Pull to refresh
65.02
Cloud4Y
#1 Корпоративный облачный провайдер

Чем опасны социальные сети на рабочем ПК?

Reading time4 min
Views8.9K
Original author: Lenart Bermejo and Hsiao-Yu Shih


Исследователи компании Trend Micro обнаружили новый бот-майнер криптовалюты, распространяющийся через Facebook Messenger. Впервые он был замечен в Южной Корее и получил прозвище Digmine. Также наблюдалось распространение Digmine в других регионах, таких как Вьетнам, Азербайджан, Украина, Вьетнам, Филиппины, Таиланд и Венесуэла.

Facebook Messenger работает на разных платформах, но Digmine опасен только для настольной/веб-браузерной версии. Если открыть файл на других платформах, например, на мобильных устройствах, вредоносное ПО не будет работать должным образом.

Для создания Digmine используется AutoIt — свободно распространяемый язык для автоматизации выполнения задач в Microsoft Windows. Файл отправляется потенциальным жертвам в виде видео-файла, но на самом деле является исполняемым скриптом на AutoIt. Если учетная запись пользователя Facebook настроена на автоматический вход в систему, Digmine будет использовать Facebook Messenger жертвы, чтобы отправить друзьям пользователя ссылку на файл. На данный момент бот занимается только распространением вредоносной программы. Позже функциональность может быть обновлена путём изменения кода с помощью C&C-сервера (command-and-control).

Для успешной работы бот-сетей для майнинга криптовалюты и, в частности, Digmine, который добывает Monero, злоумышленникам требуется оставаться в системе жертвы как можно дольше. Вирусу также необходимо заразить как можно больше машин, поскольку это приводит к увеличению хэшрейта и потенциально к большему преступному доходу.


Рисунок 1: Цепочка атаки Digmine


Рисунок 2: Ссылка на Digmine, отправленная через Facebook Messenger

Цепь заражения


Digmine является загрузчиком, который сначала подключается к серверу C&C, чтобы получить несколько компонентов. Первоначальная конфигурация содержит ссылки, с которых загружаются компоненты. Большинство из них также размещены на этом же C&C сервере. Он сохраняет загруженные компоненты в %appdata%\username директории.




Рисунок 3: Конфигурация и загруженные компоненты

Digmine будет выполнять и другие процедуры, такие как добавление в реестр автозагрузки, запуск Chrome и установка вредоносного расширение браузера, которое будет получено с сервера C&C. Если Chrome уже запущен, вредоносное ПО завершит его работу и перезапустит. Хотя расширения можно загружать только из Интернет-магазина Chrome, злоумышленники обошли это ограничение, запустив Chrome (с вредоносным расширением) через командную строку.




Рисунок 4: Компонент загрузчика Digmine в записи реестра автозапуска (вверху) и маркер, указывающий, что вредоносная программа заразила систему (внизу)




Рисунок 5: Перезагрузка Chrome для загрузки расширения (внизу)

C&C-сервер может либо дать указание по продлению использования текущей конфигурации, либо открыть страницу, на которой будет воспроизводиться видео.

Сайт-приманка, который воспроизводит видео, также служит частью C&C-структуры. Этот сайт выглядит как обычный видео-стриминговый сервис, но также содержит множество конфигураций для компонентов вредоносного ПО.


Рисунок 6: Снимок экрана сайта, используемого для воспроизведения видео в качестве приманки


Рисунок 7: Начальная настройка, используемая расширением браузера

Распространение


Расширение браузера отвечает за распространение через взаимодействие с Chrome, а также через Facebook Messenger. Если у пользователя есть учетная запись Facebook, залогиненная по умолчанию, расширение браузера может взаимодействовать с этой учетной записью. Взаимодействие Digmine с Facebook может стать шире в будущем, так как злоумышенники могут добавлять функционал удаленно.


Рисунок 8: Часть дополнительного кода, полученного с C&C-сервера, который позволяет манипулировать аккаунтом Facebook

Компонент для майнинга


Модуль miner загружается с помощью codec.exe. Он подключится к другому серверу C&C для получения файла конфигурации и программы майнера.

Компонент miner.exe — это разновидность Minero Miner с открытым исходным кодом, известный как XMRig. Он был перенастроен для майнинга с использованием файла config.json вместо получения параметров непосредственно из командной строки.




Рисунок 9: Конфигурация майнера (сверху) и код codec.exe, запускающий компонент Miner (внизу)

Связь и протокол


Для связи с сервером C&C используются определенные HTTP-заголовки. При загрузке исходной конфигурации вредоносное ПО создает HTTP GET запрос перед отправкой на сервер C&C:



Следует отметить, что вредоносное ПО использует определенный User-Agent — Miner. Доступ к исходному файлу конфигурации запрещен, если заголовок HTTP-запроса неверен.

Лучшие практики


Возрастающая популярность добычи криптовалюты привлекает злоумышленников к незаконной деятельности по созданию ботнета для майнинга. Как и в других кибер-криминальных схемах, цифры имеют решающее значение. Большие пулы жертв означают потенциально большую прибыль. Поэтому не удивляет и тот факт, что заражение распространяется через популярные платформы, такие как многомиллионные социальные сети и мессенджеры. Так как пользователи часто используют их для общения в рабочее время, это может негативно отразиться на информационной безопасности корпоративной IT-инфраструктуры.

Trend Micro раскрыли результаты исследований Facebook, которые быстро удалили многие из связанных с Digmine ссылок. В официальном заявлении Facebook сказано

«Мы используем ряд автоматизированных систем, которые помогают остановить появление вредоносных ссылок и файлов на Facebook и в Messenger. Если вы подозреваете, что ваш компьютер заражен вредоносным ПО, мы предоставим вам бесплатную антивирусную проверку от наших партнеров. Мы рассказываем о том, как оставаться в безопасности на facebook.com/help."

Ниже приведены индикаторы компроментации, связанные с этой атакой (IoCs):

TROJ_DIGMINEIN.A (SHA256);
beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

BREX_DIGMINEEX.A (SHA256):
5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

TROJ_DIGMINE.A (SHA256):
f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909

C&C servers related to Digmine (including subdomains):
vijus[.]bid
ozivu[.]bid
thisdayfunnyday[.]space
thisaworkstation[.]space
mybigthink[.]space
mokuz[.]bid
pabus[.]bid
yezav[.]bid
bigih[.]bid
taraz[.]bid
megu[.]info

Другие статьи нашего блога:
Облака из неведомой страны. FAQ по облачным технологиям
Ошибки операторов ПДн, связанные с кадровой работой
Сравниваем то, что нельзя: дешевый хостинг и облако на стеке VMware
Детям — мороженое, информационной системе — бэкап
FAQ по теме интеграции с ЕСИА
Tags:
Hubs:
Total votes 20: ↑7 and ↓13-6
Comments7

Articles

Information

Website
www.cloud4y.ru
Registered
Founded
2009
Employees
51–100 employees
Location
Россия