Мошенническая схема сайтов FreeSmartSoft и AudioVideoKit — распространение вредоносного ПО и кража данных (ревёрс-инжиниринг вредоносов)
Здравствуйте, сегодня напишу об интересной истории ревёрса очень-очень хитрого загрузчика (тип вредоносного ПО, который подгружает другие вредоносы), который распространяется программистами из FreeSmartSoft:
Обнаружил я его совершенно случайно — на экране что-то моргнуло и я мигом открыл ProcessHacker, как итог — висит процесс inetinfo.exe по пути C:\Users\x\AppData\Local\netinformer
Сразу же заморозил процесс, перешёл по пути, скопировал его к себе, затем закрыл процесс и удалил папку. Идём изучать...
Анализ вредоносного загрузчика
inetinform
Вредонос написан на .NET и очень слабо защищён с помощью .NET Reactor старой версии, которая просто легчайше снимается через De4dot.
Снято. Всего 5 минут, и на руках я имею весь исходный код вредоноса, обожаю .NET!
Сразу же по набору функций видим типичный загрузчик - работает с архивами, что-то качает (WebDownload и FileLoader), есть какое-то API, а ещё свои мерзкие делишки они называют "оффер" (OfferManager).
Исходный код выложу на своём канале - https://t.me/fasmgenius
Работает вредонос следующим образом:
- На запуске инициализирует класс OfferManager, внутри которого запускается поток с получением офферов на подгрузку вредоносных программ для кражи данных людей, которые используют софт от FreeSmartSoft
- Проверяет аргументы запуска процесса, на случай если запущено вручную — вредонос маскируется под GUI программу, которая отображает информацию об IP
- Выполняет "офферы" — подгружает и запускает платно размещённые у них вредоносные программы
Сами офферы вредонос парсит с порно-сайта по адресу https://video-box.org/GetOffers
Заказы зашифрованы, но ключ находится в открытом доступе, на момент работы программы заказы были следующие:
В каждом оффере указываются страны, в которых необходимо подгрузить те или иные вредоносы, а также флаги запуска.
В параметре "ARCH" указывается пароль к архиву перед символом "|". Я решил скачать один из офферов - arch.zip, и достаточно удивился наглости, потому что это оказался hVNC - скрытое удалённое разделение окружения пользователя. То есть, Ваш ПК помимо Вас самих начнёт делить какой-то Васёк, и за это всё отвечает FreeSmartSoft.
Также у hVNC есть функция добавления в исключения Defender - функция AddDefenderExclusion, автозапуск через ярлык на рабочем столе и ещё один СВОЙ загрузчик. Только представьте, во что Ваш ПК превратится из такой каши загрузчиков...
Вернёмся к нашему NetInformer. Функция OfferManager является здесь самой важной, поскольку она имеет такие функции, как InitItems, CheckItems и RunItems.
Соответственно, они отвечают за скачивание, проверку и запуск заказов.
Остальные технические моменты Вы уже можете изучить сами при желании, скачав исходный код у меня на канале.
WinInet
С недавних пор у меня начался сам по себе открываться какой-то сайт в браузере, иногда закрываться браузер и ProcessHacker.
Виной тому - программа по пути C:\Users\x\AppData\Local\instbrch\Wininet.exe
Это программа удалённого управления, которая, судя по всему, установилась из цепочки программ FSS.
- Мониторинг и отправка логов о состоянии и характеристиках ПК
- Закрытие браузера, получение информации о браузерах, сворачивание браузера и открытие сайтов
- Запись в автозапуск с помощью Task Scheduler (taskschd.msc)
Исходный код её тоже в группе.
Мнение
Я очень стараюсь придерживаться компьютерной гигиены, поскольку сам занимаюсь ревёрсом вредоносов, но не всегда это получается. Впрочем, я занимаюсь всем этим на Windows со второго ПК, который не имеет вообще никаких личных данных, тем не менее, меня это очень сильно взбесило.
Казалось бы, неплохой сайт, много программ, сложилось мнение, что это группа обычных программистов, возможно когда-то я скачал одну из этих программ... За что и поплатился.
Пишу я эту статью для того, чтобы больше никто не качал софт этой группы. FreeSmartSoft и AVK (AudioVideoKit) = вирусня. Если видите в названии программы "FSS" или "AVK", не качайте эту программу, немедленно удаляйте и проверьте ПК антивирусом или тщательно наблюдайте за процессами в течение недели с помощью ProcessHacker и проверьте автозапуск через Autoruns от Sysinternals.