By | April 10, 2018

מומחי אבטחה FireEye מצאו כי האקרים הם מינוף אתרי אינטרנט שנפרצו להפיץ עדכונים מזויפים עבור תוכנות פופולאריות שמשמש למסירת NetSupport Manager RAT.

NetSupport הוא עכברוש מדף שבו מנהלי מערכת יכולים להשתמש עבור ניהול מרחוק של מחשבים. פושעי סייבר נהגה התעללות יישום לגיטימי זה כדי לפרוס תוכנות זדוניות על מחשבים של משתמשים-

לאחרונה, הם מומחים אבטחה FireEye נרשמו קמפיין פריצה אשר היה פעיל במשך החודשים האחרונים, יש כבר מינוף בסכנה אתרי אינטרנט להפיץ עדכונים מזויפים עבור תוכנה פופולריים (קרי Adobe Flash כרום, פיירפוקס) ששימשו גם כדי לספק כלי גישה מרחוק של NetSupport מנהל (עכברים).

ברגע המשתמשים הופעלו העדכונים, קובץ JavaScript זדוני הורדה, בדרך כלל מקישור Dropbox.

“במשך כמה חודשים, FireEye איתר קמפיין ב–בר טריילרים, מכולות ואתרי להפיץ עדכונים מזויף שנפרצו. במקרים מסוימים, המנה היה הכלי גישה מרחוק NetSupport מנהל (עכברים)” הברית ניתוח FireEye.

“המפעיל מאחורי שימושים אלה קמפיינים נפגעת אתרים כדי להפיץ עדכונים מזויף המתחפש עדכונים אדובי פלאש, Chrome, FireFox”.

קובץ JavaScript אוסף מידע במחשב היעד ושולח אותה אל השרת. בתורו, השרת שולח פקודות נוספות ומתבצעת JavaScript כדי לשגר את המטען הסופי. ה-JavaScript אשר מספק את המטען הסופי נקרא Update.js, והוא זה מבוצע מ- %AppData% עם העזרה של wscript.exe.

“מאז הזדונית משתמשת קוד הפונקציה המתקשר, הנקרא להפיק את המפתח, אם האנליסט מוסיף או מסיר כל דבר החל התסריט השכבה הראשונה או השניה, קובץ ה-script לא תהיה אפשרות לאחזר את המפתח, תסתיים עם חריגה” הניתוח של קורא.

מוצא להורג ה-JavaScript קשר את הפקודה, שרת הבקרה (C & C), ושולחת ערך בשם ‘tid’ ואת התאריך הנוכחי של המערכת בתבנית מוצפנת. ואז השרת מספק מענה אשר ה-script מפענח לאחר מכן והורג אותה כפונקציה נקרא שלב 2.

הפונקציה שלב 2 אוספת מקודד מידע מערכת שונים ואני שולח אותו אל השרת אחר כך: שם המחשב, שם משתמש, אדריכלות, מעבדים, OS, תחום, גירסת BIOS, יצרן, דגם, תוכנות ריגול מוצר, מוצר אנטי-וירוס, כתובת MAC, המקלדת, התקן הצבעה, להציג את תצורת בקר, רשימת התהליכים.

לאחר מכן, מגיב השרת עם פונקציה בשם שלב3 ו Update.js, אשר התסריט להורדות. והורג את המנה האחרונה.

ה-Javascript משתמשת ב- PowerShell פקודות להורדת קבצים מרובים משרת, כולל:

  • 7za.exe: קובץ הפעלה עצמאי 7zip
  • LogList.rtf: קובץ הארכיון מוגן באמצעות סיסמה
  • Upd.cmd: script אצווה כדי להתקין את הלקוח NetSupport
  • Downloads.txt: רשימה של כתובות Ip (ואולי על המערכות הנגועות)
  • Get.php: LogList.rtf הורדות

פעילויות שבוצעו על ידי הסקריפט הם:

1. חלץ את הארכיון באמצעות 7zip את ההפעלה עם הסיסמה מוזכר script.
2. לאחר החילוץ, מחק את הקובץ שהורד ארכיון (loglist.rtf).
3. בטל את Windows דיווח שגיאות ותאימות App.
4. להוסיף ההפעלה לקוח שליטה מרחוק כדי שחומת האש של ההיתרים התוכנית.
5. להפעיל כלי שליטה מרחוק (client32.exe).
6. להוסיף לרוץ ערך הרישום עם השם “ManifestStore” או הורדות קובץ קיצור הדרך לתיקיה הפעלה.
7. להסתיר את הקבצים באמצעות תכונות.
8. למחוק את כל הפריטים (7zip ההפעלה, ה-script, קובץ הארכיון).

האקרים השתמש במנהל NetSupport כדי לקבל גישה מרחוק למערכות פרוץ, לשלוט בו.

ה-JavaScript הסופי להוריד רשימה של כתובות IP, אשר יכולים להיות פרוצים מערכות, רובם בארצות הברית, גרמניה, הולנד.

Leave a Reply

Your email address will not be published. Required fields are marked *