Modiloader и Snakekeylogger: новый уровень фишинговых угроз

Новый метод распространения вредоносного ПО через фишинговые кампании: анализ Ahnlab (ASEC)

Аналитический центр безопасности Ahnlab (ASEC) обнаружил инновационный способ распространения вредоносного ПО с помощью модифицированного загрузчика Modiloader (DBATLOADER). Данная угроза распространяется через фишинговые рассылки по электронной почте и задействует сложные техники маскировки и скрытности, которые затрудняют её обнаружение и блокировку.

Механизм заражения и распространения

Фишинговые e-mail рассылки выдавали себя за сообщения от легитимных организаций, побуждая пользователей открывать вложения якобы для подтверждения деталей транзакции. Вложения содержали архив с BAT-скриптом, который после запуска активировал DBATLOADER (файл x.exe), закодированный в BASE64. Основные этапы заражения включают:

• Разархивацию и исполнение сценария BAT для запуска DBATLOADER.
• Маскировку исполняемого файла под SVCHOST.PIF в каталоге WindowsSyswow64.
• Использование техники сторонней загрузки DLL (DLL Side-Loading) для запуска вредоносной библиотеки networkils.dll совместно с легитимным процессом Easinvoker.exe.

Функциональность и скрытность вредоносного ПО

DBATLOADER управляется с помощью нескольких BAT-скриптов, обрабатываемых VBATLOADER, которые расшифровывают и исполняют команды для обеспечения максимальной скрытности. Ключевыми элементами являются:

• Скрипт 5696.cmd, отвечающий за запуск SVCHOST.PIF, который подгружает networkils.dll и затем удаляет библиотеку после выполнения.
• Скрипт NEO.CMD, который копирует PowerShell.exe и изменяет настройки защиты Windows Defender для обхода обнаружения.
• Создание маскировочного файла wxiygome.pif, который скрывает выполнение Snakekeylogger в рамках обычных процессов.

Snakekeylogger: скрытая угроза для личных данных

Snakekeylogger — вредоносная программа, разработанная на .NET, специально предназначенная для кражи конфиденциальных данных с различных каналов:

• электронная почта (e-mail);
• FTP и SMTP;
• Telegram.

Она способна захватывать системную информацию, ввод с клавиатуры и содержимое буфера обмена, что ставит под угрозу безопасность пользователей и корпоративных сетей.

Методы уклонения и важность защиты

DBATLOADER применяет сложные методы обхода защиты, включая:

• стороннюю загрузку библиотек (DLL Side-Loading);
• внедрение в системные процессы, такие как CMD.exe и PowerShell.exe;
• деактивацию защиты Windows Defender с помощью скриптов.

Эксперты ASEC рекомендуют:

• проявлять максимальную осторожность при открытии файлов скриптов и вложений из непроверенных источников;
• регулярно обновлять программное обеспечение и антивирусные базы;
• сохранять бдительность в отношении подозрительных электронных писем и признаков фишинга.

Осведомленность пользователей и своевременная реакция на потенциальные угрозы остаются ключевыми факторами в защите от подобных вредоносных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.