Инструмент рекламного ПО с цифровой подписью развернул полезные нагрузки, работающие с привилегиями SYSTEM, которые отключили защиту антивирусов на тысячах конечных точек, в том числе в образовательном, коммунальном, государственном секторах и здравоохранении.
Всего за один день исследователи зафиксировали более 23 500 зараженных хостов в 124 странах, пытавшихся подключиться к инфраструктуре оператора, причем сотни зараженных конечных точек находились в сетях с высокой ценностью.
Больше, чем просто рекламное ПО
Специалисты по безопасности из компании Huntress обнаружили эту кампанию 22 марта, когда исполняемые файлы с подписью, считавшиеся потенциально нежелательными программами (PUP), вызвали срабатывание оповещений в нескольких управляемых средах.
PUP, или рекламное ПО, рассматриваются скорее как досадная помеха, нежели как вредоносное ПО, поскольку их роль обычно заключается в получении дохода для разработчика путем показа рекламных всплывающих окон, баннеров или перенаправлений браузера.
Исследователи Huntress сообщают, что программное обеспечение было подписано компанией Dragon Boss Solutions LLC, занимающейся «исследованиями монетизации поиска» и продвигающей различные инструменты (например, Chromstera Browser, Chromnius, WorldWideWeb, Web Genius, Artificius Browser), помеченные как браузеры, но обнаруживаемые множеством решений безопасности как PUP.
Помимо назойливой рекламы и перенаправлений, исследователи Huntress утверждают, что браузеры от Dragon Boss Solutions также имеют усовершенствованный механизм обновления, который развертывает «убийцу» антивирусов.
Деактивация защиты
Исследователи Huntress обнаружили, что операция полагалась на механизм обновления от коммерческого инструмента разработки Advanced Installer для развертывания полезных нагрузок MSI и PowerShell.
Анализ конфигурационного файла процесса обновления выявил несколько флагов, которые сделали операцию полностью скрытой и без какого-либо участия пользователя. Он также устанавливал полезные нагрузки с повышенными привилегиями (SYSTEM), предотвращал отключение автоматических обновлений пользователями и часто проверял наличие новых обновлений.
По словам исследователей, процесс обновления извлекает полезную нагрузку MSI (Setup.msi), замаскированную под изображение GIF, которая в настоящее время помечена как вредоносная на VirusTotal только пятью поставщиками решений безопасности.
Полезная нагрузка MSI включает несколько легитимных DLL-файлов, которые Advanced Installer использует для выполнения специфических задач, таких как выполнение скриптов PowerShell, поиск определенного программного обеспечения в системе или другие пользовательские действия, определенные в отдельном файле с именем ‘!_StringData‘, который содержит инструкции для установщика.
Huntress сообщает, что перед развертыванием основной полезной нагрузки установщик MSI проводит разведку, проверяя статус администратора, обнаруживая виртуальные машины, проверяя подключение к Интернету и запрашивая реестр на наличие установленных антивирусных продуктов (AV) от Malwarebytes, Kaspersky, McAfee и ESET.
Антивирусные продукты отключаются с помощью скрипта PowerShell с именем ClockRemoval.ps1, который размещается в двух местах. Исследователи отмечают, что установщики браузеров Opera, Chrome, Firefox и Edge также являются целями, вероятно, для предотвращения возможного вмешательства в угон браузера рекламным ПО.
Скрипт ClockRemoval.ps1 также выполняет рутину при загрузке системы, при входе в систему и каждые 30 минут, чтобы убедиться, что антивирусные продукты больше не присутствуют в системе, путем остановки служб, завершения процессов, удаления каталогов установки и записей реестра, скрытого запуска программ удаления поставщиков и принудительного удаления файлов в случае сбоя программ удаления.
Он также гарантирует, что продукты безопасности не могут быть переустановлены или обновлены путем блокировки доменов поставщиков путем изменения файла hosts и их нулевого маршрутизирования (перенаправления на 0.0.0.0).
В ходе анализа Huntress обнаружила, что оператор не зарегистрировал основной домен обновления (chromsterabrowser[.]com) или резервный (worldwidewebframework3[.]com), используемый в кампании, что дало возможность перехватить соединение со всех зараженных хостов (sinkhole).
В связи с этим они зарегистрировали основной домен обновления и наблюдали, как «десятки тысяч скомпрометированных конечных точек обращались за инструкциями, которые в чужих руках могли быть чем угодно».
На основании IP-адресов исследователи выявили 324 зараженных хоста в сетях с высокой ценностью:
- 221 академическое учреждение в Северной Америке, Европе и Азии
-
41 сеть операционных технологий в энергетическом и транспортном секторах, а также у поставщиков критической инфраструктуры
-
35 муниципальных образований, государственных учреждений и коммунальных служб
-
24 начальных и средних учебных заведения
-
3 организации здравоохранения (больничные системы и поставщики медицинских услуг)
-
сети нескольких компаний из списка Fortune 500
BleepingComputer пытался связаться с Dragon Boss Solutions, но не смог найти контактную информацию, так как их сайт больше не работает.
Huntress предупреждает, что, хотя вредоносный инструмент в настоящее время использует «убийцу» AV, механизм для внедрения гораздо более опасных полезных нагрузок на зараженные системы уже существует и может быть использован в любой момент для эскалации атак.
Кроме того, поскольку основной домен обновления не был зарегистрирован, любой мог его захватить и доставить произвольные полезные нагрузки тысячам уже зараженных машин без какой-либо защиты и через уже созданную инфраструктуру.
Huntress рекомендует системным администраторам искать подписки событий WMI, содержащие «MbRemoval» или «MbSetup», запланированные задачи, ссылающиеся на «WMILoad» или «ClockRemoval», и процессы, подписанные Dragon Boss Solutions LLC.
Дополнительно следует проверить файл hosts на наличие записей, блокирующих домены поставщиков AV, и проверить исключения Microsoft Defender на наличие подозрительных путей, таких как «DGoogle», «EMicrosoft» или «DDapps».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
