TrickBot проверяет разрешение экрана, чтобы ускользнуть от исследователей
Операторы вредоносного ПО TrickBot использовали новый метод для проверки разрешения экрана системы-жертвы, чтобы избежать обнаружения программного обеспечения безопасности и анализа исследователями.
В прошлом году банда TrickBot добавила в свое вредоносное ПО новую функцию, которая прерывала цепочку заражения, если устройство использовало нестандартные разрешения экрана 800x600 и 1024x768.
В новом варианте, обнаруженном исследователями угроз, код подтверждения был добавлен во вложение вредоносного спама в формате HTML, доставленное потенциальной жертве.
Заимствованный трюк
Исследователи обычно анализируют вредоносные программы на виртуальных машинах, которые обладают определенными особенностями, особенно в конфигурациях по умолчанию, таких как запущенные службы, имя машины, сетевая карта, функции ЦП и разрешение экрана.Разработчики вредоносных программ знают об этих характеристиках и пользуются преимуществами реализации методов, останавливающих процесс заражения в системах, идентифицированных как виртуальные машины.
В образцах вредоносного ПО TrickBot, обнаруженных в прошлом году, исполняемый файл содержал код JavaScript, который проверял разрешение экрана системы, в которой он работал.
Недавно TheAnalyst - охотник за угрозами и член исследовательской группы по безопасности Cryptolaemus обнаружил, что HTML-вложение из кампании вредоносного спама TrickBot ведет себя иначе на реальной машине, чем на виртуальной.
Вложение загружало вредоносный ZIP-архив в физическую систему, но перенаправляло его на веб-сайт ABC (American Broadcasting Company) в виртуальной среде.
Если цель открывает HTML-код в своем веб-браузере, вредоносный сценарий декодируется, и полезная нагрузка развертывается на их устройстве.
Электронное письмо с вложением было поддельным предупреждением о покупке страховки с подробностями, добавленными во вложение в формате HTML.
источник: TheAnalystОткрытие вложения запускало HTML-файл в веб-браузере по умолчанию, отображая сообщение с просьбой проявить терпение для загрузки документа и предоставить пароль для доступа к нему.
На компьютере обычного пользователя цепочка заражения продолжится загрузкой ZIP-архива, содержащего исполняемый файл TrickBot, как показано на изображении ниже, опубликованном TheAnalyst:
источник: TheAnalystЗагрузка вредоносного ПО таким способом - это метод, известный как контрабанда HTML . Это позволяет злоумышленнику обойти фильтры содержимого браузера и проникнуть вредоносные файлы на целевой компьютер, включив закодированный код JavaScript в файл HTML.
Хотя это кажется нововведением операторов TrickBot, этот трюк не нов, и ранее уже применялся при атаках, заманивающих жертв на фишинговые сайты.
Исследователь безопасности MalwareHunterTeam обнаружил в марте этого года набор для фишинга, который включал код для проверки разрешения экрана системы.
источник: MalwareHunterTeamС тех пор исследователь сказал BleepingComputer, видел, что эта тактика многократно использовалась в различных фишинговых кампаниях как средство избежать следователей.
Сценарий определяет, использует ли пользователь, попадающий на фишинговую страницу, виртуальную машину или физическую, проверяя, использует ли веб-браузер программный рендерер, например SwiftShader , LLVMpipe или VirtualBox, что обычно означает виртуальную среду.
Как видно выше, сценарий также проверяет, составляет ли глубина цвета экрана посетителя менее 24 бит или высота и ширина экрана менее 100 пикселей.
TrickBot не использует тот же сценарий, что и приведенный выше, но использует ту же тактику для обнаружения песочницы исследователя. Тем не менее, использование такого сценария во вложении HTML - это премьера.
Это также может быть первым случаем, когда вредоносное ПО использует вложение для проверки разрешения экрана вместо того, чтобы делать это на целевой странице, обслуживающей исполняемый файл вредоносного ПО.
Ранее вредоносная программа проверяла нестандартные разрешения экрана 800x600 и 1024x768, которые указывают на виртуальную машину.
Перевод - Google
Bleeping Computer