Articles

Sneaking Through Windows: Infostealer Malware Masquerades as Windows Application

este post também inclui contribuições de Reese Lewis, Andrew Christian e Seth Lazarus.

a equipe de detecção e resposta gerenciada (Mdr) do Rapid7 aproveita conjuntos de ferramentas especializados, análise de malware, tradecraft e colaboração com nossos colegas na equipe de Engenharia de inteligência e Detecção de ameaças (TIDE) para detectar e Corrigir Ameaças.Recentemente, identificamos uma campanha de malware cuja carga útil se instala como um aplicativo do Windows após a entrega por meio de um serviço de anúncios do navegador e ignora o Controle de conta de usuário (UAC) abusando de uma variável de ambiente do Windows e de uma tarefa agendada nativa para garantir que ela seja executada persistentemente com privilégios elevados. O malware é classificado como um ladrão, que pretende roubar dados confidenciais de um ativo infectado (como credenciais do navegador e criptomoeda), impedir atualizações do navegador e permitir a execução arbitrária de comandos.

detecção

o MDR SOC tomou conhecimento desta campanha de malware após a análise de” UAC Bypass – Disk Cleanup Utility “e” Suspicious Process – TaskKill Multiple Times ” alertas (de autoria da equipe TIDE do Rapid7) dentro da plataforma InsightIDR do Rapid7.

como o nome “UAC Bypass – Disk Cleanup Utility” indica, o alerta identificou um possível desvio do UAC usando o Utilitário de limpeza de disco devido a uma vulnerabilidade em algumas versões do Windows 10 que permite que uma tarefa agendada nativa execute código arbitrário modificando o conteúdo de uma variável de ambiente. Especificamente, o alerta detectou um comando PowerShell gerado por um executável suspeito chamado HoxLuSfo.exe. Determinamos que HoxLuSfo.exe foi gerado por sihost.exe , um processo em segundo plano que inicia e mantém os centros de ação e notificação do Windows.

Figura 1: comando PowerShell identificado pelo Mdr do Rapid7 em ativos infectados

determinamos que a finalidade do comando PowerShell era, depois de dormir, tentar executar um utilitário de limpeza de disco UAC bypass. O comando funciona porque, em alguns sistemas Windows, é possível para o Utilitário de Limpeza de Disco para ser executado através do nativo tarefa agendada “SilentCleanup” que, quando acionado, executa o seguinte comando com privilégios elevados:

%windir%\system32\cleanmgr.exe /autoclean /d %systemdrive%

O comando do PowerShell explorada a utilização da variável de ambiente %windir% no caminho especificado na “SilentCleanup” tarefa agendada alterando o valor definido para a variável de ambiente %windir%. Especificamente, o comando do PowerShell excluídos existente %windir% variável de ambiente e substituiu-o com um novo %windir% conjunto de variáveis de ambiente para:

%LOCALAPPDATA%\Microsoft\OneDrive\setup\st.exe REM

A variável de ambiente de substituição, portanto, configurada a tarefa agendada “SilentCleanup” para executar o seguinte comando sempre que a tarefa “SilentCleanup” foi disparado:

%LOCALAPPDATA%\Microsoft\OneDrive\setup\st.exe REM\system32\cleanmgr.exe /autoclean /d %systemdrive%

O binário st.exe foi uma versão copiada do HoxLuSfo.exe a partir do caminho do arquivo C:\Program Files\WindowsAppsb76099d-e6e0-4e86-bed1-100cc5fa699f_113.0.2.0_neutral__7afzw0tp1da5e\HoxLuSfo\.

À direita “REM” no final da entrada de Registo comentou o resto do comando nativo para o “SilentCleanup” tarefa agendada, efetivamente configurar a tarefa para executar:

%LOCALAPPDATA%\Microsoft\OneDrive\setup\st.exe

Depois de fazer as alterações para o %windir% variável de ambiente, o comando do PowerShell executou o “SilentCleanup” tarefa agendada, assim, o seqüestro do “SilentCleanup” tarefa agendada para executar o st.exe com privilégios elevados.

o alerta para “processo suspeito-TaskKill várias vezes” detectado posteriormente st.exe gerando vários comandos tentando matar qualquer processo chamado Google*, MicrosoftEdge* ou setu*.

Análise de Hoxlufo.o MDR do Exe

Rapid7 não conseguiu adquirir remotamente os arquivos HoxLuSfo.exe e st.exe dos ativos infectados porque eles não estavam mais presentes no momento da investigação. No entanto, obtivemos uma cópia do executável do VirusTotal com base em seu hash MD5, 1cc0536ae396eba7fbde9f35dc2fc8e3.

Figura 2: Visão Geral do Hoxlufo.exe (originalmente chamado TorE.exe) dentro do dnSpy e seu conteúdo parcialmente ofuscado.

a rapid7 do MDR concluiu que HoxLuSfo.exe tinha as seguintes características e comportamentos:

  • 32-bits do Microsoft Visual Studio .NET executável contendo ofuscado código
  • Originalmente chamado de TorE.exe
  • Na hora de escrever, apenas 10 soluções antivírus detectado HoxLuSfo.exe como malicioso
Figura 3: Baixa taxa de detecção para HoxLuSfo.exe no VirusTotal
  • Impressões digitais infectado ativo
  • Cai e utiliza uma versão de 32 bits do Microsoft Visual Studio .A DLL de rede, JiLuT64.dll (MD5: 14ff402962ad21b78ae0b4c43cd1f194), que é um Ágil .NET obfuscator assinado por SecureTeam Software Ltd, susceptíveis de (des)ocultar conteúdo
  • Modifica o arquivo hosts no infectados ativos para impedir a resolução correta do comum, atualização do navegador URLs para evitar atualizações do navegador
Figura 4: Modificações feitas para o arquivo de hosts infectados ativos
  • Enumera os navegadores instalados e rouba credenciais de navegadores instalados
  • Mata processos com o nome de Google*, MicrosoftEdge*, setu*
  • Contém a funcionalidade para roubar cryptocurrency
  • Contém a funcionalidade para a execução de comandos arbitrários no infectados ativos

Figura 5: Exemplo de funcionalidade dentro de HoxLuSfo.exe para executar comandos arbitrários
  • Comunica-se com s1.cleancracktech e s4.cleancracktech (que resolver para 172.67.187162 e 104.21.9268 no momento da análise) via AES-mensagens criptografadas com uma chave de e84ad660c4721ae0e84ad660c4721ae0. O esquema de criptografia empregado parece ser Código reutilizado a partir daqui.
  • tem um caminho PDB de E:\msix\ChromeRceADMIN4CB\TorE\obj\Release\TorE.pdb.

o MDR do Rapid7 interagiu com s4.cleancracktech e descobriu o que parece ser um portal de login para o invasor acessar dados roubados.

Figura 6: Página de Login hospedada em hXXps: / / s4.cleancracktech / login

fonte de infecção

o MDR do Rapid7 observou a execução de chrome.exe pouco antes de HoxLuSfo.exe gerar o comando PowerShell que detectamos com nosso alerta.

em uma de nossas investigações, nossa análise do arquivo de histórico do navegador Chrome do Usuário mostrou redirecionamentos para domínios suspeitos antes da infecção inicial:
hXXps://getreddbiz/ →
hXXps://eu.postsupportnet →
hXXp://updateslivescom/

em outra investigação, os logs DNS mostraram uma cadeia de redirecionamento que seguiu um padrão semelhante:
hXXps://getblackkbiz/ →
hXXps://eu.postsupportnet →
hXXp://updateslivescom/ →
hXXps://chromesupdatecom

Na primeira investigação, o usuário do google Chrome perfil revelou que as configurações de permissão do site para um domínio suspeitos, birchlerarroyocom, foram alterados apenas antes de redirecionamentos. Especificamente, o usuário concedeu permissão ao site hospedado em birchlerarroyocom Para enviar notificações ao usuário.

Figura 7: Notificações habilitadas para birchlerarroyocom dentro das configurações do site do usuário do Chrome

o MDR do Rapid7 visitou o site hospedado em birchlerarroyocom e descobriu que o site apresentou uma notificação do navegador solicitando permissão para mostrar notificações ao usuário.

Figura 8: Site hospedado em birchlerarroyocom, solicitando permissão para mostrar notificações para o usuário

suspeitamos que o site hospedado em birchlerarroyocom foi comprometida, como seu código-fonte contém uma referência a um suspeito arquivo JavaScript hospedado em fastredbiz:

Figura 9: Suspeito arquivo JavaScript encontrado dentro do código-fonte do site hospedado no birchlerarroyocom

determinou-se que o arquivo JavaScript hospedado em fastredbiz foi o responsável pela notificação observado em birchlerarroyocom via o código na Figura 10.

Figura 10: Parcial do conteúdo do arquivo JavaScript hospedado no fastredbiz

Giro fora da cadeia “Код RedPush” dentro do código-fonte de birchlerarroyocom (ver linhas destacadas na Figura 9), bem como a workerName e applicationServerKey configurações no arquivo JavaScript na Figura 10, a rapid7 do MDR descoberto adicionais sites que contenham semelhantes código fonte: ostodaycom e magnetlineru.

o MDR do Rapid7 analisou os sites hospedados em cada um dos birchlerarroyocom, ostodaycom E magnetlineru e descobriu que cada:

  • Apresentado o mesmo tipo de navegador notificação mostrado na Figura 8
  • Foi criado usando o WordPress e empregou a mesma WordPress plugin “WP Foguete”
  • Tinha o código-fonte que se refere o semelhante arquivos Javascript hospedado em fastredbiz ou clickmattersbiz e os arquivos JavaScript tinha o mesmo applicationServerKey: BIbjCoVklTIiXYjv3Z5WS9oemREJPCOFVHwpAxQphYoA5FOTzG-xOq6GiK31R-NF--qzgT3_C2jurmRX_N6nY4g
Figura 11: Parcial do conteúdo do arquivo JavaScript hospedado no clickmattersbiz. O unicode na chave” texto “decodifica para”наммите \” разрешитт\”, जтобы получат у जведомления”, que se traduz em “Clique \” permitir \ “receber notificações”.
  • tinha código-fonte que continha um parâmetro rbConfig semelhante referenciando takiparkrbsite e um valor rotador variável
Figura 12: Exemplo rbConfig parâmetro encontrado no site da código fonte
  • Tinha o código-fonte que continha referências a “Код RedPush” (traduz para “Redpush código”), “Код РБ” (traduz para “CodeRB”), ou “Код нативного ПУШа RB” (traduzido como “Nativo EMPURRAR código RB”)

Girando fora das cadeias de “CodeRB” e “Redpush” dentro do código-fonte led para outras descobertas.

primeiro, o MDR do Rapid7 descobriu um negócio de publicidade, RedPush (ver redpushbiz). A RedPush fornece aos seus clientes código de anúncio para hospedar nos sites dos clientes. O código produz notificações pop-up para permitir que anúncios sejam enviados aos usuários que navegam nos sites dos clientes. Os clientes da RedPush lucram com base no número de cliques de anúncios gerados em seus sites que contêm o código da RedPush.

Figura 13: Resumo do modelo de entrega de anúncios do RedPush por meio de notificações push

em segundo lugar, o MDR do Rapid7 descobriu uma publicação de Malwaretips descrevendo uma família de malware pop-up do navegador conhecida como Redpush. Ao visitar um site comprometido com o código Redpush, o código apresenta uma notificação do navegador solicitando permissão para enviar notificações ao usuário. Depois que o Usuário concede permissão, o site comprometido parece ganhar a capacidade de enviar notificações de brinde, que podem variar de Anúncios de spam a notificações de atualizações de software falsas maliciosas. Publicações semelhantes da McAfee aqui e aqui descrevem que os agentes de ameaças recentemente empregaram notificações do toast que anunciam atualizações de software falsas para induzir os usuários a instalar aplicativos maliciosos do Windows.

o MDR do Rapid7 não conseguiu reproduzir um push de um software malicioso depois de visitar o site comprometido em birchlerarroyocom, possivelmente por vários motivos:

  • os sites habilitados para notificação podem enviar notificações em frequências variadas, conforme explicado aqui, e horários variados do dia.
  • sabe-se que pacotes maliciosos são enviados seletivamente para usuários com base na geolocalização, conforme explicado aqui. (Nota: O Mdr do Rapid7 interagiu com o site usando endereços IP com geolocações variadas na América do Norte e na Europa.)
  • o malware não estava mais sendo servido no momento da investigação.

no Entanto, o malware entrega técnicas descritas por Malwaretips e McAfee, provavelmente foram empregadas para enganar os usuários em nossas investigações sobre a instalação de malware, enquanto eles estavam navegando na Internet. Conforme explicado na seção” Análise Forense”, em uma de nossas investigações, houve evidências de uma notificação inicial do toast, uma falsa Máscara de atualização e instalação de um aplicativo malicioso do Windows. Além disso, o processo de avô do comando PowerShell que detectamos, sihost.exe, nos indicou que o malware pode ter aproveitado o centro de notificação do Windows durante a cadeia de infecção.

análise Forense

Análise do Usuário do Chrome perfil e Microsoft-Windows-PushNotifications-Platform Logs de Eventos do Windows sugere que, após o usuário permitindo que as notificações sejam enviadas a partir do site comprometido em birchlerarroyocom, o usuário foi apresentado e autorizado uma notificação do sistema. Não foi possível determinar o conteúdo da notificação do toast com base nas evidências disponíveis.

Figura 14: Log de Eventos do Windows para o usuário limpar uma notificação do sistema, para prosseguir com o malware, a infecção de corrente

com Base em nossa análise de carimbo de data / hora de prova, o usuário provavelmente foi dirigido a cada um de getreddbiz, postsupportnet, e updateslivescom depois de clicar a notificação do sistema, e apresentou uma atualização falsa página web.

semelhante ao mecanismo de infecção descrito pela McAfee, o caminho de instalação do malware no disco dentro C:\Program Files\WindowsApps\ sugere que os usuários foram enganados para instalar um aplicativo malicioso do Windows. Os logs de Eventos do Windows Microsoft-Windows-AppXDeploymentServerOperational e Microsoft-Windows-AppxPackagingOperational continham entradas suspeitas confirmando a instalação do malware como um aplicativo do Windows, conforme mostrado nas figuras 15-19.

Figura 15: Log de Eventos do Windows exibir a leitura do conteúdo de um aplicativo suspeito pacote “3b76099d-e6e0-4e86-bed1-100cc5fa699f_113.0.2.0_neutral__7afzw0tp1da5e”
Figura 16: Log de Eventos do Windows exibir a implantação do pacote de aplicativos com o passar do suspeito parâmetros de instalação para o aplicativo via Instalador do Aplicativo, como descrito aqui. (Notar: O MDR do Rapid7 notou o valor do parâmetro ran alterado em interações separadas e distintas com a infraestrutura do ator de ameaça, sugerindo que o parâmetro ran pode ser empregado para fins de rastreamento.)
Figura 17: Log de Eventos do Windows que aparece para mostrar o URI de instalação do parâmetro que está sendo processado pelo aplicativo através da App Installer
Figura 18: Log de Eventos do Windows, mostrando a validação da aplicação do pacote de assinatura digital. Veja aqui para mais informações sobre assinaturas de pacotes de aplicativos Windows
Figura 19: Log de Eventos do Windows mostrando a implantação bem-sucedida do pacote do aplicativo

Os eventos nas Figuras 15 e 19 ilustram que o mal-intencionado do Windows aplicativo foi distribuído através da web com o Instalador do Aplicativo como um MSIX arquivo, oelgfertgokejrgre.msix.

Análise de Oelgfertgokejrgre.msix

o MDR do Rapid7 visitou chromesupdatecom em um ambiente controlado e descobriu que estava hospedando uma página da Web com tema de atualização do Chrome convincente.

Figura 20: Lure hospedado no chromesupdatecom

o título do site, “Google Chrome-baixe o navegador rápido e seguro do Google”, foi consistente com aqueles que observamos dos URLs de redirecionamento getreddbiz, postsupportnet e updateslivescom. Os usuários em nossas investigações provavelmente chegaram ao site na Figura 20 depois de clicar em uma notificação maliciosa do toast e clicaram no link “Instalar” apresentado no site para iniciar a instalação do aplicativo do Windows.

o link “Instalar” apresentado no Site levou a um URL do Instalador de aplicativos do Windows (semelhante ao Visto na Figura 17), que é consistente com a distribuição MSIX via web.

Figura 21: Parte do código-fonte da página da web hospedado no chromesupdatecom mostrando um aplicativo do Windows installer URL para um mal-intencionado MSIX pacote

a rapid7 do MDR obtido o MSIX arquivo, oelgfertgokejrgre.msix, hospedado em chromesupdatecom, e confirmou que era uma aplicação do Windows do pacote.

Figura 22: conteúdo extraído de oelgfertgokejrgre.msix

a Análise dos conteúdos extraídos de oelgfertgokejrgre.msix revelou as seguintes características notáveis e características:

  • Dois arquivos, HoxLuSfo.exe e JiLutime.dll, foram contidos dentro de HoxLuSfo subdiretório. JiLutime.dll (MD5: 60bb67ebcffed2f406ac741b1083dc80) foi uma DLL obfuscator Agile. NET de 32 bits assinada pela SecureTeam Software Ltd, com probabilidade de (de)ofuscar o conteúdo.
  • o arquivo AppxManifest.xml continha mais referências ao disfarce do aplicativo Windows como uma atualização do Google Chrome, bem como detalhes relacionados à identidade e assinatura do pacote.
Figura 24: Conteúdo parcial do AppxManifest.xml
  • o arquivo DeroKuilSza.build.appxrecipe continha strings que referenciavam um projeto “DeroKuilSza”, que provavelmente está associado ao autor do malware.
Figura 25: referências a um projeto” DeroKuilSza ” encontrado dentro de DeroKuilSza.construir.appxrecipe

nossa análise dinâmica de oelgfertgokejrgre.msix forneceu clareza em torno do processo de instalação do malware. A detonação de oelgfertgokejrgre.msix fez com que uma janela do Windows App Installer aparecesse, que exibia informações sobre uma falsa atualização do Google Chrome.

Figura 26: Janela do Instalador de aplicativos do Windows mostrando um falso prompt de instalação do google Chrome update

as informações exibidas ao usuário na Figura 26 são Falsificadas para se disfarçar como uma atualização legítima do Google Chrome. As informações se correlacionam com a configuração AppxManifest.xml mostrada na Figura 24.

uma vez que prosseguimos com a instalação, o pacote MSIX registrou um remetente de notificação via Instalador de aplicativos e imediatamente apresentou uma notificação para iniciar a falsa atualização do Google Chrome.

Figura 27: Registro do Instalador do Aplicativo como uma notificação do remetente e de notificação de lançamento o falso do Google Chrome update

Desde que o mal-intencionado do Windows pacote de aplicativos instalados pelo MSIX arquivo foi hospedado na Microsoft Store, um prompt é apresentado para ativar a instalação de sideload de aplicativos, se não estiver habilitado, para permitir a instalação de aplicativos de fontes não oficiais.

Figura 28: requisito para que o modo de aplicativos sideload seja ativado para prosseguir com a instalação
Figura 29: Menu apresentado ao Usuário para habilitar o modo sideload apps para concluir a instalação do malware

o malware precisa da ativação de “Sideload apps” para concluir sua instalação.

puxando a máscara

o malware que resumimos nesta postagem do blog tem vários truques na manga. Seu mecanismo de entrega por meio de um serviço de anúncios como um aplicativo do Windows (que não deixa artefatos forenses de download típicos baseados na web para trás), caminho de instalação de aplicativos do Windows e técnica de bypass UAC pela manipulação de uma variável de ambiente e tarefa agendada nativa podem passar despercebidos por várias soluções de segurança ou mesmo por Os clientes de MDR da Rapid7 podem ter certeza de que, aproveitando nossa metodologia de detecção de análise de comportamento de invasores, nossos analistas detectarão e responderão a essa cadeia de infecções antes que o malware possa roubar dados valiosos.

IOCs

Type Indicator
Domain Name updateslivescom
Domain Name getreddbiz
Domain Name postsupportnet
Domain Name eu.postsupportnet
Domain Name cleancracktech
Domain Name s1.cleancracktech
Domain Name s4.cleancracktech
Domain Name getblackkbiz
Domain Name chromesupdatecom
Domain Name fastredbiz
Domain Name clickmattersbiz
Domain Name takiparkrbsite
Directory C:\Program Files\WindowsApps\3b76099d-e6e0-4e86-bed1-100cc5fa699f_113.0.2.0_neutral__7afzw0tp1da5e\HoxLuSfo
Filepath C:\Program Files\WindowsApps\3b76099d-e6e0-4e86-bed1-100cc5fa699f_113.0.2.0_neutral__7afzw0tp1da5e\HoxLuSfo\HoxLuSfo.exe
Filename HoxLuSfo.exe
MD5 1cc0536ae396eba7fbde9f35dc2fc8e3
SHA1 b7ac2fd5108f69e90ad02a1c31f8b50ab4612aa6
SHA256 5dc8aa3c906a469e734540d1fea1549220c63505b5508e539e4a16b841902ed1
Filepath %USERPROFILE%\AppData\Local\Microsoft\OneDrive\setup\st.exe
Filename st.exe
Registry Value + Registry Data HKCU\Environment.%windir% –> %LOCALAPPDATA%\Microsoft\OneDrive\setup\st.exe REM
Filename oelgfertgokejrgre.msix
MD5 6860c43374ad280c3927b16af66e3593
SHA1 94658e04988b02c395402992f46f1e975f9440e1
SHA256 0a127dfa75ecdc85e88810809c94231949606d93d232f40dad9823d3ac09b767

NEVER MISS A BLOG

Get the latest stories, expertise, and news about security today.

Subscribe

Deixe uma resposta

O seu endereço de email não será publicado.