Caminho: LSB-стеганография и многоступенчатая цепочка заражения
Источник: arcticwolf.com
Кратко: Загрузчик Caminho, идентифицированный компанией Arctic Wolf, представляет собой сложную операцию в модели loader as a service бразильского происхождения. Злоумышленники используют стеганографию по младшему разряду (LSB) для сокрытия вредоносных полезных нагрузок в файлах изображений, размещённых на легитимных платформах, включая archive.org.
Суть угрозы
Caminho действует как многоступенчатый загрузчик: начало атаки — целевые фишинговые письма с архивами, содержащими JavaScript или VBScript. При открытии таких вложений выполняющиеся скрипты извлекают запутанную PowerShell-полезную нагрузку, которая затем загружает стеганографические изображения (steganographic payloads) с легальных онлайн-сервисов.
«Атака использует многоступенчатую цепочку заражения, сначала опуская JavaScript, который сильно затемнён, чтобы избежать статического анализа», — отмечают исследователи Arctic Wolf.
Как работает цепочка заражения
- Фишинговая рассылка с архивацией JavaScript/VBScript; темы часто имитируют деловую переписку (социальная инженерия).
- Вложенные скрипты запускают сильно обфусцированный JavaScript, который избегает статического анализа и делает HTTP-запросы для получения следующего этапа.
- Полученный код вызывает PowerShell, который загружает изображения с таких сервисов, как archive.org, и извлекает из них steganographic payload методом LSB.
- Полученная полезная нагрузка выполняется в памяти (fileless execution), без записи на диск.
Меры уклонения и устойчивость
Caminho включает обширный набор анти-анализных механизмов: проверки среды на наличие виртуальных машин, отладчиков и других инструментов анализа. Это повышает скрытность загрузчика и затрудняет обнаружение традиционными средствами защиты.
Для закрепления в системе злоумышленники создают запланированные задачи, которые повторно запускают JavaScript-реплику исходного сценария заражения, обеспечивая постоянство присутствия.
Инфраструктура и используемые ресурсы
- Комбинация легальных хостинговых сервисов (для размещения стеганографических изображений) и выделенных серверов для командования и контроля (C2).
- Высокая организованность операций указывает на наличие централизованной хакерской группировки, предлагающей услуги загрузчика для третьих лиц.
Распределение и связанные семейства вредоносного ПО
По оперативным данным, основная концентрация атак приходится на Бразилию, после чего активность распространилась на регионы Африки и Восточной Европы. Caminho уже ассоциирован с распространением нескольких типов вредоносного ПО, включая REMCOS RAT, XWorm и Katz Stealer, что демонстрирует его универсальность как сервиса доставки вредоносных нагрузок.
Выводы
Загрузчик Caminho — пример модернизированного механизма распространения вредоносного ПО, адаптирующегося под современные меры детекции: использование LSB-стеганографии в сочетании с легитимными хостинг-платформами, fileless-исполнением и продвинутыми анти-анализными техниками делает его заметно более устойчивым к классическим средствам защиты. Модель loader as a service позволяет злоумышленникам предлагать эту платформу различным клиентам и расширять географию атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
