Как стало недавно известно, пользователи сталкиваются не только с фишинговыми атаками, нацеленных на Bitwarden и 1Password, но и с вредоносными программами в рекламных кампаниях Google.
В одной из такой кампании, обнаруженной открытой площадкой исследователей Sentinel Labs, злоумышленники распространяют вредоносное ПО семейства Formbook, представляющее собой виртуализированные загрузчики .NET, получившие название «MalVirt», и которые обходят обнаружения антивирусов.
«Средства виртуализации, такие как KoiVM, запутывают исполняемые файлы, заменяя исходный код, такой как инструкции NET Common Intermediate Language (CIL), виртуализированным кодом, понятным только инфраструктуре виртуализации», — поясняется в новом отчете SentinelLabs.
«Движок виртуальной машины выполняет виртуализированный код, переводя его в исходный код во время выполнения».
«При злонамеренном использовании виртуализация усложняет анализ вредоносных программ, а также представляет собой попытку обойти механизмы статического анализа».
Sentinel Labs отмечает, что, хотя виртуализация KoiVM популярна среди использования хакерских инструментов и взломов, она редко используется для распространения вредоносных программ.
Новая тенденция в использовании виртуализации KoiVM может быть одним из многочисленных побочных эффектов отключения компанией Microsoft макросов в Office.
Злоупотребление поисковой рекламой Google
В течение последнего месяца исследователи наблюдают рост поисковой рекламы Google в качестве распространения различных вредоносных программ, в том числе программ семейства RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthysstealer, IcedID, Raccoon Stealer и многих других.
Вредоносная программа семейства Formbook, которая использует виртуализацию для обхода обнаружения антивирусами, в рекламной кампании Google, используется через фишинговые объявления рекламы популярного программного обеспечения Blender.
В загружаемых программах, предлагаемых этими поддельными сайтами, используются недействительные цифровые подписи, выдающие себя за Microsoft, Acer, DigiCert, Sectigo и AVG Technologies USA.
Хотя эти недействительные подписи не обойдут проверку Windows и не покажут их как подписанные, загрузчики MalVirt все равно содержат функции, позволяющие избежать обнаружения.
«Например, некоторые образцы исправляют функцию AmsiScanBuffer, реализованную в amsi.dll, для обхода интерфейса сканирования на наличие вредоносного ПО (AMSI), обнаруживающего вредоносные команды PowerShell, — объясняет исследователь А. Миленкоски.
«Кроме того, в попытке обойти статические механизмы обнаружения некоторые строки (такие как amsi.dll и AmsiScanBuffer) кодируются с помощью Base-64 и AES».
Загрузчики также могут определять, работают ли они в виртуализированной среде, запрашивая определенные ключи реестра, и если это так, выполнение останавливается, чтобы избежать анализа.
MalVirt также использует подписанный драйвер Microsoft Process Explorer, загружаемый при запуске системы как «TaskKill», что позволяет ему изменять запущенные процессы, чтобы избежать обнаружения.
Чтобы также избежать декомпиляции виртуализированного кода, загрузчики используют модифицированную версию KoiVM, которая имеет дополнительные уровни обфускации, что делает ее расшифровку еще более сложной.
Исследователи из SentinelLabs сообщают, что используемая специальная реализация KoiVM сбивает с толку стандартные фреймворки девиртуализации, такие как «OldRod», запутывая свою работу с помощью арифметических операций вместо использования простых значений.
Скрытие инфраструктуры
В дополнение ко всем системам предотвращения обнаружения, используемым в загрузчике вредоносного ПО, сам Formbook использует новый трюк, который помогает замаскировать его реальный трафик C2 (управление) и IP-адреса.
Вредоносное ПО смешивает свой реальный трафик с различными HTTP-запросами по типу «дымовой завесы», содержимое которых зашифровано и закодировано, чтобы они не выделялись.
Вредоносная программа взаимодействует с этими IP-адресами случайным образом, выбирая их из жестко заданного списка доменов, размещенных различными компаниями.
SentinelLabs добавляют, что в проанализированных образцах Formbook взаимодействовал с 17 доменами, только один из которых был фактическим сервером C2, а остальные служили приманками для запутывания инструментов мониторинга сетевого трафика.
Новая система на довольно старом штамме вредоносного ПО, указывает на то, что ее операторы заинтересованы в расширении ее возможностей новыми функциями, которые сделают ее более скрытной от инструментов безопасности и аналитиков.
Учитывая огромный размер аудитории, которую субъекты угроз могут охватить с помощью вредоносной рекламы, стоит ожидать, что вредоносное ПО продолжит распространяться с использованием данного метода.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах