Daugiau nei 28 000 žmonių iš Rusijos, Turkijos, Ukrainos ir kitų Eurazijos regiono šalių nukentėjo nuo plataus masto kriptovaliutų vagysčių kenkėjiškų programų kampanijos.
Kenkėjiškų programų kampanija užmaskuojama kaip teisėta programinė įranga, reklamuojama per „YouTube“ vaizdo įrašus ir apgaulingas „GitHub“ saugyklas, kuriose aukos atsisiunčia slaptažodžiu apsaugotus archyvus, kurie inicijuoja infekciją.
Anot kibernetinio saugumo įmonės „Dr. Web“, kampanija naudoja piratinę su biuru susijusią programinę įrangą, žaidimų gudrybes ir įsilaužimus ir netgi automatizuotus prekybos robotus, kad apgautų vartotojus, kad jie atsisiųstų kenkėjiškus failus.
„Iš viso ši kenkėjiškų programų kampanija paveikė daugiau nei 28 000 žmonių, kurių didžioji dauguma yra Rusijos gyventojai“, – sakė dr.
„Didelis užsikrėtimų skaičius taip pat buvo pastebėtas Baltarusijoje, Uzbekistane, Kazachstane, Ukrainoje, Kirgizijoje ir Turkijoje.
Šaltinis: Dr. Web
Infekcijos grandinė
Infekcija prasideda atidarius savaime išsiskleidžiantį archyvą, kuris išvengia antivirusinių nuskaitymų, kai atsisiunčiamas, nes yra apsaugotas slaptažodžiu.
Nukentėjusiajam įvedus pateiktą slaptažodį, archyvas išmeta įvairius užmaskuotus scenarijus, DLL failus ir AutoIT interpretatorių, naudojamą paleisti skaitmeniniu parašu pasirašytą pagrindinio naudingojo krovinio įkroviklį.
Kenkėjiška programa tikrina, ar nėra derinimo įrankių, kad sužinotų, ar ji veikia analitiko aplinkoje, ir nutraukia veiklą, jei tokių randama.
Tada jis ištraukia failus, reikalingus tolesniems atakos etapams, ir naudoja vaizdo failų vykdymo parinkčių (IFEO) metodą, kad pakeistų „Windows“ registrą, kad jis išliktų.
Trumpai tariant, jis užgrobia teisėtas „Windows“ sistemos paslaugas, taip pat „Chrome“ ir „Edge“ atnaujinimo procesus su kenkėjiškais, todėl kenkėjiškų programų failai paleidžiami paleidus šiuos procesus.
„Windows“ atkūrimo paslauga išjungta, o kenkėjiškų programų failų ir aplankų „ištrinimo“ ir „keitimo“ leidimai atšaukiami, kad būtų išvengta bandymų išvalyti.
Nuo tada Ncat tinklo programa naudojama ryšiui su komandų ir valdymo (C2) serveriu užmegzti.
Kenkėjiška programa taip pat gali rinkti sistemos informaciją, įskaitant vykdomus saugos procesus, kuriuos ji išfiltruoja per „Telegram“ robotą.
Šaltinis: Dr. Web
Finansinis poveikis
Kampanija pristato du pagrindinius krovinius į aukų mašinas. Pirmasis yra „Deviceld.dll“, modifikuota .NET biblioteka, naudojama „SilentCryptoMiner“, kuri išgauna kriptovaliutą naudodama aukos skaičiavimo išteklius, vykdyti.
Antroji naudingoji apkrova yra „7zxa.dll“, modifikuota 7 ZIP biblioteka, kuri veikia kaip kirpimo priemonė, stebinti „Windows“ iškarpinę, ar nėra nukopijuotų piniginės adresų, ir pakeičianti juos adresais, kuriuos valdo užpuolikas.
Dr. Web ataskaitoje nenurodė galimo kasybos pelno iš 28 000 užkrėstų mašinų, tačiau nustatė, kad vien kirpimo mašina užgrobė 6 000 USD vertės sandorius, nukreipdama sumą į užpuoliko adresus.
Kad išvengtumėte netikėtų finansinių nuostolių, atsisiųskite programinę įrangą tik iš oficialios projekto svetainės ir užblokuokite arba praleiskite reklamuojamus rezultatus „Google“ paieškoje.
Be to, būkite atsargūs bendrindami nuorodas „YouTube“ ar „GitHub“, nes šių platformų teisėtumas negarantuoja atsisiuntimo paskirties vietos saugumo.
