hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
20 lutego 2025

Dark Cloud – nowy stealer w polskiej sieci

#analiza #malware

Pod koniec ubiegłego tygodnia CERT Orange Polska zidentyfikował aktywność złośliwego oprogramowania Dark Cloud. To pierwszy ślad wykorzystania tego oprogramowania przeciw użytkownikom w Polsce.

Dark Cloud to napisany w .NET malware z rodziny infostealerów. Sprzedawany jest w modelu usługowym (malware-as-a-service) na forach w DarkWebie, zaś początki jego aktywności datowane są na 2023 rok. Przyjrzeliśmy się dokładniej próbce, która do nas trafiła.

Obserwowaną przez nas kampanię rozpoczynał e-mail wysyłany z adresu w domenie „dreameg[.]com”, nakłaniający użytkownika do pobrania i uruchomienia załącznika z rzekomym zamówieniem:

Mail z załącznikiem zawierającym stealer Dark Cloud

W rzeczywistości archiwum zawiera dropper „zamówienie zakupu nr 75806847954.exe„. Jego zadaniem jest zapewnienie sobie trwałości poprzez dodanie pliku .VBS  do ścieżki autostartu c:\users\nazwa_użytkownika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Revision.vbs.

Zawartość pliku „Revision.vbs” odpowiada wyłącznie za ponowne uruchomienie procesu:

Po uruchomieniu tworzony jest obiekt HttpClient który wykonuje żądanie GetStreamAsync(), aby pobrać payload DarkClouda o nazwie „Omqqquhw.wav” z zewnętrznego serwera:

Analiza aktywności Dark Cloud

Po zapisaniu danych w MemoryStream są one konwertowane na tablicę bajtów (byte[] array = memoryStream.ToArray();). Każdy bajt pobranych danych jest zmniejszany o wartość 4 przed zapisaniem w nowej tablicy.

Głównym celem „Revision.exe” jest załadowanie pobranego payloadu DarkCloud i skompilowanie go w locie przy użyciu metody y0ZqQvju9 z klasy StructCompiler.CompileLiteralCompiler():

Co warte uwagi, w celu weryfikacji publicznego adresu IP ofiary DarkCloud inicjował połączenia do serwisu showip[.]net. To charakterystyczna cechą wspólna dla wielu kampanii wykorzystujących to złośliwe oprogramowanie.

Co wykrada Dark Cloud?

Po uruchomieniu Dark Cloud rozpoczyna gromadzenie poufnych informacji z różnych aplikacji zainstalowanych na docelowym systemie. Zebrane dane są następnie eksfiltrowane za pomocą SMTP lub kanału Telegram.

Dark Cloud - eksfiltracja danych

Oprócz kradzieży danych uwierzytelniających z popularnych przeglądarek do funkcji tego złośliwego oprogramowania można również zaliczyć:

  • Zbieranie informacji o systemie
  • Przechwytywanie zrzutów ekranu
  • Monitorowanie i modyfikacja zawartości schowka
  • Kradzież ciasteczek i kluczy sesji
  • Wykradanie wiadomości pocztowych i listy kontatków
  • Zbieranie poświadczeń z klientów VPN, komunikatorów i aplikacji kryptowalut
  • Przechwytywanie dokumentów w formatach TXT, XLS, XLSX, RTF i PDF
  • Funkcję podmiany krytpowalut, pozwalającą na przejęcie transakcji w walutach takich jak Bitcoin, Ethereum czy Ripple

Jak uniknąć ryzyka?

Przede wszystkim nigdy nie otwierać odruchowo/rutynowo załączników z otrzymanych maili. Warto wyrobić w sobie odruch sprawdzenia nadawcy, jego adresu, treści maila i charakteru załącznika. W przypadku opisywanej próbki nawet gdyby fakt otrzymania takiego maila nie zaskoczyłby adresata, stylistyka wiadomości co najmniej budzi zastanowienie.

A jeśli masz wątpliwości – po prostu zadzwoń do nadawcy. W tego typu atakach oszuści przeklejają w pełni stopkę maila osoby pod którą się podszywają, więc łatwo się dowiesz, czy masz do czynienia z wiarygodną informacją.

Indicators of Compromise (IoC)

Pliki:

  • zamówienie zakupu nr 75806847954.tar ; SHA256: 7fb58ebf32fa557c206fce20cb674317ea9dfae1fee34e48bb084c6a390a74ae
  • zamówienie zakupu nr 75806847954.exe ; SHA256: db01ff3b2995df574749dbf8d6621385166f3fa391fbae37ed744b494e14d496
  • Revision.vbs ; SHA256: 49ac9e4e41dc1763a0172bc5d9d6cde828ee7e232984db0008c02d968d468808
  • Revision.exe ; SHA256: db01ff3b2995df574749dbf8d6621385166f3fa391fbae37ed744b494e14d496
  • Omqqquhw.wav ; SHA256: c0e9599b970f72932554e394faa454e02434d0e38b350f5d60e155868833e74f
  • Decoded_Omqqquhw.dll ; SHa256: 92f168a62defee13ef5b025ce27ba3fdbc34b3c31aec55dbc79e1118e4463a48

Domena dostarczająca payload:

  • Alcomax[.]com[.]co
  • W innych zaobserwowanych przez nas próbkach, payload pobierany był z również z serwerów Discorda (cdn.discordapp.com)

Kanały eksfiltracji danych:

  • Mail[.]medster[.]com.tr:465
  • Mail[.]bestblue[.]biz:587
  • Mail[.]taksatsp[.]ir:465
  • Mail[.]transporteatlas[.]com:465
  • Mail[.]presmakplastik[.]com:465
  • infrastruktura komunikatora Telegram

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

16 kwietnia 2025
Raport CERT Orange Polska 2024 już dostępny!
Dowiedz się więcej
15 kwietnia 2025
PKO BP na celowniku przestępców – nowa kampania Remcos RAT
Dowiedz się więcej
2 kwietnia 2025
Nowe oszustwo na fałszywy sklep? To dlaczego paczka dotarła?
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance