ad blocker cu miner inclus

Stiri – Ad blocker cu miner inclus

Cu ceva timp în urmă, am descoperit o serie de aplicații false care livrau un miner Monero criptomonede către computerele utilizatorilor. Acestea sunt distribuite prin intermediul site-urilor web rău intenționate care pot apărea în rezultatele căutării victimei. După cum arată, pare a fi o continuare a campaniei de vară acoperită de colegii noștri de la Avast. Pe atunci, infractorii cibernetici distribuiau malware sub masca programului de instalare antivirus Malwarebytes.

În ultima campanie, am văzut mai multe aplicații imitate de malware: blocanții publicitari AdShield și Netshield, precum și serviciul OpenDNS. Acest articol analizează doar aplicația AdShield falsă, dar toate celelalte cazuri urmează același scenariu.

Detalii tehnice

Distribuit sub numele adshield[.]pro, malware-ul imită versiunea Windows a blocatorului de anunțuri mobile AdShield. După ce utilizatorul pornește programul, acesta modifică setările DNS de pe dispozitiv, astfel încât toate domeniile să fie rezolvate prin serverele atacatorilor, care, la rândul lor, împiedică utilizatorii să acceseze anumite site-uri antivirus, cum ar fi Malwarebytes.com.

După înlocuirea serverelor DNS, malware-ul începe să se actualizeze singur executând update.exe cu argumentul self-upgrade („C: Program Files (x86) AdShield updater.exe” -self-upgrade). Updater.exe contactează C&C și trimite date despre aparatul infectat și informații despre începutul instalării. Unele dintre liniile din fișierul executabil, inclusiv linia cu adresa serverului C&C, sunt criptate pentru a face detecția statică mai dificilă.

ad blocker cu miner inclus 2

Fragment de cod Updater.exe care conține adresa criptată

Updater.exe descarcă de pe site-ul transmissionbt [.] Org și rulează o versiune modificată a clientului torrent Transmission (distribuția originală poate fi găsită la transmissionbt.com). Programul modificat trimite informații de instalare împreună cu ID-ul mașinii infectate către C&C și descarcă un modul de extragere din acesta.

ad blocker cu miner inclus 1

Notificarea C&C despre instalarea cu succes

Modulul de minerit este alcătuit din biblioteci auxiliare legitime, un fișier miner criptat numit data.pak, fișierul executabil flock.exe și fișierul „licență” lic.data. Acesta din urmă conține un hash hexazecimal SHA-256 al unor parametri ai mașinii pentru care este destinat modulul și datele din fișierul data.pak. Clientul Transmission modificat rulează flock.exe, care calculează în primul rând hash-ul parametrilor computerului infectat și datele din fișierul data.pak și apoi îl compară cu hash-ul din fișierul lic.data. Acest lucru este necesar deoarece C&C generează un set unic de fișiere pentru fiecare mașină, astfel încât să împiedice detectarea statică și să împiedice minerul să ruleze și să fie analizat în diferite medii virtuale.

Dacă hashurile nu se potrivesc, execuția se oprește. În caz contrar, flock.exe decriptează datele din fișierul data.pak utilizând algoritmul AES-128-CTR, prin care cheia de decriptare și vectorul de inițializare sunt asamblate din mai multe părți stocate în codul eșantion. Decriptarea are ca rezultat un fișier de resurse binare Qt care conține două fișiere executabile: minerul open-source XMRig (același folosit în atacul de vară) și biblioteca bxsdk64.dll.

ad blocker cu miner inclus

Fișier decriptat data.pak

Fișierul bxsdk64.dll face parte din BoxedApp SDK pentru crearea unui mediu virtual, dar în acest caz este utilizat pentru a rula minerul sub masca aplicației legitime find.exe. Ideea este că, pentru a-și implementa funcționalitatea, bxsdk interceptează apelurile către funcțiile sistemului și le poate manipula execuția. În acest caz, funcția BoxedAppSDK_CreateVirtualFileA creează fișierul find.exe (care este o copie a fișierului C: Windows System32 find.exe) din directorul C: ProgramData Flock. Toate manipulările ulterioare cu find.exe apar în RAM și nu afectează fișierul de pe disc. Când începe procesul find.exe, bxsdk interceptează evenimentul și rulează fișierul din directorul C: ProgramData Flock; apoi, utilizând funcțiile WriteProcessMemory și CreateRemoteThread, injectează corpul minerului decriptat în memoria procesului.

Pentru a asigura funcționarea continuă a minerului, o sarcină servicecheck_XX este creată în Programatorul de activități Windows, unde XX sunt numere aleatorii. Sarcina rulează flock.exe cu argumentul minim .

Statistici

Conform datelor de la Kaspersky Security Network, la momentul pregătirii acestui articol, de la începutul lunii februarie 2021, au existat încercări de a instala aplicații false pe dispozitivele a peste 7 mii de utilizatori. La vârful actualei campanii, au fost atacați peste 2.500 de utilizatori unici pe zi, majoritatea victimelor fiind situate în Rusia și țările CSI.

ad blocker cu miner inclus 3

Număr de utilizatori atacați, august 2020 – februarie 2021

Soluțiile de securitate ale Kaspersky detectează amenințările descrise mai sus cu următoarele verdicte:

  • Win64.Patched.netyyk
  • Win32.DNSChanger.aaox
  • Win64.Miner.gen
  • HEUR: Trojan.Multi.Miner.gen

Cum să eliminați minerul

Dacă fișierul QtWinExtras.dll este detectat pe dispozitivul dvs., reinstalați Malwarebytes. Dacă Malwarebytes nu se află în lista de aplicații, trebuie să ștergeți toate următoarele foldere care sunt pe disc:

  • % fișiere de program% malwarebytes
  • fișiere de program (x86) malwarebytes
  • % windir% . vechi fișiere de program malwarebytes
  • % windir% . vechi fișiere de program (x86) malwarebytes

Dacă flock.exe este detectat pe dispozitivul dvs.:

  • Dezinstalați NetshieldKit, AdShield, dezinstalați sau reinstalați OpenDNS (oricare dintre acestea este instalat pe dispozitiv).
  • Reinstalați clientul torrent Transmission sau dezinstalați-l dacă nu aveți nevoie de el.
  • Ștergeți folderele (dacă există pe disc)
    • C: ProgramData Flock
    • % allusersprofile% start menu programmes startup flock
    • % allusersprofile% start menu programmes startup flock2
  • Ștergeți sarcina servicecheck_XX (unde XX sunt numere aleatoare) în Programatorul de activități Windows.

IOC

DNS

142[.]4[.]214[.]15
185[.]201[.]47[.]42
176[.]31[.]103[.]74
37[.]59[.]58[.]122
185[.]192[.]111[.]210

Domains

adshield[.]pro
transmissionbt[.]org
netshieldkit[.]com
opendns[.]info

Hashes

5aa0cda743e5fbd1d0315b686e5e6024 (AdShield installer)
81BC965E07A0D6C9E3EB0124CDF97AA2 (updater.exe)
ac9e74ef5ccab1d5c2bdd9c74bb798cc (modified Transmission installer)
9E989EF2A8D4BC5BA1421143AAD59A47 (NetShield installer)
2156F6E4DF941600FE3F44D07109354E (OpenDNS installer)

Sursa: Newsmag