Cinoshi MaaS: майнер, клиппер, бот и бесплатный стилер в одном флаконе

Cinoshi MaaS: майнер, клиппер, бот и бесплатный стилер в одном флаконе

Cinoshi MaaS: майнер, клиппер, бот и бесплатный стилер в одном флаконе

Эксперты Cyble обнаружили на хакерском форуме рекламу нового MaaS-сервиса (Malware-as-a-Service, вредонос как услуга) — Cinoshi Project. Подписчикам предлагают инфостилер на безвозмездной основе, что сильно снижает планку для неискушенных преступников.

Более того, вредоноса можно кастомизировать, добавив в сборку оплаченный клиппер или бот-загрузчик. Тулкит Cinoshi также можно использовать для установки криптомайнера, приобретенного по бессрочной подписке. Примечательно, что плата во всех случаях взимается в долларах или рублях.

 

Бесплатный инфостилер снабжен веб-панелью с билдером, позволяющим интегрировать дополнительные функции. Ее необязательно размещать на сервере, для сборки можно воспользоваться консолью разработчика.

Согласно объявлению, Cinoshi-стилер умеет собирать системную информацию, делать скриншоты, захватывать фото с веб-камеры и воровать данные из множества приложений. Обфускации или шифрования кода бесплатная подписка не предусматривает, за такие услуги придется заплатить 300 рублей.

Проведенный в Cyble анализ образца (32-битный бинарник .Net, уровень детектирования 46/68 на 23 марта) подтвердил заявленные функции кражи данных. Изучение веб-панели выявило опцию получения уведомлений в Telegram, а также возможность блокировки исполнения кода в странах бывшего СНГ (геолокацию по IP вредонос получает обращением на легитимный спецсервис).

 

В качестве мер противодействия анализу Cinoshi-стилер использует обфускацию, изменяет свой код в ходе исполнения, а также генерирует сообщения об ошибке при применении автоматических деобфускаторов.

Проникнув в систему, зловред создает папку ChromeUpdater в каталоге AppData\Roaming и исполняется по этому пути под именем chrome.exe, прописавшись на автозапуск. Нужные зависимости он получает с C2-сервера в домене anaida.evisyn[.]lol и выполняет свои задачи в многопоточном режиме.

Краденые данные сохраняются не на диске, а в памяти с помощью MemoryStream. Для их вывода в папке AppData\Local\ создается архивный файл Arch666.zip. Туда помещаются также файлы, найденные на рабочем столе жертвы (.txt, .doc, .mafile, .rdp, .jpg, .png, .db весом менее 1 Мбайт). После эксфильтрации ZIP-архив удаляется, чтобы скрыть следы вредоносной активности.

Клиппер Cinoshi нацелен на кошельки Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Neocoin, Bitcoin Cash и Dashcoin. Он также ищет в буфере обмена трейд-ссылки Steam; списки адресов для подмены обновляются обращением на тот же C2.

Криптомайнер, предоставляемый в рамках MaaS-сервиса, добывает эфиры и монеро. В веб-панели можно задать уровень загрузки CPU, данные кошельков, период активности. Для загрузки такого экзешника из anaida.evisyn[.]lol инфостилер создает в папке AppData\Local файл UpdateLinks со ссылками и инструкциями.

Полученный файл сохраняется в ту же папку под произвольным именем (числа от 111111 to 999999). Все связанные с загрузкой изменения можно отыскать в журнале WinUpdateLog в папке AppData\Roaming. Завершив операцию, стилер засыпает на пять минут, чтобы не выдать свое присутствие.

Майнер копирует себя в папку C:\Program Files\Google\Chrome\ под именем updater.exe и выполняет множество PowerShell-команд для устранения препятствий. В частности, он добавляет нужные для работы папки (UserProfile и Program Files) в список исключений Microsoft Defender и останавливает службу обновления Windows, а также обеспечивает себе автозапуск, создавая новое запланированное задание.

Изучить бот Cinoshi аналитикам не удалось. По словам продавца, он в основном предназначен для загрузки и запуска других зловредов и с этой целью умеет прописывать их на автозапуск и изменять список исключений Defender.

Похожий MaaS-сервис эксперты Cyble обнаружили в прошлом году. Вначале ассортимент Eternity Project включал инфостилер, клиппер, криптомайнер, червь и шифровальщик, позднее был добавлен DDoS-бот.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Платформа Сфера теперь доступна в формате SaaS

На ежегодной конференции «НОТА ДЕНЬ» ИТ-холдинг Т1 представил SaaS-версию своей платформы «Сфера». Новая модель не требует локальной установки — для работы достаточно веб-браузера, а все обновления и вопросы безопасности находятся в зоне ответственности разработчика.

Функционально SaaS-версия не отличается от других вариантов развертывания платформы. В её состав входят следующие модули:

  • Сфера.Задачи — инструмент для управления проектами, задачами, статусами и отчетностью;
  • Сфера.Знания — централизованная база знаний с гибкой системой разграничения доступа;
  • Сфера.Код — репозиторий исходного кода с функциями ревью, контроля изменений и истории;
  • Сфера.Дистрибуция и лицензии — модуль для управления релизами, сборками и лицензиями.

Платформа размещена как на инфраструктуре холдинга Т1, так и на мощностях сторонних центров обработки данных. Все используемые площадки соответствуют требованиям российского законодательства, включая нормы по защите персональных данных. Обеспечивается шифрование данных на всех уровнях, аудит пользовательской активности, разграничение прав на основе ролевой модели и регулярное резервное копирование.

Платформа поддерживает интеграции с корпоративными системами через REST API и Webhooks. Также реализованы коннекторы к инструментам CI/CD и внутренним системам трекинга задач. Предусмотрен импорт данных из популярных решений, таких как Jira, GitHub, Confluence и SVN.

Как отмечает руководитель производственного блока вендора НОТА Юрий Мацыгин, SaaS-модель предназначена для компаний, которые не располагают собственной ИТ-инфраструктурой, но заинтересованы в использовании инструментов платформы. Такой подход позволяет упростить запуск, обеспечить масштабируемость и снизить издержки на внедрение, при этом ускоряя вывод цифровых продуктов на рынок.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru