СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18 мая
#ИБ

YAPA использует MSI и PDFizer для скрытия вредоносной активности

YAPA (Yet Another PDF Application) использует новые техники уклонения, чтобы усложнить обнаружение и анализ. По данным отчета, последняя итерация вредоносного ПО включает компонент PDFizer, который обращается к домену datapdfizer.com для проверки собственной версии через файл version.json.

Что удалось выявить в ходе анализа

Во время исследования в контролируемой среде специалисты зафиксировали подключение к сайту, однако после первоначальной проверки версии никакой дальнейшей активности не наблюдалось. Это может указывать на то, что поведение образца намеренно ограничивается до подтверждения условий запуска.

В ходе анализа PDFizer были замечены признаки того, что вредоносное ПО, вероятно, использует техники системной идентификации для уклонения от обнаружения и анализа. В частности, попытки изменить содержимое version.json не привели к заметным изменениям в поведении образца.

  • изменение version.json не повлияло на наблюдаемую активность;
  • вероятны дополнительные системные проверки;
  • вредоносное ПО, по-видимому, определяет, не запущено ли оно в sandobox.

Проверка среды и противодействие анализу

Авторы отчета отмечают, что вредоносное ПО, вероятно, оценивает среду выполнения, чтобы убедиться, что оно работает не в sandobox. Такой подход затрудняет изучение полного функционала образца и повышает шансы на обход средств обнаружения.

Дальнейшие эксперименты включали перенаправление контента datapdfizer.com на локальный сервер с использованием Frida для хуков и выполнения скриптов. Эта конфигурация позволила наблюдать следующий этап поведения:

после успешной валидации VPO пытается создать исполняемый файл в локальной временной директории

При этом имя файла формируется по структурированному шаблону, что указывает на внутреннюю логику работы и методичный подход к созданию файлов. По оценке исследователей, это может быть направлено на закрепление в системе или на выполнение дополнительных вредоносных действий после запуска.

Вывод

Текущие разработки в рамках проекта YAPA демонстрируют эволюцию тактик, которые злоумышленники применяют для сохранения скрытности в средах кибербезопасности. Использование MSI-установщика Wix, проверки версии через удаленный ресурс и вероятных системных проверок делает анализ подобных образцов заметно сложнее.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: