MKD-CIRT National Centre for Computer Incident Response
Истражувачите за сајбер безбедност ја детализираа внатрешната работа на „in2al5d p3in4er“ (читај: неважечки печатач) што се користи за ширење на Aurora малициозен софтвер за крадење информации.
„Подигнувачот in2al5d p3in4er е компајлиран со Embarcadero RAD Studio и таргетира работни станици користејќи напредна анти-VM (виртуелна машина) техника“, стои во извештајот споделен со The Hacker News, фирмата за сајбер безбедност Morphisec.
Aurora е крадец на информации базиран на Go, кој се појави кон крајот на 2022 година. Тој се дистрибуира преку YouTube видеа и SEO-poised лажни пробиени софтвери за преземање веб страници.
Со кликнување на врските присутни во описите на YouTube видеата, жртвата се пренасочува кон веб-страници која служи како мамка намамена за преземање малициозен софтвер под навидум дека е легитимна алатка.
Подигнувачот што го анализира Morphisec е дизајниран да го побара идентификаторот на продавачот на графичката картичка инсталирана на системот и да го спореди со множество од идентификатори на добавувачи на списокот на дозволени (AMD, Intel или NVIDIA). Ако вредноста не се совпаѓа, подигнувачот сам се прекинува.
Подигнувачот на крајот го дешифрира финалниот payload и го вметнува во легитимен процес наречен „sihost.exe“ користејќи техника наречена process hollowing.
Алтернативно, некои примероци на подигнувач исто така доделуваат меморија за да го напишат дешифрираниот payload и да го повикаат од таму.
„За време на процесот на вметнување, сите примероци на подигнувачи динамично ги решаваат потребните Win API и ги дешифрираат овие имиња со помош на XOR клучот: „in2al5d p3in4er“, изјавија безбедносните истражувачи Arnold Osipov и Michael Dereviashkin.
Друг клучен аспект на подигнувачот е неговата употреба на Embarcadero RAD Studio за генерирање на извршни датотеки за повеќе платформи, со што ќе му се овозможи да избегне откривање.
„Оние со најниска стапка на откривање на VirusTotal се компајлираат со помош на „BCC64.exe“, нов C++ компајлер базиран на Clang од Embarcadero“, изјави израелската компанија за сајбер безбедност, посочувајќи ја нејзината способност да избегнува sandboxes и виртуелни машини.
„Овој компајлер користи различна база на кодови, како што се „Standard Library“ (Dinkumware) и „Runtime Library“ (компајлер-rt) и генерира оптимизиран код кој ја менува влезната точка и текот на извршувањето. Ова ги крши индикаторите на безбедносните продавачи, како што се потписите составени од „малициозен/сомнителен блок на код“.
Накратко, наодите покажуваат дека хакерите зад in2al5d p3in4er користат методи за social engineering за кампања со големо влијание што го користи YouTube како канал за дистрибуција на малициозен софтвер и ги насочува гледачите кон лажни веб-страници со убедлив изглед за да го дистрибуираат малициозниот софтвер.
Развојот доаѓа кога Intel 471 откри уште еден малициозен подигнувач AresLoader кој се продава за 300 долари месечно како услуга за криминалните хакери.
Постои сомневање дека подигнувачот е развиен од страна на група поврзана со рускиот хактивизам.
Некои од истакнатите групи на малициозен софтвер што се шират со помош на AresLoader од јануари 2023 година ги вклучуваат Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc и SystemBC.
Извор: TheHackerNews
