Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Обновленный CopperStealer ищет C2 на Pastebin, а добычу грузит в Telegram

Специалисты Trend Micro проанализировали новую версию CopperStealer и обнаружили, что его C2-инфраструктура сильно изменилась. Операторы вредоноса отказались от DGA и CDN-прокси и теперь размещают зашифрованный файл конфигурации на Pastebin, а IP-адреса прячут по методу fast flux. Вывод краденых данных инфостилер осуществляет через Telegram.

По данным экспертов, Windows-зловред CopperStealer применяется в атаках с конца 2019 года. Он распространяется через редиректы на пиратских сайтах по схеме PPI (pay-per-install, с платой за каждую установку). Чтобы уберечь вредоносный довесок к кряку от обнаружения, злоумышленники используют шифрование и сжатие (ZIP).

Инфостилер также умеет откатывать свое исполнение в песочнице, под отладчиком и на компьютерах, по умолчанию использующих китайский язык. Его основной задачей является кража учетных данных и куки из браузеров; в прошлом году CopperStealer живо интересовался учетками Facebook и Google с целью распространения непрошеной рекламы и устанавливал adware-расширения браузеров.

Проведенный в Trend Micro анализ показал, что обновленный зловред по-прежнему использует шелл-код в качестве точки входа и криптор на базе XOR для сокрытия полезной нагрузки второй ступени — DLL, упакованной с помощью UPX. В этот дроппер встроены два файла, сжатых с помощью 7-Zip: build.exe и shrdp.exe. Первый компонент предназначен для кражи данных из браузеров, второй — для обеспечения доступа к зараженной машине по RDP.

При запуске build.exe устанавливает свой сертификат в соответствующую папку текущего пользователя, затем извлекает из реестра Windows значение ключа MachineGuid и использует его как имя папки, в которой будут сохраняться куки и пароли, украденные из следующих браузеров:

  • Brave
  • Chrome
  • Chromium
  • Edge
  • Firefox
  • Opera
  • Яндекс.Браузер

Вредоноса также интересуют мессенджеры (Telegram, Discord, Elements), почтовые клиенты (Outlook, Thunderbird) и Steam. Всю добычу CopperStealer архивирует, запароливает и выгружает в отдельный Telegram-канал, отсылая оператору уведомление об успешном выполнении задачи.

Модуль shrdp.exe расшифровывает C2-адрес, хранящийся на Pastebin, регистрирует ID зараженной машины и периодически сигналит серверу о готовности к выполнению команд. Аккаунт Pastebin был создан в марте под именем Javalinkcrash; он содержит единственный фрагмент текста, который запрашивали 23 тыс. раз — по этой статистике можно судить о количестве заражений новой версией CopperStealer.

Из поддерживаемых задач shrdp.exe выявлены install и killme. При выполнении первой на машине создается новый скрытый аккаунт пользователя, который добавляется в группу админов и RDP.

В рамках install вредоносный компонент также отключает файрвол и проверку подлинности сетевого уровня (NLA), а затем извлекает из ресурсов и устанавливает оболочку RDP, OpenVPN, утилиту-загрузчик MiniThunderPlatform и n2n (инструмент для создания виртуальных сетей). Чтобы скрыть эти файлы от Microsoft Defender, модуль shrdp.exe добавляет всю папку в список исключений.

Задача killme предусматривает принудительное завершение запущенных процессов, удаление файлов и пользователей, совершивших вход, сброшенных или добавленных в ходе выполнения install.

Изменение командной инфраструктуры CopperStealer, по всей видимости, было вызвано подрывом прежней. В прошлом году ИБ-эксперты при поддержке крупных сервис-провайдеров провели sinkhole-операцию с целью пресечь дальнейшее распространение инфостилера, проникшего в 159 стран (в основном в Индию, Индонезию, Бразилию, Пакистан и на Филиппины).

На тот момент вредонос отыскивал C2, генерируя домены по DGA, а для сокрытия серверов злоумышленники использовали прокси-возможности Cloudflare. Теперь CopperStealer получает C2-адрес, обращаясь к странице Pastebin, а вместо CDN-прокси его хозяева применяют fast flux — подпольный DNS-сервис, позволяющий динамически перерегистрировать домены/IP и вдобавок использовать слой проксирования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Как распознать инсайдера в офисе: эксперты назвали пять признаков

Как выяснили специалисты, одним из признаков того, что сотрудник может пытаться «слить» корпоративные данные, является его интерес к делам, не входящим в сферу его обязанностей. Всего эксперты насчитали пять таких признаков.

Директор по продукту компании Staffcop Даниил Бориславский в интервью «Газете.Ru» перечислил пять признаков потенциального инсайдера с недобрыми намерениями.

Он подчеркнул, что злоумышленник не будет действовать открыто — воровать документы или явно обходить системы безопасности. Вместо этого он попытается замаскировать свои действия под обычную рабочую активность. Тем не менее существуют признаки, позволяющие распознать опасность на раннем этапе.

Первым признаком, по словам Бориславского, является повышенный интерес сотрудника к внутреннему устройству корпоративной сети и системам безопасности. Особенно это настораживает, если подобные вопросы задаёт рядовой сотрудник, в чьи должностные обязанности это не входит — и делает это слишком часто или с чрезмерной настойчивостью.

Второй признак — частое подключение к рабочему компьютеру личных накопителей, таких как флешки или внешние жёсткие диски. Также насторожить должны попытки самостоятельно разбирать системный блок или ноутбук, а также просьбы о предоставлении повышенных прав доступа — например, для установки программ. По словам Бориславского, это может свидетельствовать о попытках обойти контроль.

Третий признак — использование личного компьютера для рабочих задач, в том числе прямо в офисе. Сюда же относятся заявления о пропаже служебных устройств — ноутбуков или планшетов. За такими случаями может скрываться передача техники на анализ хакерам или конкурентам.

Четвёртый признак — попытки получить доступ к данным, не относящимся к непосредственным обязанностям сотрудника. Особенно это вызывает подозрение, если человек при этом активно интересуется ситуацией в других отделах или явно стремится к такой осведомлённости.

Пятый признак — избыточная активность на рабочем месте. Например, если сотрудник регулярно печатает большие объёмы документов, навещает серверные помещения, хотя его работа никак с этим не связана. Также тревожными сигналами являются ранние приходы в офис и задержки после окончания рабочего дня.

При этом Бориславский отметил, что обнаружить «крота» среди руководителей значительно сложнее, чем среди рядовых сотрудников. Руководители и так имеют доступ ко всем нужным данным, поэтому их действия не вызывают подозрений.

«Самые частые причины утечек у управленцев — это деньги, конфликты или банальная халатность. Коммерческий директор перед увольнением может скачать клиентскую базу, финансовый — использовать инсайдерскую информацию для личной выгоды, а кто-то просто возьмёт ноутбук домой, даст его супругу, и конфиденциальные данные окажутся в облаке», — отметил эксперт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru