Οι ερευνητές ασφαλείας προειδοποιούν για έναν σχετικά νέο malware loader, τον οποίο παρακολουθούν ως Verblecon, ο οποίος είναι αρκετά περίπλοκος και ισχυρός για επιθέσεις ransomware, αν και επί του παρόντος χρησιμοποιείται για επιθέσεις low-reward.
Δείτε επίσης: Η Ουκρανία έκλεισε 5 bot farms που διέδιδαν fake news
Παρά το γεγονός ότι υπάρχουν για περισσότερο από ένα χρόνο, τα δείγματα από το malware Verblecon απολαμβάνουν χαμηλό ποσοστό ανίχνευσης λόγω της πολυμορφικής φύσης του κώδικα.
Κάτω από το ραντάρ
Ερευνητές από τη Symantec, ένα τμήμα της Broadcom Software, ανακάλυψαν το Verblecon τον Ιανουάριο του περασμένου έτους και παρατήρησαν ότι χρησιμοποιήθηκε σε επιθέσεις που εγκατέστησαν εξορύκτες κρυπτονομισμάτων σε παραβιασμένα μηχανήματα.
Ορισμένες ενδείξεις δείχνουν ότι ο εισβολέας ενδιαφέρεται να κλέψει access tokens για το Discord chat app, λένε οι ερευνητές, προσθέτοντας ότι αυτοί οι στόχοι έρχονται σε αντίθεση με τις ρεαλιστικές δυνατότητες του malware Verblecon το οποίο μπορεί να πραγματοποιήσει πολύ πιο επιζήμιες επιθέσεις.
Το malware βασίζεται σε Java και η πολυμορφική του φύση είναι αυτή που του επιτρέπει να παραμένει σε πολλές περιπτώσεις απαρατήρητο. Το γεγονός ότι το αρχείο είναι πολυμορφικό σημαίνει ότι, λόγω encryption και obfuscation, ο κώδικας του malware payload φαίνεται διαφορετικός κάθε φορά που γίνεται λήψη.
Μια ματιά σε πέντε δείγματα του Verblecon που ανέλυσαν οι ερευνητές δείχνει ότι πολλές από τις μηχανές προστασίας από ιούς στο VirusTotal δεν τα επισημαίνουν ως κακόβουλα.
Το παλαιότερο δείγμα, για παράδειγμα, προστέθηκε στη βάση δεδομένων στις 16 Οκτωβρίου 2021 και επί του παρόντος ανιχνεύεται από 9 από τις 56 μηχανές προστασίας από ιούς.
Τα νεότερα Verblecon payloads, ωστόσο, από τα τέλη Ιανουαρίου 2022, δεν εντοπίζονται καθόλου από τις μηχανές antivirus στο VirusTotal.
Δείτε επίσης: Ενημέρωση κώδικα SonicWall: Δεν είναι διαθέσιμη για όλες τις συσκευές
Η Symantec δημοσίευσε μια τεχνική ανάλυση του κακόβουλου λογισμικού και των λειτουργιών του, σημειώνοντας ότι τα δείγματα που αναλύθηκαν μπορεί να βασίζονται σε κώδικα που είναι δημόσια διαθέσιμος.
Η ανάλυσή τους δείχνει ότι το malware εκτελεί ορισμένους ελέγχους, για να προσδιορίσει εάν εκτελείται σε εικονικό περιβάλλον, εάν έχει γίνει εντοπισμός σφαλμάτων.
Στη συνέχεια, ανακτά τη λίστα των εκτελούμενων διεργασιών που ελέγχεται σε έναν προκαθορισμένο κατάλογο που περιλαμβάνει αρχεία (executables, dependencies, drivers) που σχετίζονται με συστήματα εικονικών μηχανών.
Εάν περάσουν όλοι οι έλεγχοι, το malware αντιγράφεται σε έναν τοπικό κατάλογο (%ProgramData%, %LOCALAPPDATA%, Users) και δημιουργεί αρχεία για χρήση ως σημείο φόρτωσης.
Σύμφωνα με την έρευνα της Symantec, το Verblecon προσπαθεί περιοδικά να συνδεθεί σε έναν από τα παρακάτω domains, χρησιμοποιώντας έναν αλγόριθμο δημιουργίας domain (DGA) για μια πιο εκτενή λίστα:
· hxxps://gaymers[.]ax/
· hxxp://[DGA_NAME][.]tk/
Το DGA που χρησιμοποιείται βασίζεται στην τρέχουσα ώρα και ημερομηνία και περιλαμβάνει το string “verble” ως suffix, από όπου προέρχεται το όνομα του malware.
Στην τεχνική έκθεση που δημοσιεύτηκε σήμερα, οι ερευνητές της Symantec σημειώνουν ότι το payload που παραδόθηκε μετά το αρχικό στάδιο της επικοινωνίας με τους command and control servers (C2) «είναι ασαφές με παρόμοιο τρόπο με τα άλλα δείγματα και περιέχει παρόμοιες τεχνικές για την ανίχνευση του περιβάλλοντος εικονικοποίησης.»
Σύμφωνα με την ανάλυση, η κύρια λειτουργία του payload είναι η λήψη και η εκτέλεση ενός binary (αρχείου .BIN) που στη συνέχεια αποκρυπτογραφείται στον μολυσμένο host και εισάγεται στο %Windows%SysWow64dllhost.exe για εκτέλεση.
Οι ερευνητές λένε ότι ο τελικός στόχος οποιουδήποτε είναι πίσω από τα Verblecon deployments είναι να εγκαταστήσει λογισμικό εξόρυξης κρυπτονομισμάτων, το οποίο δεν είναι σε αρμονία με την προσπάθεια που απαιτείται για την ανάπτυξη ενός malware τέτοιας πολυπλοκότητας.
Επιπλέον, οι ερευνητές υποψιάζονται ότι ο απειλητικός παράγοντας μπορεί να το χρησιμοποιεί για να κλέψει Discord tokens για να τα χρησιμοποιήσει για τη διαφήμιση trojanized λογισμικού βιντεοπαιχνιδιών. Οι ερευνητές υποπτεύονται ότι γίνεται και κλοπή των Discord tokens επειδή ορισμένα από τα obfuscated strings αναφέρονται σε pathnames που προφανώς σχετίζονται με Discord clients.
Σύμφωνα με τις παρατηρήσεις τους, το Verblecon στοχεύει μη επιχειρηματικές μηχανές, οι οποίες σπάνια εμπίπτουν στο πεδίο εφαρμογής πιο εξελιγμένων απειλητικών παραγόντων λόγω της χαμηλής κερδοφορίας τους.
Η Symantec λέει ότι γνωρίζει άλλες αναφορές που συνέδεσαν έναν domain Verblecon με μια επίθεση ransomware, αλλά πιστεύουν ότι αυτό το overlap οφείλεται στην κοινή χρήση της υποδομής με έναν άσχετο παράγοντα.
Δείτε επίσης: SunCrypt ransomware: Νέα έκδοση με περισσότερες δυνατότητες
Οι ομοιότητες μεταξύ αυτού του περιστατικού και της δραστηριότητας που παρατηρήσαμε περιλαμβάνουν τα εξής:
· τη χρήση του “verble” στο όνομα domain
· τη λήψη του shellcode για εκτέλεση
· παρόμοιο obfuscation
Οι ερευνητές πιστεύουν ότι το Verblecon χρησιμοποιείται επί του παρόντος από έναν χάκερ που δεν αναγνωρίζει την πλήρη καταστροφική δυνατότητα αυτού του προγράμματος φόρτωσης κακόβουλου λογισμικού
Πιστεύουν ότι εάν το πάρουν στα χέρια τους πιο εξελιγμένοι κυβερνοεγκληματίες, θα μπορούσαν να το χρησιμοποιήσουν για ransomware, ακόμη και για επιθέσεις κατασκοπείας.
Πηγή πληροφοριών: bleepingcomputer.com