Masslogger без файлов: новая эволюция кражи учетных данных

Исследование Seqrite Labs выявило сложный и уникальный вариант вредоносного ПО Masslogger, ориентированный на кражу учетных данных. Вредоносное ПО распространяется через файлы с расширением .VBE, закодированные на VBScript, и демонстрирует инновационный многоэтапный безфайловый механизм работы, который значительно усложняет обнаружение и удаление.

Механизм заражения и скрытность работы

Распространение вредоносной программы происходит, как правило, посредством спам-рассылок по электронной почте или загрузки вредоносного файла с заражённого ресурса. На начальной стадии заражения запускается файл .VBE, который подготавливает для дальнейшей работы среду с помощью изменения значений в реестре Windows.

• Вредоносное ПО создаёт контролируемые разделы реестра, в которые записывает закодированные полезные данные блоками по 25 000 символов;
• Для обеспечения устойчивой работы создаётся запланированная задача Windows, запускающая исполнительный код каждую минуту;
• Вредоносная программа использует безфайловую технологию, реализующую выполнение команд PowerShell в памяти, что позволяет обходить традиционные методы обнаружения на основе анализа файловой системы;
• Для введения данных имитируется пользовательский ввод с помощью PowerShell, считывая значения из реестра и подставляя их в команды;
• Перед активацией вредоносный код проверяет наличие антивирусных решений, читая параметры реестра, и при обнаружении безопасности — прекращает выполнение.

Структура многоэтапного выполнения

Работа Masslogger реализована в два основных этапа:

1. Этап 1. Настройка среды и загрузка закодированной полезной нагрузки в реестр;
2. Этап 2. Извлечение и внедрение основной вредоносной нагрузки в целевой процесс с использованием метода «пустого процесса» (process hollowing) для маскировки активности.

Также программа учитывает географические параметры системы — системный язык ввода и локаль, позволяя адаптировать своё поведение в зависимости от местоположения жертвы.

Функциональные возможности Masslogger

После успешного внедрения основной полезной нагрузки Masslogger осуществляет активный сбор конфиденциальных данных, в том числе:

• Извлечение сохранённых учётных данных из популярных веб-браузеров и почтовых клиентов;
• Функционирование как кейлоггер, записывающий нажатия клавиш;
• Снятие скриншотов экрана;
• Чтение содержимого буфера обмена;
• Отслеживание пользовательских действий на устройстве.

Для передачи украденных данных используется метод SpeedOffPWExport(), который поддерживает различные каналы, включая FTP, SMTP и Telegram. В случае Telegram обмен происходит через Telegram Bot API с добавлением контекстных подписей, что повышает надёжность и точность передачи.

Вызовы для систем безопасности и рекомендации

Новый бесфайловый вариант Masslogger представляет собой значительный вызов для систем антивирусной защиты. Традиционные сигнатурные методы фактически бессильны против такого типа угроз из-за использования:

• безфайлового исполнения кода;
• хранения параметров вредоносного ПО в реестре;
• маскировки процесса через process hollowing;
• адаптации поведения в зависимости от локали и антивирусной проверки.

Чтобы эффективно противостоять подобным угрозам, экспертам по информационной безопасности важно:

• широко применять методы поведенческого анализа и поведенческого обнаружения;
• внимательно мониторить и анализировать необычные изменения в реестре Windows;
• отслеживать непривычную сетевую активность, особенно взаимодействия с нестандартными Telegram-ботами и FTP-серверами;
• проводить обучение пользователей по повышению осведомлённости о рисках спам-рассылок и опасных вложений.

Masslogger подтверждает тенденцию эволюции вредоносных программ в сторону более скрытных и продвинутых техник, требующих от специалистов постоянного совершенствования методов защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.