W ostatnich dniach nasze systemy bezpieczeństwa wyłapały w sieci Orange Polska aktywność trojan droppera Quant Pro. W ciągu niecałego roku od powstania (pierwsze poważne kampanie datowane są na 2017 rok), kod nieco wyewoluował, jednak ogólne założenia pozostały bez zmian:
Rosyjskojęzyczni twórcy opisywanego malware’u podchodzą do tej swoistej odmiany biznesu bardzo profesjonalnie, wystawiając go jako usługę (Malware-as-a-Service) w darknecie.
W opisie usługi chwalą się możliwościami swojego malware:
W przypadku testowanej próbki wszystko zaczęło się od phishingu na adres e-mail w domenie @wp.pl. z załączonym plikiem Faktura.PDF.rar. Wewnątrz dokumentu znajduje się zobfuskowany javascript zawierający poniższą funkcję:
W kolejnym kroku na infekowany komputer ściągany jest skrypt Jk5.vbs, pobierany z serwisu wrzucacz.pl, który następnie dostarcza na urządzenie plik FUC.exe (warto zwrócić uwagę na sprytne wykorzystanie funkcji timeoutu).
Potem malware modyfikuje politykę lokalnego firewalla dla konkretnych procesów:
Pobiera sobie nazwę użytkownika, uruchamia proces dwm.exe:
I w powłoce shella uruchamia kod w trybie cichym:
Umożliwiając między innymi dostęp do systemowego schowka, klawiatury i myszki:
W dalszym etapie realizowane są połączenia do serwera Command&Control (C&C, C2) pod adresem tytoldran.win (w sieci Orange Polska blokowany przez CyberTarczę) – GET tytoldran.win/q/index.php?id=80554874&c=1&mk=6a7936&il=H&vr=1.72&bt=32). Kolejne funkcje pozwalają zidentyfikować użytkownika jako członka sieci botnetowej oraz zameldować do C2 podstawowe informacje o systemie ofiary i wersji złośliwego oprogramowania (1.72). W odpowiedzi serwer C2 jest w stanie dostarczyć na stacje właściwe komendy – w tym instrukcje dotyczące pobrania i uruchomienia dodatkowego pliku, aktualizacji, deinstalacji bota czy pobrania danych z zainfekowanej stacji.
Dodatkowo po wykonaniu funkcjonalności wyciągania haseł w katalogu appdata\generic string\ odkładane są pliki ini z wydobytymi hasełkami w zależności od metody pozyskania:
Analizy CERT Orange Polska wykazują obecnie liczbę infekcji w naszej sieci na poziomie ok. 1500 użytkowników. Warto jednak zaznaczyć, iż komunikacja z C&C botnetu blokowana jest przez CyberTarczę. Oznacza to, że ewentualne zainfekowane urządzenia klientów naszych usług pozostając w sieci Orange Polska nie będą mogłby skomunikować się z serwerem Command&Control botnetu.
20 maja 2022
„Szorty” – czyli krótko o bezpieczeństwie (5)13 maja 2022
„Szorty” – czyli krótko o bezpieczeństwie (4)11 maja 2022
Raport CERT Orange Polska 2021: Powrót Emoteta, czy Dridex po nowemu?Zgłoś incydent