- 14,593
- 22
- 8 Ноя 2022
Пиратский софт для бизнеса превратился в троянского коня.
В отчете «Лаборатории Касперского» Для просмотра ссылки Войдиили Зарегистрируйся , что пользователи нелицензионных копий корпоративного программного обеспечения для автоматизации бизнес-процессов столкнулись с атакой. Злоумышленники распространяли вредоносные активаторы на бухгалтерских форумах. Распространяемые версии представляли собой модификации активатора HPDxLIB, содержащие стилер RedLine . Библиотека активатора обфусцирована с помощью .NET Reactor, а вредоносный код сжат и зашифрован в несколько слоев. Кампания началась в январе 2024 года и продолжается до сих пор.
<h3>Распространение</h3> Атакующие распространяют вредоносные активаторы через форумы, посвященные бизнесу и бухгалтерскому учету. В сообщениях указывается на функционал обхода проверки лицензии, при этом информация о вредоносной составляющей отсутствует.
Новая версия активатора отличается использованием .NET вместо C++ и наличием самоподписанного сертификата с отпечатком 1c964ea8c58e03cb8517917d062d30f9ad134d29. «Чистые» версии подписаны валидными сертификатами.
Некоторые форумы начали предупреждать о наличии стилера RedLine в сборках HPDxLIB. Однако инструкции к активатору по-прежнему предлагают отключать антивирусное ПО для его корректной работы.
<h3>Заражение</h3> В инструкции к вредоносной версии предлагается заменить легитимную библиотеку techsys.dll на её модифицированный вариант. Это применяется и в «чистых» версиях активатора, однако вредоносная сборка при запуске корпоративного ПО подгружает библиотеку, запускающую стилер.
Вредоносная библиотека techsys.dll содержит ресурс — loader.hpdx.dll, который в более поздних версиях дополнительно сжат с помощью Deflate. Основная вредоносная нагрузка — зашифрованный стилер RedLine. Для шифрования данных используется комбинация XOR, Base85 и AES-256-CBC.
Для расшифровки данных задействованы строки, зашифрованные с помощью XOR, которые используются для формирования криптографических параметров AES-256-CBC. После завершения всех этапов расшифровки извлекается стилер, сжатый алгоритмом Deflate, который затем распаковывается и загружается с помощью Assembly.Load().
<h3>Особенности RedLine</h3> RedLine распространяется по модели Malware-as-a-Service, что позволяет приобретать его как разовую сборку или подписку. Программа ориентирована на кражу данных из браузеров, мессенджеров, а также другой конфиденциальной информации, которая передаётся на командный сервер. В исследованных образцах указанный сервер имел адрес 213.21.220[.]222:8080.
Согласно данным телеметрии, сервер использовался разными группами злоумышленников, что может указывать на аренду инфраструктуры для распространения RedLine.
В отчете «Лаборатории Касперского» Для просмотра ссылки Войди
<h3>Распространение</h3> Атакующие распространяют вредоносные активаторы через форумы, посвященные бизнесу и бухгалтерскому учету. В сообщениях указывается на функционал обхода проверки лицензии, при этом информация о вредоносной составляющей отсутствует.
Новая версия активатора отличается использованием .NET вместо C++ и наличием самоподписанного сертификата с отпечатком 1c964ea8c58e03cb8517917d062d30f9ad134d29. «Чистые» версии подписаны валидными сертификатами.
Некоторые форумы начали предупреждать о наличии стилера RedLine в сборках HPDxLIB. Однако инструкции к активатору по-прежнему предлагают отключать антивирусное ПО для его корректной работы.
<h3>Заражение</h3> В инструкции к вредоносной версии предлагается заменить легитимную библиотеку techsys.dll на её модифицированный вариант. Это применяется и в «чистых» версиях активатора, однако вредоносная сборка при запуске корпоративного ПО подгружает библиотеку, запускающую стилер.
Вредоносная библиотека techsys.dll содержит ресурс — loader.hpdx.dll, который в более поздних версиях дополнительно сжат с помощью Deflate. Основная вредоносная нагрузка — зашифрованный стилер RedLine. Для шифрования данных используется комбинация XOR, Base85 и AES-256-CBC.
Для расшифровки данных задействованы строки, зашифрованные с помощью XOR, которые используются для формирования криптографических параметров AES-256-CBC. После завершения всех этапов расшифровки извлекается стилер, сжатый алгоритмом Deflate, который затем распаковывается и загружается с помощью Assembly.Load().
<h3>Особенности RedLine</h3> RedLine распространяется по модели Malware-as-a-Service, что позволяет приобретать его как разовую сборку или подписку. Программа ориентирована на кражу данных из браузеров, мессенджеров, а также другой конфиденциальной информации, которая передаётся на командный сервер. В исследованных образцах указанный сервер имел адрес 213.21.220[.]222:8080.
Согласно данным телеметрии, сервер использовался разными группами злоумышленников, что может указывать на аренду инфраструктуры для распространения RedLine.
- Источник новости
- www.securitylab.ru
