Експертите потврдуваат дека JS#SMUGGLER користи компромитирани страници за распоредување на NetSupport RAT

Истражувачите за сајбер-безбедност го привлекуваат вниманието кон новата кампања наречена JS#SMUGGLER, за која е забележано дека користи компромитирани веб-страници како вектор за дистрибуција на тројанец за далечински пристап наречен NetSupport RAT.

Синџирот на напади, анализиран од Securonix, вклучува три главни подвижни делови: замаглувачки (obfuscated) JavaScript вчитувач инјектиран во веб-страница, HTML апликација (HTA) која извршува енкриптирани PowerShell stager-и користејќи “mshta.exe”, и PowerShell носивост која е дизајнирана да го преземе и изврши главниот малициозен софтвер.

„NetSupport RAT овозможува целосна контрола на напаѓачот врз жртвениот хост, вклучувајќи далечински пристап до работната површина, операции со датотеки, извршување на команди, кражба на податоци и прокси-можности“, изјавија истражувачите Akshay Gaikwad, Shikha Sangwan и Aaron Beardslee.

Во оваа фаза има малку докази кои ја поврзуваат кампањата со која било позната група на закани или земја. Откриено е дека активноста е насочена кон корисниците во претпријатијата преку компромитирани веб-страници, што укажува на широка активност.

Компанијата за сајбер-безбедност ја опиша како повеќефазна веб-базирана операција на малициозен софтвер која користи скриени iframe-и, замаглувачки вчитувачи и слоевито извршување на скрипти за распоредување на малициозен софтвер и далечинско управување.

Во овие напади, нечујните пренасочувања (silent redirects) вградени во заразените веб-страници дејствуваат како канал за високо шифриран JavaScript вчитувач (“phone.js”) преземен од надворешен домен, кој потоа го профилира уредот за да утврди дали треба да служи iframe на цел екран (при посета од мобилен телефон) или да вчита друга далечинска скрипта од втора фаза (при посета од десктоп компјутер).

Невидливиот iframe е дизајниран да ја насочи жртвата кон злонамерна URL-адреса. JavaScript вчитувачот вклучува механизам за следење за да се осигура дека злонамерната логика ќе се активира само еднаш и за време на првата посета, со што се минимизираат шансите за откривање.

„Ова гранење свесно за уредот им овозможува на напаѓачите да го приспособат патот на инфекција, да ја скријат злонамерната активност од одредени околини и да ја максимизираат стапката на успех со испорачување на носивости соодветни за платформата, додека избегнуваат непотребна изложеност“, велат истражувачите.

Далечинската скрипта преземена во првата фаза од нападот ги поставува темелите со тоа што за време на извршувањето конструира URL-адреса од која се презема и извршува HTA носивост користејќи “mshta.exe”. HTA носивоста е уште еден вчитувач за привремен PowerShell stager, кој се запишува на диск, се дешифрира и се извршува директно во меморија за да се избегне откривање.

Покрај тоа, HTA датотеката се извршува прикриено со оневозможување на сите видливи елементи на прозорецот и минимизирање на апликацијата при стартување. Откако ќе се изврши дешифрираната носивост, таа исто така презема чекори за да го отстрани PowerShell stager-от од дискот и се прекинува себеси за да избегне да остави што е можно помалку форензички траги.

Примарната цел на дешифрираната PowerShell носивост е да го преземе и распореди NetSupport RAT, давајќи му целосна контрола на напаѓачот врз компромитираниот хост.

„Софистицираноста и слоевитите техники за избегнување силно укажуваат на активно одржувана, професионална рамка за малициозен софтвер“, соопшти Securonix. „Бранителите треба да распоредат силно спроведување на CSP, следење на скрипти, логирање на PowerShell, ограничувања на mshta.exe и бихевиорална аналитика за ефикасно откривање на ваквите напади.“

Еве го преводот на македонски:

CHAMELEON#NET го доставува малициозниот софтвер Formbook

Обелоденувањето доаѓа неколку недели откако компанијата, исто така, детализираше друга повеќефазна malspam кампања наречена CHAMELEON#NET која користи фишинг-пораки за да го достави Formbook, крадец на информации и „keylogger“ (програма што ги бележи притискањата на тастатурата). Пораките се насочени кон намамување на жртвите во Националниот сектор за социјално осигурување да преземат навидум безопасна архива откако ќе ги внесат своите акредитиви на лажен веб-портал дизајниран за таа цел.

„Оваа кампања започнува со фишинг-порака што ги измамува корисниците да преземат .BZ2 архива, иницирајќи повеќефазен синџир на инфекција“, рече Sangwan. „Првичната носивост е високо замаглена (obfuscated) JavaScript датотека која дејствува како dropper, што води до извршување на комплексен VB.NET вчитувач. Овој вчитувач користи напредна рефлексија и прилагодена условна XOR шифра за да ја дешифрира и изврши својата крајна носивост, Formbook RAT, целосно во меморија“.

Конкретно, JavaScript dropper-от дешифрира и запишува на дискот во директориумот %TEMP% две дополнителни JavaScript датотеки:

• svchost.js, која поставува (drops) извршна датотека на .NET вчитувач наречена DarkTortilla („QNaZg.exe“), криптер кој често се користи за дистрибуција на носивости од следната фаза.
• adobe.js, која поставува датотека наречена „PHat.jar“, MSI инсталационен пакет што покажува слично однесување како „svchost.js“.

Во оваа кампања, вчитувачот е конфигуриран да ја дешифрира и изврши вградената DLL, малициозниот софтвер Formbook. Перзистенцијата се постигнува со додавање во папката за стартување на Windows (Windows startup folder) за да се осигура дека автоматски ќе се стартува по рестартирање на системот. Алтернативно, перзистенцијата ја управува и преку Windows Registry.

„Сајбер-криминалците комбинираат социјален инженеринг, тешко замаглување на скрипти и напредни техники за избегнување на .NET за успешно компромитирање на целите“, соопшти Securonix. „Употребата на прилагодена рутина за дешифрирање проследена со рефлективно вчитување овозможува конечната носивост да се изврши на бездатотечен начин (fileless), што значително ја отежнува детекцијата и форензичката анализа“.

Извори:

• The Hacker News – Experts Confirm JS#SMUGGLER Uses Compromised Sites to Deploy NetSupport RAT The Hacker News