Emotet reaktywacja

Zespół badaczy Trustwave SpiderLabs zidentyfikował wzrost zagrożeń w archiwach chronionych hasłem, przy czym około 96% z nich jest spamowanych przez botnet Emotet. W pierwszej połowie 2022 r. Trustwave SpiderLabs zidentyfikował pliki ZIP chronione hasłem jako trzeci najpopularniejszy format archiwum używany przez cyberprzestępców do ukrywania złośliwego oprogramowania. Jest to bardzo istotne, ponieważ jedną z najtrudniejszych przeszkód, na jakie napotykają cyberprzestępcy prowadząc tego typu kampanię spamową, jest przekonanie ofiary do otwarcia archiwum przy użyciu dostarczonego hasła. Zespół SpiderLabs zauważył interesujący załącznik w kampanii spamowej. Zamaskowany jako faktura załącznik w formacie ZIP lub ISO zawierał zagnieżdżone samorozpakowujące się archiwum (SFX). Pierwszym archiwum jest RAR SFX (RARsfx), którego jedynym celem jest wykonanie drugiego RARsfx zawartego w nim samym. Drugi plik RARsfx jest chroniony hasłem, ale mimo to do wyodrębnienia i wykonania jego zawartości nie są potrzebne żadne działania użytkownika.

Rysunek 1 : Przykładowy e-mail rozpakowany za pomocą MailMarshal. Źródło Trustwave SpiderLabs

Głównym czynnikiem sukcesu dostarczania zagrożeń za pośrednictwem plików chronionych hasłem, takich jak Emotet, jest „intuicja” odbiorcy wiadomości e-mail. Należy nakłonić użytkownika do otwarcia archiwum za pomocą hasła zawartego w e-mailu. Poniższy przykład opisuje kampanię, która próbuje ominąć tę przeszkodę polegającą na dostarczeniu hasła.

Zagnieżdżony samorozpakowujący się RAR

Archiwa samorozpakowujące są powszechnie używane do dystrybucji złośliwego oprogramowania. Ustawienie archiwum jako SFX sprawia, że ​​archiwum jest wykonywalne. Ten format archiwum jest wygodny, ponieważ zawartość archiwum można rozpakować bez użycia narzędzi do archiwizacji. Co ważne, w przypadku tego ataku, archiwa SFX zapewniają również możliwość uruchamiania poleceń skryptowych. Pierwsze archiwum SFX wykorzystuje ikonę PDF lub MS Excel, aby wyglądać wiarygodnie i składa się z trzech elementów:

  1. Plik wsadowy – program uruchamiający komponent RARsfx
  2. Archiwum RARsfx – chroniony hasłem kontener ładunku
  3. Obrazy lub plik PDF – plik wabika

Rysunek 2 : Polecenia skryptu i ikona RARsfx zawarte w załączniku Payment.gz z rysunku 1. Źródło Trustwave SpiderLabs

Polecenia skryptowe z nadrzędnego pliku RARsfx dyskretnie wyodrębniają składniki do folderu %AppData% z nadpisanymi istniejącymi plikami. Następnie uruchamiane są dwa komponenty, najpierw plik wsadowy, a następnie obraz lub plik PDF.

Rysunek 3 : Przebieg procesu. Źródło Trustwave SpiderLabs

Wykonanie pliku wsadowego prowadzi do instalacji złośliwego oprogramowania ukrytego w chronionym hasłem RARsfx. Skrypt wsadowy określa hasło do archiwum i folderu docelowego, w którym zostanie wyodrębniony ładunek. Wraz z tym procesem wywoływany jest wiersz polecenia, a obraz wabika lub plik PDF próbuje ukryć to przed widocznością.

Rysunek 4 : Wiersz polecenia wywołany przez plik wsadowy z RARsfx z rysunku 1. Źródło Trustwave SpiderLabs

Rysunek 5 : Złośliwy RARsfx w akcji z wabikiem obrazu. Źródło Trustwave SpiderLabs

Niektóre archiwa RARsfx nie mają pliku wabika, a docelowa ścieżka komponentów RARsfx jest zmieniana na folder %temp% .

Rysunek 6 : Przykładowa wiadomość e-mail zawierająca RARsfx bez komponentu wabika. Źródło Trustwave SpiderLabs

Ładunek

Chroniony hasłem plik RARsfx zawiera jeden plik, wykonywalny ładunek. Plik wykonywalny jest wyodrębniany i wykonywany z folderu %AppData% . Wszystkie pliki wykonywalne w są skompilowane na platformie .NET i ukryte za pomocą ConfuserEX, darmowej ochrony aplikacji .NET o otwartym kodzie źródłowym. Zaobserwowane ładunki to CoinMiner i QuasarRat.

Rysunek 7 : Ładunek CoinMiner ze spamu z rysunku 1. Źródło Trustwave SpiderLabs

CoinMiner to zagrożenie, które służy do kopania kryptowaluty przy użyciu zasobów zainfekowanego systemu. To złośliwe oprogramowanie może również posłużyć do kradzieży poświadczeń, gdyż może odczytywać dane użytkownika w przeglądarkach internetowych i uzyskiwać dostęp do profili programu Microsoft Outlook. Taką wszechstronność osiąga się dzięki modułowej konstrukcji, a od serwera dowodzenia i kontroli lub operatora zależy, jakie zadanie należy wykonać. W przeanalizowanych przez Trustwave SpiderLabs próbkach, po uruchomieniu CoinMinera, jego kopia jest tworzona w folderze %AppData%, a skrypt VBS w lokalizacji startowej jako mechanizm trwałości. CoinMiner używa Windows Management Instrumentation (WMI) do zbierania informacji z systemu, takich jak informacje o sprzęcie i zainstalowane oprogramowanie antywirusowe. Taka technika jest często wykorzystywana, aby uniknąć Sandbox’a i utrudnić analizę. W dodatku korzystał z bezpłatnych dynamicznych domen DNS, w celu uzyskania dostępu do swojego serwera C2. Innym ładunkiem, na który natknął się, zespół badaczy był Quasar RAT, jest trojanem zdalnego dostępu (RAT) o otwartym kodzie źródłowym, który jest dostępny publicznie w serwisie GitHub. Quasar RAT jest szeroko stosowany w kampaniach prowadzonych przez cyberprzestępców i jest narzędziem wybieranym ze względu na jego potężne możliwości. W próbce Quasar użyto domeny hakera i bezpłatnej domeny dynamicznego DNS w celu uzyskania dostępu do jego serwera C2. Jego mutex jest zgodny z domyślnym wzorcem Quasar, „QSR_MUTEX_[0-9A-Za-z]{18}”.

Wnioski

Samorozpakowujące się archiwum istnieje od dłuższego czasu i ułatwia dystrybucję plików wśród użytkowników końcowych. Stanowi jednak bardzo duże zagrożenie bezpieczeństwa, ponieważ zawartość pliku nie jest łatwa do zweryfikowania i może dyskretnie uruchamiać polecenia i pliki wykonywalne. Opisana powyżej technika ataku wymaga tylko jednego kliknięcia, a do rozpowszechniania nie jest wymagane wprowadzanie hasła. W rezultacie cyberprzestępcy mogą przeprowadzać wiele ataków, takich jak przechwytywanie kryptowalut, kradzież danych, ransomware itp.