sha1:
- 9f5d1dbb2cd31b2af97e14b8781ea035a4869194 (tmp6FC15.dll)
Описание
Вредоносная программа на языке C++, компонент семейства Trojan.Scavenger. Представляет собой динамическую библиотеку, основной задачей которой является загрузка и подготовка к запуску в инфицированной системе последующих ступеней заражения — Trojan.Scavenger.3 и Trojan.Scavenger.4. Для этого Trojan.Scavenger.2 помещает их в директории с приложениями, подверженными уязвимости DLL Search Order Hijacking. Запуск этих ступеней происходит автоматически при запуске соответствующих программ.
Принцип действия
Запуск троянаВ зависимости от реализуемого сценария атаки Trojan.Scavenger.2 может быть как следующим компонентом в цепочке заражения, который скачивается в целевую систему вредоносной программой Trojan.Scavenger.1, так и его стартовой точкой. В первом случае троян в качестве файла %TEMP%\tmp6FC15.dll загружается и затем запускается вредоносной программой Trojan.Scavenger.1. Во втором случае троян распространяется под видом ASI-файлов для установки модов к компьютерной игре. После того как жертва согласно инструкции злоумышленников копирует троянский файл в каталог игры, тот автоматически запускается при ее старте.
Проверка окруженияПри запуске Trojan.Scavenger.2 предварительно выполняет стандартную для представителей этого семейства проверку окружения. При обнаружении признаков запуска в виртуальной среде или в режиме отладки троян прекращает работу.
Скачивание полезной нагрузкиПрежде чем приступить непосредственно к скачиванию полезной нагрузки с управляющего сервера Trojan.Scavenger.2, как и большинство компонентов семейства, проверяет ключ шифрования для защищенного обмена данными. Для этого используется алгоритм, рассмотренный в соответствующем описании. После успешной проверки ключа шифрования на C2-сервере вредоносная программа скачивает следующие ступени заражения. Для этого выполняются запросы по маршрутам:
-
/pl — получение списка целевых файлов;
-
/pdl — получение тела полезной нагрузки;
-
/pdp — пути, по которым будет выполняться поиск директорий для размещения загруженных файлов.
Этот запрос имеет следующие параметры:
-
Стандартные для семейства Trojan.Scavenger параметры запроса;
-
_ = -.
В ответ на него C2-сервер отправляет список полезных нагрузок, параметры для определения целевой директории, куда будут скопированы эти файлы, а также их конечные имена. Этот ответ зашифрован с использованием алгоритма XXTEA, после расшифровки он имеет следующий вид:
[{"enabled": true, "identifier": "shiny", "drop_name": "version.dll", "next_to_match": "notification_helper.exe", "next_to_extra_nav": "\\..\\..\\", "next_to_extra_nav_confirmation": "anifest.xml"}, {"enabled": true, "identifier": "exodus", "drop_name": "profapi.dll", "next_to_match": "\\Exodus.exe", "next_to_extra_nav": "\\..", "next_to_extra_nav_confirmation": "v8_context_snapshot.bin"}]где:
-
enable — создать запросы /pdl и /pdp на скачивание полезной нагрузки;
-
identifyre — параметр для запроса /pdl;
-
drop_name — имя, с которым целевой файл будет сохранен после скачивания;
-
next_to_match — совпадение при обходе директории;
-
next_to_extra_nav — параметры для поиска нужной директории для сохранения скачиваемого файла (например, для пути C:\Program Files (x86)\Microsoft\Edge\Application\136.0.3240.64\notification_helper.exe" - \..\.. итоговый путь будет C:\Program Files (x86)\Microsoft\Edge\Application);
-
next_to_extra_nav_confirmation — часть имени файла для подтверждения того, что тот находится в нужной директории.
Этот запрос имеет следующие параметры:
-
стандартные для семейства Trojan.Scavenger параметры запроса;
-
p — тип скачиваемого компонента.
Trojan.Scavenger.2 скачивает две дополнительные ступени для дальнейшего заражения компьютера:
-
p = shiny — Trojan.Scavenger.3;
-
p = exodus — Trojan.Scavenger.4.
После декодирования base64 полезная нагрузка шифруется операцией XOR со строкой F**kOff (часть символов нами целенаправленно скрыта).
Запрос с маршрутом /pdpЭтот запрос имеет следующие параметры:
-
стандартные для семейства Trojan.Scavenger параметры запроса;
-
_ = -.
В ответ на него C2-сервер отправляет массив с именами директорий для обхода. Этот ответ зашифрован с использованием алгоритма XXTEA, после расшифровки он имеет следующий вид:
["C:\\Program Files", "C:\\Program Files (x86)", "%LOCALAPPDATA%", "%APPDATA%"]При получении соответствующего ответа на запрос с маршрутом /pdp троян начинает обходить заданные директории для поиска тех, в которые будет скопирована скачанная полезная нагрузка. Поиск выполняется в соответствии с правилами, переданными C2-сервером в ответе на запрос с маршрутом /pl.
Изначально Trojan.Scavenger.2 ищет файл с именем, переданным в параметре next_to_match. Далее формируется путь до искомой директории с помощью правила next_to_extra_nav. Затем в соответствии с параметрами из поля next_to_extra_nav_confirmation происходит проверка директории. Для этого в ней выполняется поиск файла по его полному имени (например, v8_context_snapshot.bin), либо по его части (например, подстроки anifest.xml, которая присутствует в именах Manifest-файлов различных браузеров).
Подробнее о Trojan.Scavenger.1
Подробнее о Trojan.Scavenger.3
Подробнее о Trojan.Scavenger.4
Новость о трояне
Индикаторы компрометации
