Недавно мы обнаружили новую кампанию, которую мы назвали «Операция Overtrap» за многочисленные способы заражения или захвата жертв своей полезной нагрузкой. Кампания в основном нацелена на онлайн-пользователей различных японских банков путем кражи их банковских учетных данных с использованием трехэтапной атаки. Опираясь на нашу телеметрию, операция Overtrap была активна с апреля 2019 года и предназначалась исключительно для пользователей онлайн-банкинга, расположенных в Японии. Наш анализ показал, что эта кампания использует три различных вектора атаки для кражи банковских учетных данных своих жертв:
Рисунок 1. Операция Overtrap трехступенчатой атаки
В этом блоге мы расскажем о том, как мы обнаружили кампанию, и представим новенького банковского трояна Cinobi. Между тем, в нашем
Технический анализ
Обнаружение операции Overtrap
Впервые мы обнаружили кампанию в сентябре 2019 года, используя неопознанный набор эксплойтов. Согласно нашим данным, операция «Оверрап» использует спам-сообщения для доставки своей полезной информации жертвам уже в апреле 2019 года.
В середине сентября мы наблюдали, как значительное число жертв было перенаправлено на набор эксплойтов, предназначенный для Internet Explorer, после того, как они нажали на ссылки с платформ социальных сетей. Однако следует отметить, что способ, которым жертвы получали ссылки, не был идентифицирован. Стоит также отметить, что операция «Overtrap», похоже, нацелена только на японских пользователей онлайн-банкинга; он перенаправляет жертв с другими геолокациями в поддельный интернет-магазин.
После анализа мы увидели, что набор эксплойтов сбрасывает только чистый двоичный файл, который не выполняет вредоносных действий на устройстве жертвы. Это также немедленно закрывается после инфекции. До сих пор неясно, почему субъекты угрозы, стоящие за операцией «Острый ловушка», изначально поставили чистый двоичный файл; Возможно, они тестировали свой пользовательский набор эксплойтов на этом этапе разработки кампании.
Рисунок 2. Снимок экрана, показывающий сетевой трафик набора эксплойтов в сентябре 2019 г.
Рисунок 3. Снимок экрана, на котором показан чистый файл, удаленный с помощью эксплойта Operation Overtrap
Пользовательский набор эксплойтов Operation Overtrap: Набор эксплойтов для бутылок
29 сентября 2019 года мы заметили, что набор эксплойтов перестал отбрасывать чистый файл, и вместо этого доставил совершенно новый банковский троян, который мы назвали «Cinobi». Мы также отметили, что субъекты угрозы, стоящие за «Операцией« Захват », перестали перенаправлять жертв из социальных сетей и начали использовать кампанию вредоносной рекламы, нацеленную на Японию, для продвижения своего специального набора эксплойтов.
Другой исследователь позже обнаружил пользовательский набор эксплойтов, который получил название
Рисунок 4. Активность набора эксплойтов, наблюдаемая в Японии в феврале 2020 года (данные получены из Trend Micro Smart Protection Network ™)
Совершенно новое банковское вредоносное ПО: Cinobi
Операция Overtrap использовала новое банковское вредоносное ПО, которое мы решили назвать Cinobi. Основываясь на нашем анализе, у Cinobi есть две версии - первая имеет полезную нагрузку для вставки библиотеки DLL, которая ставит под угрозу веб-браузеры жертв для выполнения захвата форм.
Эта версия Cinobi также может изменять веб-трафик, отправляемый и получаемый с целевых веб-сайтов. Наше расследование показало, что все сайты, на которые была нацелена эта кампания, принадлежали банкам из Японии.
Помимо захвата форм, он также имеет функцию веб-инъекции, которая позволяет киберпреступникам изменять доступные веб-страницы. Вторая версия обладает всеми возможностями первой, а также возможностью связи с командно-контрольным (C & C) сервером через прокси-сервер Tor.
Четыре стадии заражения Cinobi
Каждый из четырех этапов Cinobi содержит зашифрованный независимый от позиции шелл-код, который немного усложняет анализ. Каждый этап загружается с сервера C & C после выполнения определенных условий.
Начальная ступень
Первый этап цепочки заражения Cinobi, который также был
Рисунок 5. Экран проверки Cinobi для определения языковых настроек устройства с помощью «GetUserDefaultUILanguages»
Затем Cinobi загрузит законные приложения unzip.exe и Tor из следующих мест:
Рисунок 6. Снимок экрана .JPG-файла, который содержит имя файла загрузчика первого этапа
После этого Cinobi запустит второй этап загрузки на машине жертвы.
Рисунок 7. Экран кода, показывающий, что Cinobi запускает второй этап загрузки на компьютере жертвы.
Вторая стадия
Cinobi подключится к своему C & C-серверу, чтобы загрузить и расшифровать файл для третьего этапа своей цепочки заражения. Мы заметили, что имя файла третьего этапа начинается с буквы C, за которой следуют случайные символы. После этого он загрузит и расшифрует файл для четвертого этапа, имя файла которого начинается с буквы А, за которой следуют случайные символы.
После этого Cinobi загрузит и расшифрует файл конфигурации (<random_name> .txt), который содержит новый адрес C & C.
Cinobi использует шифрование RC4 с жестко закодированным ключом.
Рисунок 8. Скриншот кода, показывающего декодированный файл конфигурации Cinobi
Затем Cinobi запустит загруженный файл заражения третьей стадии, используя метод обхода UAC через
Третий этап
На третьем этапе заражения Cinobi будет копировать файлы вредоносных программ из «\ AppData \ LocalLow \» в папку «% PUBLIC%». Затем он установит четвертый этап загрузчика (который был загружен на втором этапе) в качестве
Рисунок 9. Снимок экрана с кодом, показывающим установку четвертой стадии заражения на компьютере жертвы под названием «WSCInstallProviderAndChains»
Cinobi выполнит следующие действия:
Cinobi
Рисунок 10. Снимок экрана процессов, в которые был внедрен вредоносный провайдер DLL
Лучшие практики против спама и уязвимостей
Операция Overtrap использует множество векторов атак для кражи банковских учетных данных. Пользователи и организации должны применять
Организации получат выгоду от регулярного обновления систем (или использования
Источник:
- Отправляя спам-сообщения со ссылками на фишинг на страницу, замаскированную под банковский сайт
- Отправляя спам-письма с просьбой к жертвам запустить исполняемый файл скрытого вредоносного ПО, загруженный со связанной фишинг-страницы.
- Используя пользовательский набор эксплойтов для доставки вредоносных программ с помощью вредоносной рекламы
Рисунок 1. Операция Overtrap трехступенчатой атаки
В этом блоге мы расскажем о том, как мы обнаружили кампанию, и представим новенького банковского трояна Cinobi. Между тем, в нашем
Ссылка скрыта от гостей
задании обсуждается подробный анализ различных векторов атак, связанных с этой кампанией, и более глубокий анализ удаленных файлов конфигурации, а также функций Cinobi .Технический анализ
Обнаружение операции Overtrap
Впервые мы обнаружили кампанию в сентябре 2019 года, используя неопознанный набор эксплойтов. Согласно нашим данным, операция «Оверрап» использует спам-сообщения для доставки своей полезной информации жертвам уже в апреле 2019 года.
В середине сентября мы наблюдали, как значительное число жертв было перенаправлено на набор эксплойтов, предназначенный для Internet Explorer, после того, как они нажали на ссылки с платформ социальных сетей. Однако следует отметить, что способ, которым жертвы получали ссылки, не был идентифицирован. Стоит также отметить, что операция «Overtrap», похоже, нацелена только на японских пользователей онлайн-банкинга; он перенаправляет жертв с другими геолокациями в поддельный интернет-магазин.
После анализа мы увидели, что набор эксплойтов сбрасывает только чистый двоичный файл, который не выполняет вредоносных действий на устройстве жертвы. Это также немедленно закрывается после инфекции. До сих пор неясно, почему субъекты угрозы, стоящие за операцией «Острый ловушка», изначально поставили чистый двоичный файл; Возможно, они тестировали свой пользовательский набор эксплойтов на этом этапе разработки кампании.
Рисунок 2. Снимок экрана, показывающий сетевой трафик набора эксплойтов в сентябре 2019 г.
Рисунок 3. Снимок экрана, на котором показан чистый файл, удаленный с помощью эксплойта Operation Overtrap
Пользовательский набор эксплойтов Operation Overtrap: Набор эксплойтов для бутылок
29 сентября 2019 года мы заметили, что набор эксплойтов перестал отбрасывать чистый файл, и вместо этого доставил совершенно новый банковский троян, который мы назвали «Cinobi». Мы также отметили, что субъекты угрозы, стоящие за «Операцией« Захват », перестали перенаправлять жертв из социальных сетей и начали использовать кампанию вредоносной рекламы, нацеленную на Японию, для продвижения своего специального набора эксплойтов.
Другой исследователь позже обнаружил пользовательский набор эксплойтов, который получил название
Ссылка скрыта от гостей
(BottleEK). Он использует
Ссылка скрыта от гостей
,
Ссылка скрыта от гостей
, использующую Flash Player после освобождения, а также
Ссылка скрыта от гостей
, уязвимость удаленного выполнения кода VBScript. Жертвы будут заражены полезной нагрузкой BottleEK, если они получат доступ к целевой странице данного комплекта эксплойтов с помощью исправленных или устаревших браузеров. Наша телеметрия показывает, что BottleEK был самым активным комплектом эксплойтов, обнаруженным в Японии в феврале 2020 года.
Рисунок 4. Активность набора эксплойтов, наблюдаемая в Японии в феврале 2020 года (данные получены из Trend Micro Smart Protection Network ™)
Совершенно новое банковское вредоносное ПО: Cinobi
Операция Overtrap использовала новое банковское вредоносное ПО, которое мы решили назвать Cinobi. Основываясь на нашем анализе, у Cinobi есть две версии - первая имеет полезную нагрузку для вставки библиотеки DLL, которая ставит под угрозу веб-браузеры жертв для выполнения захвата форм.
Эта версия Cinobi также может изменять веб-трафик, отправляемый и получаемый с целевых веб-сайтов. Наше расследование показало, что все сайты, на которые была нацелена эта кампания, принадлежали банкам из Японии.
Помимо захвата форм, он также имеет функцию веб-инъекции, которая позволяет киберпреступникам изменять доступные веб-страницы. Вторая версия обладает всеми возможностями первой, а также возможностью связи с командно-контрольным (C & C) сервером через прокси-сервер Tor.
Четыре стадии заражения Cinobi
Каждый из четырех этапов Cinobi содержит зашифрованный независимый от позиции шелл-код, который немного усложняет анализ. Каждый этап загружается с сервера C & C после выполнения определенных условий.
Начальная ступень
Первый этап цепочки заражения Cinobi, который также был
Ссылка скрыта от гостей
другим исследователем кибербезопасности, начинается с вызова функции «
Ссылка скрыта от гостей
», чтобы проверить, установлены ли локальные настройки зараженного устройства на японский язык.
Рисунок 5. Экран проверки Cinobi для определения языковых настроек устройства с помощью «GetUserDefaultUILanguages»
Затем Cinobi загрузит законные приложения unzip.exe и Tor из следующих мест:
- FTP: [.] [.] // FTP cadwork.ch/DVD_V20/cadwork.dir/COM/unzip ех
- https: // Архив torproject орг / тор-пакет-архив / torbrowser / 8.0.8 / тор-win32-0.3.5.8 застежка-молния [.] [.] [.]
- «C: \ Users \ <имя пользователя> \ AppData \ LocalLow \ <random_name> \ Tor \ taskhost.exe» –f
- «C: \ Users \ <имя пользователя> \ AppData \ LocalLow \ <random_name> \ torrc»
Рисунок 6. Снимок экрана .JPG-файла, который содержит имя файла загрузчика первого этапа
После этого Cinobi запустит второй этап загрузки на машине жертвы.
Рисунок 7. Экран кода, показывающий, что Cinobi запускает второй этап загрузки на компьютере жертвы.
Вторая стадия
Cinobi подключится к своему C & C-серверу, чтобы загрузить и расшифровать файл для третьего этапа своей цепочки заражения. Мы заметили, что имя файла третьего этапа начинается с буквы C, за которой следуют случайные символы. После этого он загрузит и расшифрует файл для четвертого этапа, имя файла которого начинается с буквы А, за которой следуют случайные символы.
После этого Cinobi загрузит и расшифрует файл конфигурации (<random_name> .txt), который содержит новый адрес C & C.
Cinobi использует шифрование RC4 с жестко закодированным ключом.
Рисунок 8. Скриншот кода, показывающего декодированный файл конфигурации Cinobi
Затем Cinobi запустит загруженный файл заражения третьей стадии, используя метод обхода UAC через
Ссылка скрыта от гостей
.Третий этап
На третьем этапе заражения Cinobi будет копировать файлы вредоносных программ из «\ AppData \ LocalLow \» в папку «% PUBLIC%». Затем он установит четвертый этап загрузчика (который был загружен на втором этапе) в качестве
Ссылка скрыта от гостей
(
Ссылка скрыта от гостей
).
Рисунок 9. Снимок экрана с кодом, показывающим установку четвертой стадии заражения на компьютере жертвы под названием «WSCInstallProviderAndChains»
Cinobi выполнит следующие действия:
- Измените конфигурацию службы диспетчера очереди на «SERVICE_AUTO_START»
- Отключите следующие службы:
- UsoSvc
- Wuauserv
- WaaSMedicSvc
- SecurityHealthService
- DisableAntiSpyware
- Скопируйте и извлеките файлы Tor в папку «% PUBLIC%»
- Переименуйте tor.exe в taskhost.exe
- Создайте torrc в «% PUBLIC%» с содержимым «DataDirectory C: \ Users \ Public \ <random_nam> \ data \ tor»
- Создать файл .JPG с исходным именем дроппера
- Удалить файлы из «\ AppData \ LocalLow \», удалить оригинальный файл дроппера
Cinobi
Ссылка скрыта от гостей
функцию
Ссылка скрыта от гостей
для получения информации о доступных транспортных протоколах. Он также
Ссылка скрыта от гостей
функцию
Ссылка скрыта от гостей
чтобы получить путь к DLL исходного транспортного провайдера. Эта функция вызывается дважды. Первый вызов вернет злонамеренный провайдер (поскольку четвертая стадия вредоносной программы уже была установлена во время третьей стадии заражения). Второй вызов вернет исходный транспортный поставщик («% SystemRoot% \ system32 \ mswsock.dll»), разрешит и вызовет его функцию
Ссылка скрыта от гостей
. Затем Cinobi проверит имя процесса, в который внедряется вредоносный провайдер DLL. На практике Cinobi следует внедрять во все процессы, которые устанавливают сетевые подключения с использованием
Ссылка скрыта от гостей
,
Рисунок 10. Снимок экрана процессов, в которые был внедрен вредоносный провайдер DLL
Лучшие практики против спама и уязвимостей
Операция Overtrap использует множество векторов атак для кражи банковских учетных данных. Пользователи и организации должны применять
Ссылка скрыта от гостей
для защиты своих систем от угроз, связанных с обменом сообщениями, и предотвращения вредоносной рекламы. Примером наилучшей практики является наличие центральной точки для сообщения о подозрительных электронных письмах. Организации через свои ИТ-отделы должны иметь централизованную систему сбора информации, и все сотрудники должны быть осведомлены о процедуре сообщения о подозрительных электронных письмах. Тем временем пользователи могут избежать вредоносной рекламы, избегая кликов по подозрительным ссылкам или всплывающим окнам и обновляя программное обеспечение по официальным каналам.Организации получат выгоду от регулярного обновления систем (или использования
Ссылка скрыта от гостей
для устаревших систем), чтобы не дать злоумышленникам воспользоваться пробелами в безопасности. Дополнительные механизмы безопасности, такие как
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
, помогут предотвратить подозрительные действия в сети, такие как фильтрация данных или обмен данными C & C.Источник:
Ссылка скрыта от гостей
