Что сказал Чеширский кот, увидев фишинговое письмо? Похоже, кто-то ищет неприятностей!
Так-так-так, что у нас тут? Похоже, что у нас опять есть коварные киберпреступники, замышляющие недоброе.
Позвольте мне объяснить, что происходит, в терминах, понятных даже человеку.
Утром попивая чай прочитал что даркнете появился совершенно новый WhiteSnake Stealer, и он вызывает большой ажиотаж. Сделал вывод из прочитанного этот маленький жулик был разработан специально для целевых атак и практически не обнаруживается антивирусными программами. По словам создателей, этот угонщик может похвастаться уникальным алгоритмом сбора данных, который можно легко расширить с помощью конструктора. Можно даже добавить индивидуальные функции, отвечающие потребностям конкретного пользователя.
Как и следовало ожидать, у этого продукта уже есть собственный Telegram-канал и сообщество пользователей, которые с энтузиазмом поют ему дифирамбы. Но это еще не все. Базовая версия WhiteSnake Stealer уже совместима с Chrome, Firefox, Brave и Edge и может собирать информацию из целого ряда приложений, включая FileZilla, Thunderbird, Steam, Pidgin и Telegram. Он также поддерживает широкий спектр кошельков, таких как Atomic, Exodus, Guarda, Coinomi, BitcoinCore, Electrum, Metamask, Phantom, BinanceChain, TronLink и Ronin. Сам файл весит всего 20 килобайт и поддерживает такие расширения, как exe, scr, com, cmd, bat, vbs, pif, wsf и hta.
Теперь я знаю, что вы думаете: А как насчет версии для Linux?. Ну, мой друг, правда, эта версия пока поддерживает только Firefox, но создатели обещают добавить больше браузеров в будущем. Что касается кошельков и приложений, версия для Linux поддерживает Exodus и Electrum, а также тот же набор приложений, что и базовая версия, за исключением Steam. Эта версия WhiteSnake Stealer поддерживает расширения py и sh.
Но, пожалуй, самое интересное в этом маленьком угонщике - это то, что его логи отправляются прямо в Telegram. И не только это, они полностью шифруются RSA-ключом клиента, что означает отсутствие необходимости приобретать отдельный сервер для WhiteSnake Stealer. Все, что вам нужно, - это несколько минут на создание собственного бота Telegram, и все готово!
Сколько это будет стоить?. Что ж, цена за использование этого бота зависит от того, как долго вы планируете им пользоваться. Если он понадобится вам только на месяц, то его стоимость составит 120 долларов. Однако если вы планируете пользоваться им в течение шести месяцев, вы можете воспользоваться приятной скидкой и получить его всего за 500 долларов. А если вы хотите пользоваться им вечно, вы можете приобрести его всего за 1 500 долларов.
Технический анализ
Речь идет о технике первичного заражения.
Итак, все начинается с подлого спама, который маскируется под PDF-документ. Но пусть вас не обманывает его невинный вид! На самом деле это замаскированный исполняемый файл! И заметьте, он был преобразован в исполняемый формат с помощью конвертера Bat2Exe. Поговорим о серьезных навыках киберпреступников?
В любом случае, когда пользователь попадается на эту уловку и запускает исполняемый файл, в папку %temp% попадает Bat-файл с именем "tmp46D2.tmp.bat" и запускает его. И вот тут-то все становится действительно интересным.
Этот Bat-файл выполняет сценарий PowerShell. Но это еще не все, друзья! Затем этот сценарий загружает другой Bat-файл под названием "build.bat" с URL-адреса Discord. Можете ли вы в это поверить? Эти подлые киберпреступники используют Discord в качестве платформы для своих злодеяний!
hxxps[:]//cdn[.]discordapp[.]com/attachments/1077715839513526352/1077716714613121074/build[.]bat
Так-так-так, смотрите, что притащил кот!
Это несколько сочных подробностей о печально известном файле "build.bat".
Итак, хэш-значение SHA256 этого файла - 2a85f257acd4bb897e5d1c2c571fe7e3f2a76a668106ba5954f6b29a569a1094. Но это даже не самое интересное. Нет, сэр! Киберпреступники намеренно закодировали это хэш-значение в формате UTF-16. Вы можете поверить в наглость этих ребят? Как будто они хотят максимально усложнить нам задачу по их поимке!
Но подождите, это еще не все! Посмотрите на приведенное ниже изображение файла "build.bat", открытого в текстовом редакторе. Вы увидите традиционные китайские иероглифы, верно? Оказывается, декодированный BAT-файл на самом деле содержит хитрый исполняемый двоичный файл в кодировке Base64. И, заметьте, он вставлен между цифровыми сертификатами! Поговорим о технике обфускации нового уровня.
Итак, после запуска файла "build.bat" сценарий переходит к использованию исполняемого файла "CERTUTIL" для декодирования Base64-кодированного содержимого. Но вот в чем загвоздка - это содержимое хитроумно заключено между двумя границами сертификата! Кто додумался до такого?
В любом случае, как только содержимое декодировано, оно сохраняется как двоичный исполняемый файл под названием "build.exe" в папке %temp%. И как только вы подумали, что они закончили, BAT-файл запускает файл "build.exe". Посмотрите на рисунок ниже, если вы мне не верите.
Полезная нагрузка "build.exe" представляет собой 32-битный исполняемый двоичный файл .NET с графическим интерфейсом, который идентифицирован как WhiteSnake Stealer с SHA256, b4c9d3abd4fe5b4be84884c933e8d9a6a80ce326e05432a7ecb8a7c28f393941.
На рисунке ниже показаны статические данные вредоносного двоичного файла.
При выполнении "build.exe" сначала создается мьютекс с именем "kwnmsgyyay". Это делается для того, чтобы вредоносная программа запускалась на зараженной системе только один раз.
Чтобы получить имя мьютекса, вредоносная программа расшифровывает зашифрованные строки в двоичном файле с помощью функции Ibhiyptxjhiacrnxomvqjb(). Эта функция используется несколько раз в ходе работы вредоносной программы для извлечения необходимых строк, которые использует похититель.
На рисунке ниже показан фрагмент кода функции, отвечающей за расшифровку строк во вредоносной программе.
После создания мьютекса вредоносная программа запускает функцию AntiVM(), которая предназначена для предотвращения запуска вредоносной программы в виртуальной среде.
Эта функция запрашивает информацию о "производителе" и "модели" системы с помощью WMI-запроса "SELECT * FROM Win32_ComputerSystem". Затем она сравнивает полученные данные с определенными строками, относящимися к виртуальным машинам (VM), как показано на рисунке 6. При наличии совпадений вредоносная программа завершает работу без дальнейшего выполнения.
Итак, после выполнения проверки Anti-VM (эти ребята действительно пытаются замести следы), вредоносная программа вызывает функцию Create(). Это приводит к выполнению функции ProcessCommands(). И позвольте мне сказать вам, что эта функция - не шутка. Она специально разработана для извлечения конфиденциальной информации из самых разных мест - веб-браузеров, приложений для обмена сообщениями, FTP-клиентов, криптовалютных кошельков и т.д. И это только некоторые из них.
Если речь идет о браузерах, функция ProcessCommands() вредоносной программы способна похитить некоторые довольно важные файлы, такие как "Cookies", "Autofills", "Login Data" и "Web Data". И она не делает различий - ее жертвами могут стать Mozilla Firefox, Google Chrome, Brave-Browser, Chromium и даже Microsoft Edge.
Но это еще не все. Вредоносная программа также может получить в свои грязные лапы файлы из различных криптовалютных кошельков. Я говорю о таких, как Atomic, Guarda, Coinomi, Bitcoin, Electrum, Exodus и других. И заметьте - он не ограничивается только определенными каталогами. О нет, эта штука может даже извлекать данные из расширений браузера криптокошелька! Посмотрите на изображение ниже, если вы мне не верите.
Кроме того, вредоносная программа собирает конфиденциальные данные сеансов из таких приложений для обмена сообщениями, как Discord, Pidgin, Steam и Telegram. Более того, она может извлекать файлы из почтовых клиентов, таких как Thunderbird, FTP-клиентов, таких как FileZilla, и различных других приложений, включая Snowflake.
Приведенный ниже фрагмент кода собирает все конфиденциальные данные из различных приложений.
После сбора конфиденциальных файлов из различных приложений вредоносная программа преобразует данные в формат Base64Encode и сохраняет их в структуре XmlArray под названием "Files".
Кроме того, она перехватывает системную информацию жертвы, включая снимок экрана, и сохраняет ее в другой структуре XmlArray под названием 'Information', как показано на рисунке ниже.
После этого вредоносная программа использует класс XmlSerializer для преобразования данных в формат XML. На изображении ниже показаны конфиденциальные данные, собранные вредоносной программой, которые были преобразованы в формат XML.
Затем данные XML сжимаются и шифруются с помощью алгоритма шифрования RC4 для их защиты с помощью фрагмента кода, показанного на рисунке ниже.
После обработки украденных данных вредоносная программа прикрепляет такие теги, как имя файла (например, Username@Computername_report.wsr) и тип содержимого (например, application/octet-stream), а затем отправляет данные на указанный ниже URL-адрес бота Telegram.
hxxps[:]//api.telegram[.]org/bot56[Redacted]47CR9V3wq4ss/sendDocument?chat_id=61xxxx924&caption=win
На рисунке ниже показан фрагмент кода функции, используемой вредоносной программой для отправки украденных данных боту Telegram.
В просторах сети удалось раздобыть видео с демонстрацией работы программы
видео загружу рядом с постом в telegram.
WhiteSnake Stealer - это недавно обнаруженный похититель информации, который использует новые наборы инструментов для обхода антивирусных детекторов и обновления своих тактик, техник и процедур. Несмотря на существование на рынке киберпреступности устоявшихся и широко используемых инфостилеров, мошенники предпочитают использовать новые наборы инструментов. Для того чтобы нацелиться на более широкий круг пользователей, крадун расширил сферу своего влияния, разработав версию вредоносной программы для Linux в дополнение к версии для Windows.
Продолжу следить за новейшими штаммами фишинговых или вредоносных программ, предоставляя актуальную оперативную информацию для вашей защиты от этих печально известных атак.
Мои рекомендации включают основные передовые методы обеспечения кибербезопасности, которые служат первой линией защиты от злоумышленников.
Избегайте загрузки пиратского программного обеспечения с сайтов warez/torrent. Эти сайты в основном содержат вредоносное ПО под видом "Hack Tool".
Используйте надежные пароли и по возможности применяйте многофакторную аутентификацию.
Включите функцию автоматического обновления программного обеспечения на компьютере, мобильном телефоне и других подключенных устройствах.
Используйте надежные антивирусные программы и программы интернет-безопасности на подключенных устройствах, включая ПК, ноутбук и мобильный телефон.
Воздержитесь от открытия ненадежных ссылок и вложений электронной почты без предварительной проверки их подлинности.
Обучайте сотрудников защите от таких угроз, как фишинг и ненадежные URL-адреса.
Блокируйте URL-адреса, которые могут быть использованы для распространения вредоносного ПО, например, Torrent/Warez.
Что ж, мой друг, вот и вся история.
Мы должны положить конец подобным вещам, друзья. Мы не можем позволить этим киберпреступникам беспредельничать и сеять хаос.
Так что, друзья мои, будьте бдительны и осторожны. Эти киберпреступники постоянно совершенствуют свою игру, но мы не можем позволить им победить. Давайте продолжать борьбу и защищать себя и свои данные от их гнусных планов.
Следите за всеми подозрительными письмами, которые приходят вам на почту. Никогда не знаешь, какие коварные трюки могут быть в рукаве у этих киберпреступников!
reference: https://blog.cyble.com/2023/02/24/new-whitesnake-stealer-offered-for-sale-via-maas-model/
77d7369f704afac82a5b9dc53e9736bc
ef63ffa8c293a81a1492cb8f11c01c0fd07fc297
609ef046dbfe0b6a6bf42abfa7c0e9371c370a2f00f71e185ef2a6e1184aa817
Initial WhiteSnake Stealer Loader
d490e588da438247a57f6e424ab5b753
b915a0c7f36e41f3696602b2580c8cd5acecffa7 89a32ed550874525400268772dac746682ba6dbb8c06206b2ad7861db893b834
hxxps[:]//cdn[.]discordapp[.]com/attachments/1077715839513526352/1077716714613121074/build[.]bat
8cf2faaf885a8057601149d78a4a12ca
8b4c1cb8a417fe7651c243f3b0843d063058ac02 2a85f257acd4bb897e5d1c2c571fe7e3f2a76a668106ba5954f6b29a569a1094
dd42fe39cf54bc3b95f427dff59c99ce
d077e75315f5027b18a89a2260509c2eaaa30d43 b4c9d3abd4fe5b4be84884c933e8d9a6a80ce326e05432a7ecb8a7c28f393941
716d01d18140ec5e18b1a15c17fb213f
b4f2063ade43a0c6ddd15f3f34dbfde348e3eecc a4191e00cd9dfeda78901ef9dae317e23c73408e7b4c1eeef8de6a8c70fe9db7
251f6f352d7a0a13c63abf103daaeb89
495b40959859ee46b583a867008e26dc4097d2a9 df78f7993dc9aaee7666a06a6dae52ba0fc6e63e01376474fa96af360cf566de
0597f91bd8cd1a9ea5d183b6b61dc750
80ee81b99a62592ddfa871b4be87c662856b446a 0c6705665e94b4d7184fe34185d0ea2706c745ddb71bb45bb194c96ebe2d7869