В контексте: Со времени появления первого компьютерного вируса вредоносное ПО стало игрой в кошки-мышки между хакерами и исследователями безопасности. На данный момент большинство вредоносных программ известны, по крайней мере, по типу и методу доставки. Однако злоумышленники время от времени придумывают новый трюк, чтобы скрыть свои следы и обмануть «белых шляп».
Аналитическая компания по безопасности Mandiant недавно раскрытый «невиданная ранее» цепочка атак, в которой использовалась кодировка Base 64 как минимум на двух разных веб-сайтах для доставки полезной нагрузки второго этапа трехэтапного вредоносного ПО. Двумя сайтами были техническое издание Ars Technica и видеохостинг Vimeo.
Пользователь разместил на форуме Ars Technica фотографию пиццы с подписью: «Мне нравится пицца». В изображении или тексте не было ничего плохого. Однако фотография, размещенная на стороннем веб-сайте, имела URL-адрес, содержащий строку Base 64. Код Base 64, преобразованный в ASCII, выглядит как случайные символы, но в данном случае он запутывает двоичные инструкции по загрузке и установке второго этапа пакета вредоносного ПО. В другом случае идентичная строка появилась в описании безобидного видео на Vimeo.
Представитель Ars Technica заявил, что удалил учетную запись, созданную в ноябре прошлого года, после того, как анонимный пользователь сообщил сайту о странной ссылке на изображение (ниже).
Mandiant заявила, что идентифицировала код как принадлежащий злоумышленнику по имени UNC4990, которого компания отслеживает с 2020 года. Для большинства пользователей инструкции не оказали никакого эффекта. Он работает только на устройствах, уже содержащих первую стадию вредоносного ПО (explorer.ps1). UNC4990 распространялся на первой стадии через зараженные флэш-накопители, настроенные для ссылки на файл, размещенный на GitHub и GitLab.
Второй этап, получивший название «Пустое пространство», представляет собой текстовый файл, который в браузерах и текстовых редакторах выглядит пустым. Однако, открыв его с помощью шестнадцатеричного редактора, вы обнаружите двоичный файл, в котором используется продуманная схема кодирования пробелов, табуляции и новых строк для создания исполняемого двоичного кода. Мандиант признает он никогда раньше не видел, чтобы эта техника использовалась.
«Это другой и новый способ наблюдения за злоупотреблениями, который довольно сложно обнаружить», — сказал Ars исследователь Mandiant Яш Гупта. «Это то, чего мы обычно не встречаем во вредоносных программах. Это довольно интересно для нас, и мы хотели бы обратить на это внимание».
После выполнения Emptyspace постоянно опрашивает сервер управления и контроля и по команде загружает бэкдор, получивший название Quietboard. UNC4990 использует бэкдор для установки майнеров криптовалюты на зараженные машины. Однако Mandiant утверждает, что отследил только один экземпляр установки Quietboard.
Учитывая редкость Quietboard, атака UNC4990 представляет минимальную угрозу. Однако количество экземпляров explorer.ps1 и Emptyspace может быть намного выше, что делает пользователей уязвимыми. Mandiant объясняет, как обнаружить инфекцию по блог.
2024-01-31 20:58:00
1706735652
#Хакеры #использовали #Ars #Technica #Vimeo #для #доставки #вредоносного #ПО #помощью #запутанных #двоичных #инструкций #URLадресе