Троянский конь в царстве Google: охота на IT-умы

В последние недели специалисты Threat Down наблюдают всплеск вредоносной рекламы в Google , нацеленной на IT-специалистов. Кампания направлена на то, чтобы получить доступ к системам жертв и похитить конфиденциальные данные.

Исследования показали использование единой инфраструктуры для распространения двух вредоносных программ: MadMxShell и WorkersDevBackdoor. Самым интересным открытием стало то, что C2-сервер MadMxShell напрямую связан с инфраструктурой доставки WorkersDevBackdoor. Обе вредоносные программы способны собирать и похищать конфиденциальные данные, а также предоставлять начальный доступ для операторов вымогательского ПО.

• MadMxShell, впервые описанный в апреле, распространяется через вредоносные объявления для сканеров IP. Программа использует перехват DLL (DLL hijacking) и DNS для связи с C2-сервером через OneDrive.exe.
• WorkersDevBackdoor имеет более сложную историю и была описана компанией eSentire. Особенность заключается в упаковке полезной нагрузки в архив, защищённый паролем. Полезная нагрузка привязана к троянам ThunderShell RAT и Parcel RAT. WorkersDevBackdoor работает через установщик NSIS с зашифрованным архивом 7z и размещает полезную нагрузку на Dropbox.

Большинство вредоносных объявлений связано со сканерами IP и перенаправляет на инфраструктуру, которую исследователи назвали goodgoog1e. Название происходит от адреса электронной почты злоумышленника, который связывает все домены вместе.

Вредоносные рекламные объявления Google

Все цепочки заражений исходят от одного источника (goodgoog1e), но от различных рекламных аккаунтов. Одно из объявлений использовалось для доставки обоих вредоносных программ через домен «angryipo[.]org».

MadMxShell использует несколько обфусцированных скриптов для загрузки полезной нагрузки, включая сложный скрипт, создающий однострочник для автоматической загрузки. WorkersDevBackdoor размещается на Dropbox с вращающимися URL-адресами (Rotating URL), динамически загружаемыми через «azureedge[.]net».

В недавней кампании C2-сервер MadMxShell сменился с «litterbolo[.]com» на «getstorege[.]com». Домен «getstorege[.]com» был зарегистрирован на тот же адрес электронной почты, что и для инфраструктуры доставки обеих вредоносных программ.

Один из образцов WorkersDevBackdoor включал скрипт PowerShell, проверяющий наличие определённых программ, таких как RDP, TeamViewer и другие, чтобы определить, завершать ли установку вредоносного ПО.

Скрипты PowerShell, которые проверяют, подключен ли компьютер к домену, позволяют злоумышленникам избегать тревоги в песочницах или виртуальных машинах. Это хорошее напоминание о том, что файл, просканированный статически или даже запущенный в песочнице, может оказаться легитимным просто потому, что не были выполнены условия для его правильного выполнения.