RIETSPOOF ЗАГРУЖАЕТСЯ НА WINDOWS КАСКАДОМ
Исследователи из Avast опубликовали информацию о Windows-зловреде, с которым они впервые столкнулись в августе 2018 года. Анализ показал, что Rietspoof обладает возможностями бота, но предназначен в основном для загрузки дополнительных файлов.
Вредоносная программа до сих пор активно развивается. По данным экспертов, вначале вирусописатели вносили изменения примерно раз в месяц, а с января обновления стали появляться почти каждый день.
Цепочка заражения в данном случае включает несколько этапов. Вначале в систему загружается дроппер — сильно обфусцированный VBS-сценарий, который, по всей видимости, доставляется по каналам мгновенного обмена сообщениями (Skype или Messenger). Его основной задачей является подготовка второй ступени заражения — распаковка встроенного CAB-файла, содержащего исполняемый код.
Последний подписан действующим сертификатом (таковых обнаружено несколько, в основном выданных УЦ Comodo) и выполняет установку программы-загрузчика на этапе 4.
С 22 января скрипт-дроппер также обеспечивает постоянное присутствие Rietspoof в системе: создает файл WindowsUpdate.lnk и добавляет его в папку запуска Windows.
На третьем этапе заражения в систему загружается бот; в настоящее время он используется для запуска процессов на машине и загрузки файлов. Этот компонент также способен выполнять команду на самоуничтожение. Эксперты обнаружили две версии бота, которые различаются в основном протоколом обмена с C&C-сервером. Одна из них использует простой TCP и отыскивает центр управления по адресу, прописанному в коде. Вторая пытается прибегнуть к запросам HTTP/HTTPS, однако при наличии прокси-соединения тоже использует TCP.
Примечательно, что командный сервер Rietspoof проверяет прописку IP-адреса подключения и пока подает команды лишь в том случае, когда зараженная машина расположена в США. Авторы зловреда постоянно обновляют бот, но изменяют по большей части его коммуникации — то введут шифрование сообщений (AES в режиме CBC), то откатят. Содержание ответов, возвращаемых клиентам на один и тот же запрос, тоже может быть различным.
Загрузчик, устанавливаемый на четвертом этапе, вполне тривиален, но общается с командным сервером (его IP тоже вшит в код) необычным способом. При установке TCP-соединения зловред пытается создать канал авторизованной связи с использованием протокола NTLM. В случае успеха он скачивает финальную полезную нагрузку — или вредоносный файл очередной ступени заражения.
Исследователи не уверены, что им удалось выявить все этапы атаки Rietspoof. Неясны также конечная цель злоумышленников и их мишени: вполне возможно, что существуют образцы зловреда, раздаваемые лишь в конкретные блоки IP-адресов. Очевидно лишь одно: темпы разработки и развертывания новой угрозы растут, она обрастает новыми функциями, а прежние ежедневно обновляются и совершенствуются.
Исследователи из Avast опубликовали информацию о Windows-зловреде, с которым они впервые столкнулись в августе 2018 года. Анализ показал, что Rietspoof обладает возможностями бота, но предназначен в основном для загрузки дополнительных файлов.
Вредоносная программа до сих пор активно развивается. По данным экспертов, вначале вирусописатели вносили изменения примерно раз в месяц, а с января обновления стали появляться почти каждый день.
Последний подписан действующим сертификатом (таковых обнаружено несколько, в основном выданных УЦ Comodo) и выполняет установку программы-загрузчика на этапе 4.
С 22 января скрипт-дроппер также обеспечивает постоянное присутствие Rietspoof в системе: создает файл WindowsUpdate.lnk и добавляет его в папку запуска Windows.
На третьем этапе заражения в систему загружается бот; в настоящее время он используется для запуска процессов на машине и загрузки файлов. Этот компонент также способен выполнять команду на самоуничтожение. Эксперты обнаружили две версии бота, которые различаются в основном протоколом обмена с C&C-сервером. Одна из них использует простой TCP и отыскивает центр управления по адресу, прописанному в коде. Вторая пытается прибегнуть к запросам HTTP/HTTPS, однако при наличии прокси-соединения тоже использует TCP.
Примечательно, что командный сервер Rietspoof проверяет прописку IP-адреса подключения и пока подает команды лишь в том случае, когда зараженная машина расположена в США. Авторы зловреда постоянно обновляют бот, но изменяют по большей части его коммуникации — то введут шифрование сообщений (AES в режиме CBC), то откатят. Содержание ответов, возвращаемых клиентам на один и тот же запрос, тоже может быть различным.
Загрузчик, устанавливаемый на четвертом этапе, вполне тривиален, но общается с командным сервером (его IP тоже вшит в код) необычным способом. При установке TCP-соединения зловред пытается создать канал авторизованной связи с использованием протокола NTLM. В случае успеха он скачивает финальную полезную нагрузку — или вредоносный файл очередной ступени заражения.
Исследователи не уверены, что им удалось выявить все этапы атаки Rietspoof. Неясны также конечная цель злоумышленников и их мишени: вполне возможно, что существуют образцы зловреда, раздаваемые лишь в конкретные блоки IP-адресов. Очевидно лишь одно: темпы разработки и развертывания новой угрозы растут, она обрастает новыми функциями, а прежние ежедневно обновляются и совершенствуются.
Последнее редактирование: