Μια νέα παραλλαγή malware με χαμηλό ποσοστό ανίχνευσης, ικανή να παραδώσει πολλαπλάσια Trojan σε μολυσμένα συστήματα, έχει αποκαλυφθεί από τους ερευνητές.
Αυτή την εβδομάδα, η ομάδα του Cybersecurity στο Fortinet είπε ότι ένα πρόσφατο δείγμα αποκαλύπτει ότι το νέο malwrare έχει σχεδιαστεί για να εκχωρηθεί τόσο το RevengeRAT όσο και το WSHRAT σε ευάλωτα συστήματα Windows.
Το συγκεκριμένο δείγμα ξεκινά την διαδικασία μόλυνσης με κώδικα JavaScript και κωδικοποιημένες με URL πληροφορίες που περιέχονται σε ένα πρόγραμμα επεξεργασίας κειμένου. Μόλις αποκωδικοποιήθηκαν, η ομάδα βρήκε το VBScript γεμάτο με αντικαταστάσεις χαρακτήρων.
Αυτός ο κώδικας VBScript είναι στη συνέχεια σε θέση να καλέσει ένα αντικείμενο Shell.Application που δημιουργεί ένα νέο αρχείο script, A6p.vbs, το οποίο συγκεντρώνει ένα payload- ένα πρόσθετο VBScript – από μια εξωτερική πηγή.
Τα strings του νέου κώδικα, τα οποία είναι επίσης συγκεχυμένα σε πιθανή προσπάθεια αποφυγής ανίχνευσης, “τραβούν” ένα script αρχείο που ονομάζεται Microsoft.vbs από έναν απομακρυσμένο server και το αποθηκεύουν στον προσωρινό φάκελο των Windows.
Μόλις εκτελεστεί ο προαναφερθείς κώδικας, δημιουργεί ένα νέο αντικείμενο WScript.Shell και συλλέγει περιβάλλον OS και δεδομένα με κωδικοποίηση, τα οποία τελικά θα τερματίσουν στην εκτέλεση του νεοδημιουργημένου script (GXxdZDvzyH.vbs) καλώντας τον interpreter VBScript με το” // B “παράμετρος”, λένε οι ερευνητές. “Αυτό ενεργοποιεί το “batch-mode” και απενεργοποιεί τυχόν προειδοποιήσεις ή ειδοποιήσεις που μπορεί να προκύψουν κατά την εκτέλεση.”
Στη συνέχεια, προστίθεται ένα νέο κλειδί στο μητρώο των Windows, οι εντολές PowerShell εκτελούνται για να παρακάμψουν τις πολιτικές εκτέλεσης και αναπτύσσεται το payload Revenge RAT.
Το Revenge RAT είναι ένα Trojan που έχει συνδεθεί προηγουμένως με καμπάνιες που στόχευαν σε χρηματοπιστωτικά ιδρύματα, κυβερνήσεις και εταιρείες IT.
Αφού εγκατασταθεί από το νέο malware dropper, το Revenge RAT συνδέεται με δύο command-and-control (C2) servers και συλλέγει δεδομένα συστήματος από το θύμα πριν μεταφέρει αυτές τις πληροφορίες στα C2s.
Οι διευθύνσεις IP, τα δεδομένα όγκου, τα ονόματα μηχανών, τα ονόματα χρηστών, δεδομένα CPU, γλώσσα και πληροφορίες σχετικά με προϊόντα προστασίας από ιούς και εγκαταστάσεις τείχους προστασίας έχουν κλαπεί.
Το Trojan είναι επίσης σε θέση να λαμβάνει εντολές από ένα C2 για να φορτώσει κακόβουλο κώδικα ASM στη μνήμη για επιπλέον exploits.
Ωστόσο, η ανάπτυξη ενός Trojan δεν είναι το τέλος της αλυσίδας της επίθεσης. Το “malware dropper” εκτελεί επίσης WSH RAT ως payload, χρησιμοποιώντας το ίδιο script Microsoft.vbs – με λίγες τροποποιήσεις.
Το WSH RAT διανέμεται συχνά ενεργά σε μηνύματα ηλεκτρονικού “ψαρέματος” (phishing) τα οποία μεταδίδονται ως γνωστές τράπεζες. Το Trojan πωλείται δημόσια σε απευθείας σύνδεση σε βάση συνδρομής σε φορείς απειλής.
Έχει φορτωθεί η έκδοση 1.6 του WSH RAT και αυτό το malware περιέχει περισσότερες λειτουργίες από το αντίστοιχο του, συμπεριλαμβανομένων των μεθόδων διατήρησης του persistence, της κλοπής δεδομένων και της επεξεργασίας πληροφοριών.
Μεταξύ των 29 λειτουργιών είναι η δυνατότητα ελέγχου των δικαιωμάτων του τρέχοντος χρήστη και “ανάλογα με το ποια χρησιμοποιούνται, θα παραμείνει ως έχει ή θα «ανυψωθεί» (startupElevate ()) σε υψηλότερο επίπεδο πρόσβασης χρηστών”, λένε οι ερευνητές.
Το Trojan θα εκτελέσει επίσης έλεγχο ασφάλειας για να απενεργοποιήσει το τρέχον περιβάλλον ασφαλείας.
Το WSH RAT επικεντρώνεται στην κλοπή πληροφοριών που συλλέγονται από δημοφιλή προγράμματα περιήγησης, όπως το Google Chrome και το Mozilla Firefox. Ωστόσο, το malware περιέχει επίσης άλλα χαρακτηριστικά, όπως την εκτέλεση αρχείων, την επανεκκίνηση του μηχανήματος θύματος, την κατάργηση της εγκατάστασης προγραμμάτων και το keylogging.
Αξίζει επίσης να σημειωθεί ότι στον χώρο του κακόβουλου λογισμικού αυτό το μήνα είδαμε το Emotet με νέες λειτουργίες. Το modular malware, το οποίο έχει αποδειχθεί δημοφιλές στους κυβερνοεγκληματίες, τώρα φαίνεται να χρησιμοποιεί νέες τακτικές.
