и обеспечения персистентности этот загрузчик, используя команду npm install, скачивает легитимные пакеты ws (связь через WebSocket), ethers (взаимодействие с блокчейном) и pm2 (управление процессами Node.js).

Анализ C2-панели Tsundere (на тот момент позволяла контролировать от 90 до 115 ботов) показал, что в качестве лоадера также может использоваться скрипт PowerShell, выполняющий те же действия, что и фейковый MSI, кроме использования pm2; библиотеки ws и ethers при этом подключаются как зависимости.

Обмен с C2-сервером осуществляется через WebSocket; его адрес боты отыскивают, используя блокчейн Ethereum. Подобный порядок обеспечивает ротацию инфраструктуры: авторы атак просто создают новый смарт-контракт.

После извлечения C2-адреса бот Tsundere проверяет прописку зараженного компьютера и, если это не одна из стран СНГ, устанавливает WebSocket-соединение для получения команд и JavaScript-кодов, подлежащих выполнению. К сожалению, в ходе тестирования выявить дальнейшее развитие атаки не удалось.

Очевидный запрет на использование Tsundere против жителей СНГ и наличие русскоязычных слов в его исходниках свидетельствуют о том, что разработчик нового зловреда может базироваться в этом регионе.

В пользу этой гипотезы также говорит тот факт, что C2-панели нового ботнета размещены на сервере, используемом как центр управления 123 Stealer — написанного на C++ коммерческого трояна, который тоже обходит стороной Россию и другие страны СНГ.

Индикаторы компрометации:

Хеш-суммы файлов:

235A93C7A4B79135E4D3C220F9313421
 760B026EDFE2546798CDC136D0A33834
 7E70530BE2BFFCFADEC74DE6DC282357
 5CC5381A1B4AC275D221ECC57B85F7C3
 AD885646DAEE05159902F32499713008
 A7ED440BB7114FAD21ABFA2D4E3790A0
 7CF2FD60B6368FBAC5517787AB798EA2
 E64527A9FF2CAF0C2D90E2238262B59A
 31231FD3F3A88A27B37EC9A23E92EBBC
 FFBDE4340FC156089F968A3BD5AA7A57
 E7AF0705BA1EE2B6FBF5E619C3B2747E
 BFD7642671A5788722D74D62D8647DF9
 8D504BA5A434F392CC05EBE0ED42B586
 87CE512032A5D1422399566ECE5E24CF
 B06845C9586DCC27EDBE387EAAE8853F
 DB06453806DACAFDC7135F3B0DEA4A8F

Путь к файлам:

%APPDATA%\Local\NodeJS

Домены и IP-адреса:

ws://185.28.119[.]179:1234
 ws://196.251.72[.]192:1234
 ws://103.246.145[.]201:1234
 ws://193.24.123[.]68:3011
 ws://62.60.226[.]179:3001

Криптовалютные кошельки:

0x73625B6cdFECC81A4899D221C732E1f73e504a32
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0xEc99D2C797Db6E0eBD664128EfED9265fBE54579
 0xf11Cb0578EA61e2EDB8a4a12c02E3eF26E80fc36
 0xdb8e8B0ef3ea1105A6D84b27Fc0bAA9845C66FD7
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84
 0x46b0f9bA6F1fb89eb80347c92c9e91BDF1b9E8CC

Примечание. Эти кошельки изменяли адрес командного сервера в смарт-контракте.