СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.01.2025
#ИБ#Инфра

LegionLoader: Как защититься от нового киберугрозы

LegionLoader: Как защититься от нового киберугрозы

LegionLoader – это вредоносная программа-загрузчик, впервые обнаруженная в 2019 году. Она также известна под названиями Satacom и RobotDropper, а специалисты компании Mandiant отслеживают её как CurlyGate. LegionLoader представляет собой серьёзную угрозу для пользователей интернета, предлагая обманчивые установки и ведя к утечке конфиденциальной информации.

Методы распространения LegionLoader

Загрузчик активно использует методы социальной инженерии для привлечения жертв. Ключевые аспекты его работы включают:

  • Обман пользователей, заставляющий их посещать веб-сайты с поддельными установщиками.
  • Использование RapidShare для доставки вредоносной информации через ссылки на MEGA.
  • Предоставление вредоносного расширения для Chrome, изменяющего содержимое электронной почты и отслеживающего активность пользователей в интернете.

CursedChrome и дополнительные функции

LegionLoader использует расширение CursedChrome для превращения скомпрометированных браузеров в HTTP-прокси, что позволяет злоумышленникам выдавать себя за жертв. С августа 2024 года в его функционал входит поставка stealers, таких как LummaC2, Rhadamanthys и StealC, вместе с вредоносными расширениями.

Технология и механизмы работы

Главная полезная нагрузка LegionLoader взаимодействует с сервером через двоичный файл MSI, отправляя:

  • дату выполнения;
  • время;
  • язык интерфейса.

Эти данные используются для получения пароля, который разблокирует ZIP-архив с вредоносной DLL-библиотекой. Ранее использовавший rnp.dll, LegionLoader с сентября 2024 года переключился на steamerrorreporter64.exe для загрузки vstdlib_s64.dll.

Методы скрытия и шифрования данных

LegionLoader использует шифрование для защиты своей инфраструктуры:

  • Шелл-код расшифровывается с использованием алгоритма RC4, ключ которого извлекается из реестра.
  • Генерация случайной последовательности символов для обмена данными с сервером.
  • Шифрование полезных данных следующего этапа при помощи XTEA.

Активность LegionLoader включает выходящие сетевые подключения в процессе работы Chrome, а также взаимодействие с расширением «Сохранить на Google Диске». Эти факторы являются ключевыми показателями его активности и могут помочь в раннем обнаружении угрозы.

Заключение

LegionLoader демонстрирует сложные методы внедрения и функционирования в системе, что делают его весьма опасным инструментом для киберпреступников. Эффективное обнаружение и предотвращение заражения данной вредоносной программой требуют постоянного мониторинга активности в сети и готовности реагировать на потенциальные угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: