Специалисты Rapid7 из команд Managed Detection and Response (MDR) и Threat Intelligence and Detection Engineering (TIDE) зафиксировали новую вредоносную кампанию против пользователей Windows. Атакующие маскируют инфостилер под легитимное приложение для Windows 10 и умудряются обойти встроенную защиту User Account Control (UAC), используя переменную окружения Windows и штатную функцию планировщика заданий.
Как разворачивается атака
Всё начинается с обычного визита на заражённый сайт через Chrome: пользователю показывают запрос на разрешение уведомлений от «службы рекламы браузера». Один из сайтов, задействованных в цепочке, — birchlerarroyo.com — содержал подозрительный JavaScript-код, который и запрашивал это разрешение.
Если пользователь соглашается, его перенаправляют на специально подготовленную страницу, имитирующую страницу обновления Chrome. Через некоторое время появляется уведомление о том, что «Chrome необходимо обновить». Клик запускает исполняемый файл HoxLuSfo.exe, который порождается процессом sihost.exe — легитимным системным процессом, отвечающим за работу центра уведомлений и действий Windows. Сам HoxLuSfo.exe, в свою очередь, запускает команду PowerShell.
Дальше жертву подводят к установке пакета приложений Windows формата MSIX под именем «oelgfertgokejrgre.msix», размещённого на домене chromesupdate.com и замаскированного под настоящее обновление браузера. Поскольку пакет не размещён в Microsoft Store, система показывает запрос на разрешение установки приложений из сторонних источников — если эта функция ещё не включена.
Аналитик Rapid7 Эндрю Ивамайе (Andrew Iwamaye) подчёркивает: раз MSIX-пакет не из официального магазина, пользователю приходится вручную разрешить сайдлоадинг, что и открывает путь для установки вредоноса.
Что умеет инфостилер
После заражения система оказывается под полным контролем — вредонос способен:
- извлекать конфиденциальные данные;
- красть криптовалюту;
- блокировать обновления браузера;
- выполнять произвольные команды на устройстве.
Технический портрет HoxLuSfo.exe
По данным Rapid7, файл представляет собой 32-битный исполняемый файл .NET (Microsoft Visual Studio) с обфусцированным кодом; изначально он назывался TorE.exe. На момент обнаружения его как вредоносный распознавали лишь 10 антивирусных решений. Программа собирает отпечаток заражённого устройства, устанавливает и использует 32-битную DLL на .NET, а для блокировки обновлений браузера редактирует файл hosts.
Malware перечисляет установленные в системе браузеры и похищает из них учётные данные, попутно завершая процессы вроде Google, MicrosoftEdge и setu*. Отдельные функции отвечают за кражу криптовалюты и выполнение произвольных команд на заражённом хосте.
Связь с управляющей инфраструктурой идёт через домены s1.cleancrack.tech и s4.cleancrack.tech; трафик шифруется по AES с ключом e84ad660c4721ae0e84ad660c4721ae0. В отладочной информации бинарника исследователи нашли путь PDB: E:\msix\ChromeRceADMIN4CB\TorE\obj\Release\TorE.pdb.
Как защититься
Rapid7 опубликовала полный список индикаторов компрометации, который поможет службам безопасности выявить и заблокировать эту кампанию. Исследователи напоминают: схема многоступенчатая и рассчитана на невнимательность пользователя, поэтому базовая мера защиты — актуальное антивирусное решение с обновлёнными базами и настороженное отношение к всплывающим запросам на обновление браузера прямо из окна уведомлений.
Источник: Cybersecurity News.